浅谈身份识别的10大发展趋势

浅谈身份识别的10大发展趋势

一、新产品和技术出现，推动行业发展

在当今社会，主动进行变革有助于确保机构的门禁解决方案能够随应未来的安全威胁，并充分利用门禁领域以外的其它发展机遇和应用功能。未来的高价值应用可能包括电子支付、考勤、安全打印管理以至安全网络登录，并成为整个公司的系统和设施内互操作、多层安防方案的一部分。通过采用OSDP双向通信等基于业界标准的解决方案，以及动态而非静态的技术，可以使安防功能不受硬件和媒介的影响，并使基础架构更容易在现有功能基础上进一步发展，从而适应和应对不断变化的威胁。

这个观点并没有得到所有人的认可，整个行业仍然在不断发展变化。在针对集成商和用户进行的一项调查中，HID Global发现：在去年，只有不到50%的受访者升级了他们的系统，有一半以上在过去的三年中没有升级。针对调查中有实践顶尖技术的受访者，有75%认为它们重要或者很重要，有一半人认为自己并没有很好地实施这些技术，或者根本就没有实施。与此类似，93%的人同意：一系列最佳技术实践政策是重要或者十分重要，但是有将近40%的人表示：他们的实施效果不好，或者不是非常好。我们预计：随着变革策略逐渐深入人心，当业界逐渐了解如何把握变革机遇，上述比例还会发生变化。

二、结合门禁与IT安全功能，创造新优势

以前，一个机构内的门禁系统和IT网络登录功能互相分开，且两者由不同的群体管理。不过，现在，这两个群体之间的界限已经越来越模糊。各个机构希望在同一个卡(或智能电话)上同时实现门禁系统(PACS)和IT身份功能，通过它来开门和登录计算机，以及其它功能。这样用户在保证出入口、数据和云安全的同时，能够享受到顺畅的用户体验，由此通过许多不同的应用，机构也能在智能卡和智能手机上改进身份信息创立、使用和管理的方式。

很快用户就能在采用单一微处理器的智能卡或智能电话上携带多种门禁证书和一次性(OTP)动态密码。因此，很多公司都开始认真考虑在其设备和IT访问策略中，为卡和电话加入安全门禁系统和桌面登录功能，其中也包括提升效率、整套IT资源与设备中、多层桌面登录和门禁的身份信息管理，可通过集中管理证书的方式来实现。各个机构将可以通过统一的解决方案来达到真正融合应用的效果，他们可以借助这些方案访问IT资源，同时实现很多门禁应用。机构可采用相同的程序配置和登记IT以及PACS身份信息，并且可以将统一的工作流程落实至一套完整管理的身份信息，从而实现机构融合应用。

三、强大的身份验证技术—并应用于出入管理

安全专家非常清楚多因素身份验证(也称强大身份验证)的重要性，尤其是对于IT行业的安全性具有重要意义。业界正迅速从简单密码(用户知道的信息)过渡到其它一些验证因素，其中包括用户拥有的信息(比如移动或网络动态密码)以及用户身份信息(生物特征或行为指令)。不过，用户也逐渐厌烦于硬件OTP、显示卡、以及其它实体设备双因素验证所带来的不便。虽然业界正在用软件动态密码来取代硬件OTP，并且用户可以在移动电话、平板电脑以及浏览器型动态密码设备上使用，但是这种方案仍存在安全漏洞。更安全的强大验证方案是多应用卡片，它们采用数据模型，能添加任何类型的身份信息，并且可以通过智能卡或智能电话携带。

用户通过携带门禁卡(或电话)，在个人平板电脑或笔记本电脑上进行刷卡，即可验证进入一个VPN、无线网络、企业内部网、云和网络应用程序、单点登录(Single-sign-on)客户端以及其它IT资源。不需要使用其它读卡器或者其它设备进行发布和管理，也不需要在触摸屏设备上输入密码。

其它验证因素的应用也会逐渐增多，其中包括生物识别以及手势指令技术。借助自定义的手势或动作指令，用户可以控制多种RFID设备，从而在很大程度上改变我们与门禁系统互动的方式。

四、通过多层策略来实现强大身份验证

目前强大验证解决方案将越来越多地保护用户、数据、云端等环节的安全。作为多层安防策略的一部分，它们将为安全防护提供多因素验证功能。除了在第一层安防中采用的多因素用户验证以外，在防火墙以及云端，有其他四个层面的应用，其中包括对设备、通道、交易、以及应用进行验证。这五个安全层级的有效应用，需要一个综合、通用的验证平台，并具备实时威胁检测能力。威胁检测技术某些时候用于网银和电子商务，预计它们会扩展到其他的相关企业领域，为VPN或虚拟桌面等远程访问应用提供额外的安全保护层，包括在医疗保健行业为访问网络记录提供额外的安全保护层。目前的医疗保健服务供应商越来越多地采用数字和移动技术来护理患者—在某些情况下是自愿的，某些情况下是在法规压力下采取的措施。随着这些技术的普及，在安全和隐私方面会出现新的挑战，需要采用多层方案的强大验证机制。

五、移动访问控制功能将逐步普及

在2014年，预计移动访问部署方案的前期阶段会陆续展开，其中智能电话将具有与卡片交易类似的功能，但受限于技术以及商界环境。后续阶段，智能设备将充分发挥机载计算功能和多媒体功能，以克服限制条件，实现更强大、更丰富的用户交易和体验。在此之后，将通过智能电话的连接功能实现目前传统门禁控制系统中通过读卡器和服务器或控制面板共同执行的多数任务。这其中包括根据相关规则(授权访问时间)来验证身份，以及利用电话的GPS功能(授权访问地点)。这样就可以通过云应用验证用户，并通过与出入口的安全通信传递信任消息，从而允许其访问。

在这种新的模式下，由移动设备(而不是移动控制系统)进行访问决策，由门(而不是卡)提供其身份信息。这种角色的交换也称为二元功能，它改变了提供访问控制解决方案的方式。各个机构对连接服务器、控制面板和读卡器所需的高成本基础架构的依赖度会下降—只需要能够响应移动设备加密“开门”命令的电子锁即可。借助这种更经济的简化模式，整个行业可以为更多资产、内部用户、档案柜、存储设备、以及过去因为过于昂贵或复杂而无法保护的其它区域提供安全保障。

六、将进入NFC验证服务的新时代

在新出现的一种模式中，公共区域中的很多物品都可贴上近距离无线通信(NFC)RFID标签，以确定其独特的身份，从而可以在日后通过非接触读卡器或任何 NFC智能电话或平板电脑来方便地验证。这种验证模式将为多种新型交易和服务开启一扇大门，其中包括对物品和文件进行验证，安全管理托管链、保修和其它交易数据，访问智能数字发布系统(数字户外营销- DOOH)提供的网络链路，访问记录(电子访客验证- EVV)，以及授权一部电话在一个机构的虚拟电信系统中操作。

上述以及其它一些应用功能，需要在NFC标签以及与应用的互动中所建立信任机制来实现。如果没有这种信任机制，相关标签就会被重新配置或复制，导致伪造验证信息、欺诈交易，增加用户的移动和网络安全漏洞，增加隐私威胁因素。为此，需要为这些应用中随时可用的NFC标签提供信任机制和安全机制，以确保它们在使用时有效，从而消除使用NFC标签相关的固有风险。为了保证这种信任机制，不仅需要NFC 标签带有加密署名数据元素，在未检测情况下不能复制或修改，而且还要提供安全云端验证服务，并通过经过验证的服务基础架构予以支持。如果有这种生态系统，就可以开发合适的应用程序，使支持NFC的智能电话或读卡器能够与一个安全的云端服务器交流标签信息，并由该服务器验证标签是否真实可靠，证明其存在，并将此分析返回给智能电话或读卡器。