当前位置: 首页 > 技术动态
  • 门禁系统安全在于读卡器和卡技术上

  • 2013-09-17 11:53 来源:一卡通世界 关键字:门禁系统 浏览量:43
  • 导读: 最新的智能卡技术使用双重身份验证和密钥保护机制,以及安全通信协议,该协议通过由互操作产品组成的安防生态系统在可信任通信平台通讯。在理想情况下,智能卡也必须具有通用、标准的卡片边缘,可提高适应性和互操作性。此外智能卡必须能够在NFC智能手机上使用,以便客户可以选择在其门禁系统中使用智能卡、移动设备或两者混用。
  •   目前,多种因素正在推动门禁控制系统增强的需求,包括新技术功能、日益升级的安全威胁,将其它应用程序添加到于非接触式门禁卡上,以及最终要将NFC智能手机集成到门禁系统中的组织。虽然客户可能尚不需要全套功能,但是客户需要这样的平台,在保持目前的基础设施投资时,满足未来功能升级的需求。

      建立基础:读卡器和卡技术

      虽然新功能升级涉及到变革,但基于多重技术智能卡和读卡器建立的可扩展和强互操作性的平台,执行升级带来的破坏性很小。使用韦根或其他磁条门禁技术的组织一般倾向于升级到低频系统以提高安全性,这种做法往往容易使组织受到攻击,并且也不会显著节省成本或简化升级路径。最佳方案是升级到高频非接触式智能卡,经过合理安装和部署,能够提供最高的安全性、便捷性和互操作性,在达到适应性的同时满足未来需求。

      最新的智能卡技术使用双重身份验证和密钥保护机制,以及安全通信协议,该协议通过由互操作产品组成的安防生态系统在可信任通信平台通讯。在理想情况下,智能卡也必须具有通用、标准的卡片边缘,可提高适应性和互操作性。此外智能卡必须能够在NFC智能手机上使用,以便客户可以选择在其门禁系统中使用智能卡、移动设备或两者混用。该方法具有重要意义,其原因如下。

      首先,该方式为集成应用集成到门禁系统解决方案的组织带来巨大优势。除了为组织提供集中式管理外,集成多种应用的门禁系统为员工提供了便利,员工无需携带多种卡即可完成开门、登录计算机、使用考勤和安全打印管理系统、支付餐费或交通费、执行非现金交易和其他应用。

      第二,方便组织加入其他新应用。包括指纹、虹膜或手掌几何特征、静脉纹等生物识别模板等等,都能安全地存储到卡上,作为身份验证的附加条件。并实现其他应用包括用于楼宇自动化和病历管理的门禁功能。

      第三,组织可能采用新技术,如商业身份验证(CIV)卡。CIV技术基于美国联邦政府的个人身份验证(PIV)项目建立的基础设施,将强大的身份验证机制推广到联邦机构以外。无需拆除和更换现有的基础设施,只需增强现有的面板和门控制器功能,即可将PACS升级到CIV。

      第四,当组织合并、并购或搬到新位置时,会涉及重塑品牌以及整合行政系统和其他系统的情况,因此组织可能需要部署新技术。通常在该过程的某个阶段,组织将需要发行新凭证卡。

      第五,由于保险要求或通过降低负债减少成本,组织可能需要改善未来风险管理。这可能需要将过时的系统升级到安全性显著增强的系统。在理想情况下,组织应该防患于未然,及时升级到能够应对当前风险的解决方案,特别是当现有系统为容易克隆的低频解决方案时。

      第六,新立法或监管要求可能要求提高安防功能。例如,健康保险流通与责任法案(HIPAA)对查看病历做出了严格要求,这要求必须通过身份识别卡才能进入安全区域或访问存储患者信息的IT网络。

      最后,组织可能需要至少使一部分持卡人升级到使用NFC移动设备携带虚拟凭证卡。移动门禁控制用户可以将虚拟放到不易丢失或遗忘的安全设备中,以此为用户提供更加安全无忧的安防体验。通过以下两种方法之一配置移动门禁控制凭证卡——通过与配置传统塑料凭证卡相同的互联网入口(移动设备将通过USB或Wi-Fi连接至网络),或通过移动网络运营商的空中下载(这与智能手机用户下载应用程序和歌曲类似)。门禁和网络登录多种应用可以保存在NFC智能手机上,用于提高便利性和安全性。

      尽管移动门禁控制有许多优势,该技术不可能在未来几年内完全取代物理智能卡。相反,移动门禁控制解决方案将与胸卡和胸牌共存,这样组织可以在门禁系统内选择使用实施智能卡、移动设备或两者。在客户升级到混合门禁环境的过程中,集成商将发挥关键作用,他们将确保目前的投资将来也可以利用。他们将需要为客户提供基于开放式标准的多重技术读卡器和卡,将旧凭证卡和新凭证卡技术同时集成到同一张卡中,并且也支持NFC移动平台。

      例如,HIDGlobal的iCLASSSE平台包括的iCLASSSeos凭证卡可以经过公司的SecureIdentityObject(SIO™)数据模型预先配置,用于简化部署。SIO数据模型代表能够在HIDGlobal的TrustedIdentityPlatform(TIP)通信边界内,能够存放于任何设备上的多种形式的身份验证信息,这将确保在由互操作产品组成的生态系统内安全地进行数据传递。iCLASSSE平台支持多种读卡器到面板的通信方式,包括RS485OSDP、CANBUSHi-O以及与旧控制面板互操作的韦根。此外,读卡器和凭证卡的升级方案不需要对设备进行硬件变更。通过提供支持特定卡技术的解释器程序包,可以在现场以及在首次安装后应用。加密操作变更或升级都可以在首次安装和卡部署之后应用到读卡器和凭证卡。此外,客户可以选择管理自身的卡和凭证密钥,并且当一切就绪时,他们可以升级到NFC智能手机数字凭证卡。

    [NextPage]

      安全发行:等式的另一半

      除了提供永不过时的卡和读卡器解决方案外,集成商也可以帮助客户满足目前的安全发行要求,并且使这些要求着眼于未来。

      目前的打印机、卡材料和软件通过集成关键的可视和逻辑技术实现多重验证,为卡提供最高级别的安全性。实现这一目的有多种方案。集成商应该帮助小公司选择满足其易用性需求的解决方案,因为小公司很少具备广泛的IT资源支持。中型组织通常需要易于使用、易于扩展的直观解决方案,以满足不断发展的需求。大型组织需要较高的卡产量,用于支持组织发展并能够广泛部署应对当前风险的解决方案。

      硬件选择包括单色direct-to-card(DTC)解决方案,该方案将质量、可靠性和易用性、以及用于非接触式或接触式智能卡的高清打印(HDP)转印技术解决方案。通过优化性能和生产力的高产能解决方案。利用最新的桌面卡打印机/编码器解决方案,企业或机构能结合大型集中式打印机的大批量、可靠性及先进的制卡功能与分布式打印模型所需的低成本、小占用面积,采用分布式发行与集中式发行部署相同的打印技术以制作相同的凭证卡,客户预先规划最高安全性的身份验证系统。大部分ID卡发行系统依靠二维身份验证,对比持卡人与卡片显示的身份信息,包括简单的照片ID或高分辨率图像等复杂元素,甚至激光刻蚀的永久个人化特征,防止卡片伪造和篡改。智能卡芯片、磁条和其他数字部件正成为第三个安全维度,能够扩大卡存储容量添加生物识别和其他信息,增强身份验证安全性。

      正确的身份验证管理要求制卡设备的预定编程数据与卡片打印信息同步。过去,组织通常使用桌面卡打印机,增加卡片颜色和文字,从打印机的出卡槽取卡,之后通过人工输入或在外部桌面读卡器刷卡的方式,将预打印/预编程IC编号输入到计算机数据库中。现在,联网个性化智能卡制作系统简化步骤,用户直接将制卡信息提交配备有内置智能卡编码器的桌面打印机中,即可实现卡的全面个性化。

      几乎所有的主流卡打印机制造商都提供了将读卡器/编码器集成到自身设备中的方案,以及与集成式系统互操作的卡发行软件。如果组织已经拥有卡打印机,可以现场升级打印机的编码器,将读卡器/编码器集成到卡打印机硬件中,并能够充分利用智能卡应用的优势,迈向未来。当他们准备充分利用智能卡的功能时,他们那时候已经解决了等式中的智能发行部分。

      结语

      在实现高安全性解决方案的过程(例如NFC智能手机上的移动门禁控制)中,集成商将发挥重要的作用,为客户建议部署可以移植到NFC手机的标准化智能卡技术,既满足客户目前的需求,又可以为日后升级做准备。通过采用该途径,客户可以选择在其物理门禁系统中同时使用两类凭证卡技术。他们也可以经过不断改造满足新需求,因此他们将能够保护现有基础设施的投资。