1 概述
门禁控制系统正在摆脱传统卡片和读卡器的限制,迈入可配置凭证卡、非接触式技术的全新领域。在新领域中,手机及其他设备可携带通过空中下载或互联网接收的“数字密钥”。随着人们的移动性与日俱增,对身份验证的安全性及可靠性的新需求应运而生,推动虚拟身份验证取代密钥卡门禁。为了应付无间断连接及完全分布式智能设备的爆炸式增长所带来的挑战,有必要制定一种基础架构方案来支持不断演变的门禁控制系统应用,并推动所有相关的新产品开发工作。近距离无线通信(Near Field Communications,以下简称NFC)是有望实现上述目标的技术,但要确保其安全性,业界就必须建立一种基于综合监管链的身份验证方法——通过这种方法,系统或网络中的所有端点都能够得以验证,从而让各端点之间的身份验证信息在任何时候都能够可靠传输。接下来,本文将以HID Global最近开发的Trusted Identity Platform(以下简称TIP)为例对此加以介绍。
2 系统简介
TIP是一种安全可信的网络,可提供身份验证传输框架,实现安全产品和服务的交付。它是一种用于创建、交付和管理安全身份验证的综合性框架。简单来说,该基础架构是一个中央安全库,通过安全的网络连接,并以公开的加密密钥管理安全政策为依据,为已知端点(如凭证卡、读卡器和打印机)服务交付。HID Global将其称为“受规限”系统——连接到该系统的所有设备都是已知的,因而能够可靠安全地交换信息。TIP架构具有充分的可扩展性,其传输协议和加密模式符合各种标准,可支持多种应用。TIP系统还可以实现虚拟化及云端基础模式,因而能够在不影响安全性的情况下通过互联网提供服务交付。
TIP提供一种受保护的身份验证传输网络,可对网络中的所有端点或节点进行验证,因而各节点之间的信息传输都是可信的。
图1 TIP模型图
TIP模型(如图1所示)包含三个核心要素,即安全库(Secure Vault)、安全通信(Secure Messaging)方法、密钥管理策略和规范(Key Management Policy and Practices)。安全库为已知且可信的端点提供加密密钥安全存储功能,安全通信方法即使用符合行业标准的对称密钥方法将信息传输至各个端点,密钥管理策略和规范即设定“安全库”的访问规则以及向各端点分发密钥的规则。
下面就让我们更细致地了解如何建立端点及可靠的信息传输。
只有在实施了TIP节点协议后,端点才会启用,进而被“安全库”识别并注册为可靠的网络成员。而后,该端点就可与“安全库”进行通信。
凭证卡、读卡器及打印机等端点通过软件工作流程与“安全库”进行通信,其访问和处理规则都受到HID Global的“密钥管理策略和规范”的严格管控——只有经认证的设备才能够加入该网络(与任何计算机都可访问任何网站的互联网不同),从而形成了隐性的、严格的身份验证机制。
各端点之间的TIP消息采用符合行业标准的加密方法进行加密,以便进行符合公开安全政策的安全信息传输。这些TIP信息数据包由两个嵌套的对称密钥进行保护,其中含有“安全身份验证对象”(Secure Identity Object,简称SIO)信息。多个SIO可嵌套到一个TIP信息中,向各种不同的设备(如门禁卡、智能手机及计算机)提供多种指令。如有必要,每个设备都可具有不同的门禁控制特性。例如,最简单的SIO就是模拟iCLASS卡上的凭证程序数据。
“安全库”与端点设备之间的验证通过后,该设备在网络中就被视为是“可信的”。可信设备无需再与安全库进行通信,可以独立工作。在这种方式下,各端点(如凭证卡及读卡器)之间的信息传输是“可信的”,而由此产生的信息传输(例如打开一道门或登录到计算机)也就被视为是“可信的”。
在近距离无线通信技术的支持下,应用该技术的手机就可作为TIP端点而受到支持,因而能够使用不同的SIO进行编程,进而实现模拟卡片或者更为复杂的应用,不但可以获授权通过门禁系统,还可实施由其自身进行解释的复杂门禁控制规则。
3 发展现状及前景
TIP在2010年底已经开始部署,并已通过宣布与HID Global的第一家合作伙伴,NCF 芯片领先企业INSIDE Contactless的合作,朝可信、虚拟及按需式身份验证网络的宏伟蓝图迈出了第一步。INSIDE Contactless是为数不多的几家正在全球范围内推动NFC试验的公司之一。这一开创性的合作将使支持NFC的手机能像物理智能卡那样,融入iCLASS®门禁控制和凭证信息。此凭证信息将通过HID Global的TIP系统提供,将来还可以实现与其他网络服务和实时通信的结合使用。HID Global 计划开展其他类似的合作伙伴关系,将HID Global和其他供应商的非接触式解决方案、NFC 技术及其他广泛应用的技术融为一体,为用户身份验证、无现金自动售货及计算机安全登录等各种应用打造一个广泛适用(涵盖从手机到笔记本电脑的各种终端设备)的平台。这些平台和应用将大幅提升非接触式智能卡凭证的价值定位。
关键字:可信 身份验证
编辑:神话 引用地址:可信身份验证技术解析
门禁控制系统正在摆脱传统卡片和读卡器的限制,迈入可配置凭证卡、非接触式技术的全新领域。在新领域中,手机及其他设备可携带通过空中下载或互联网接收的“数字密钥”。随着人们的移动性与日俱增,对身份验证的安全性及可靠性的新需求应运而生,推动虚拟身份验证取代密钥卡门禁。为了应付无间断连接及完全分布式智能设备的爆炸式增长所带来的挑战,有必要制定一种基础架构方案来支持不断演变的门禁控制系统应用,并推动所有相关的新产品开发工作。近距离无线通信(Near Field Communications,以下简称NFC)是有望实现上述目标的技术,但要确保其安全性,业界就必须建立一种基于综合监管链的身份验证方法——通过这种方法,系统或网络中的所有端点都能够得以验证,从而让各端点之间的身份验证信息在任何时候都能够可靠传输。接下来,本文将以HID Global最近开发的Trusted Identity Platform(以下简称TIP)为例对此加以介绍。
2 系统简介
TIP是一种安全可信的网络,可提供身份验证传输框架,实现安全产品和服务的交付。它是一种用于创建、交付和管理安全身份验证的综合性框架。简单来说,该基础架构是一个中央安全库,通过安全的网络连接,并以公开的加密密钥管理安全政策为依据,为已知端点(如凭证卡、读卡器和打印机)服务交付。HID Global将其称为“受规限”系统——连接到该系统的所有设备都是已知的,因而能够可靠安全地交换信息。TIP架构具有充分的可扩展性,其传输协议和加密模式符合各种标准,可支持多种应用。TIP系统还可以实现虚拟化及云端基础模式,因而能够在不影响安全性的情况下通过互联网提供服务交付。
TIP提供一种受保护的身份验证传输网络,可对网络中的所有端点或节点进行验证,因而各节点之间的信息传输都是可信的。
图1 TIP模型图
TIP模型(如图1所示)包含三个核心要素,即安全库(Secure Vault)、安全通信(Secure Messaging)方法、密钥管理策略和规范(Key Management Policy and Practices)。安全库为已知且可信的端点提供加密密钥安全存储功能,安全通信方法即使用符合行业标准的对称密钥方法将信息传输至各个端点,密钥管理策略和规范即设定“安全库”的访问规则以及向各端点分发密钥的规则。
下面就让我们更细致地了解如何建立端点及可靠的信息传输。
只有在实施了TIP节点协议后,端点才会启用,进而被“安全库”识别并注册为可靠的网络成员。而后,该端点就可与“安全库”进行通信。
凭证卡、读卡器及打印机等端点通过软件工作流程与“安全库”进行通信,其访问和处理规则都受到HID Global的“密钥管理策略和规范”的严格管控——只有经认证的设备才能够加入该网络(与任何计算机都可访问任何网站的互联网不同),从而形成了隐性的、严格的身份验证机制。
各端点之间的TIP消息采用符合行业标准的加密方法进行加密,以便进行符合公开安全政策的安全信息传输。这些TIP信息数据包由两个嵌套的对称密钥进行保护,其中含有“安全身份验证对象”(Secure Identity Object,简称SIO)信息。多个SIO可嵌套到一个TIP信息中,向各种不同的设备(如门禁卡、智能手机及计算机)提供多种指令。如有必要,每个设备都可具有不同的门禁控制特性。例如,最简单的SIO就是模拟iCLASS卡上的凭证程序数据。
“安全库”与端点设备之间的验证通过后,该设备在网络中就被视为是“可信的”。可信设备无需再与安全库进行通信,可以独立工作。在这种方式下,各端点(如凭证卡及读卡器)之间的信息传输是“可信的”,而由此产生的信息传输(例如打开一道门或登录到计算机)也就被视为是“可信的”。
在近距离无线通信技术的支持下,应用该技术的手机就可作为TIP端点而受到支持,因而能够使用不同的SIO进行编程,进而实现模拟卡片或者更为复杂的应用,不但可以获授权通过门禁系统,还可实施由其自身进行解释的复杂门禁控制规则。
3 发展现状及前景
TIP在2010年底已经开始部署,并已通过宣布与HID Global的第一家合作伙伴,NCF 芯片领先企业INSIDE Contactless的合作,朝可信、虚拟及按需式身份验证网络的宏伟蓝图迈出了第一步。INSIDE Contactless是为数不多的几家正在全球范围内推动NFC试验的公司之一。这一开创性的合作将使支持NFC的手机能像物理智能卡那样,融入iCLASS®门禁控制和凭证信息。此凭证信息将通过HID Global的TIP系统提供,将来还可以实现与其他网络服务和实时通信的结合使用。HID Global 计划开展其他类似的合作伙伴关系,将HID Global和其他供应商的非接触式解决方案、NFC 技术及其他广泛应用的技术融为一体,为用户身份验证、无现金自动售货及计算机安全登录等各种应用打造一个广泛适用(涵盖从手机到笔记本电脑的各种终端设备)的平台。这些平台和应用将大幅提升非接触式智能卡凭证的价值定位。
上一篇:柔性导电织物键盘设计2
下一篇:MAX6513集成远程温度开关
推荐阅读最新更新时间:2023-10-12 20:41
GPRS无线指纹身份验证系统的应用研究
本文通过将GPRS技术与 指纹识别 技术相结合,将GPRS设备终端接入网络,实现了无线指纹身份验证的功能。
1 系统设计构思
GPRS指纹身份验证系统主要由指纹身份验证终端和身份验证服务器两部分组成。系统工作原理图如图1所示。其中,GGSN(Gateway GPRS Support Node)为网关GPRS支持节点。
指纹身份验证终端和指纹身份验证服务器均可划分为更小的子模块:前者包含指纹验证模块和GPRS模块两个子模块;后者则由指纹录入模块和服务器管理软件两个子模块构成。图2给出了完整的系统结构框图。
2 系统硬件设计
指纹身份验
[模拟电子]
莱迪思全新MachX03D FPGA 搭配硬件可信根极大提升安全性
莱迪思半导体公司(NASDAQ:LSCC),低功耗可编程器件的领先供应商,今日宣布推出MachXO3D FPGA,用于在各类应用中保障系统安全。不安全的系统会导致数据和设计盗窃、产品克隆和过度构建以及设备篡改或劫持等问题。OEM可以使用MachXO3D轻松实现可靠、全面、灵活的基于硬件的安全机制,保障所有系统固件的安全。MachXO3D可以在系统生命周期的各个阶段(从生产到系统报废),组件固件遭到未经授权的访问时,对其保护、检测和恢复。 组件的固件已逐渐成为网络攻击最为常见的目标。2018年,超过30亿各类系统的芯片由于固件安全问题,面临数据窃取等威胁。不安全的固件还会因为设备劫持(DDoS攻击)、设备篡改或破坏等隐患,让OE
[嵌入式]
一种高可信赖测控计算机的设计与实现
引 言
测控设备在信号检测、工业控制、医疗仪器、航空航天等领域应用十分广泛。目前测控系统大多是以工业控制计算机作为控制中心。但是这种方法主要有以下缺点:一是工业控制计算机控制通信功能相对比较弱,要增强控制通信功能就必须外加很多电路,从而使系统设计复杂,系统可靠性难以提高;二是工业控制计算机体积较大,不能满足某些特定行业的需要;三是工业控制计算机不适合于环境恶劣和可靠性要求很高的场合。
在航空领域中,有众多的测控仪器。这些仪器不仅要求可靠性高、重量轻、体积小,而且要求计算机抗恶劣环境能力强、能够与各种不同的航电设备通信。而机载燃油测控计算机就是一种典型的航空测量仪器,它为航空器驾驶员和其它航空设备提供重要的信息。它的工
[嵌入式]
恩智浦推出基于A71CH信任锚的创新“即插可信”方式保障安全
德国纽伦堡(2018年嵌入式系统展会)–2018年2月27日–面向众多市场应用领域提供安全物联网(IoT)嵌入式解决方案的供应商恩智浦半导体(NXP Semiconductors N.V.)(纳斯达克代码:NXPI)今日推出新的A71CH安全元件(SE)信任锚,这是一款针对下一代物联网设备(如边缘节点和网关)的即时可用安全解决方案。这款芯片旨在保护点对点或云连接的安全,可预置所需的机密信息,用于自主云接入和点对点身份验证。该解决方案从芯片级提供了信任根(RoT),具有加密密钥存储、密钥生成和派生等安全功能,以保护隐私数据和双向验证。 恩智浦物联网安全解决方案总经理Philippe Dubois表示:“企业现在开始意识到在未来云
[物联网]
无线身份验证门禁控制系统
1 概述
随着人们的移动性与日俱增,对身份验证的安全性及可靠性的新需求应运而生,推动虚拟身份验证取代密钥卡门禁。为了应付无间断连接及完全分布式智能设备的爆炸式增长所带来的挑战,有必要制定一种基础架构方案来支持不断演变的门禁控制系统应用,并推动所有相关的新产品开发工作。近距离无线通信(Near Field Communications,以下简称NFC)是有望实现上述目标的技术,但要确保其安全性,业界就必须建立一种基于综合监管链的身份验证方法——通过这种方法,系统或网络中的所有端点都能够得以验证,从而让各端点之间的身份验证信息在任何时候都能够可靠传输。接下来,本文将以HID Global最近开发的Trusted Identit
[网络通信]
中国电信称 收购联发科传闻并不可信
有媒体报道称,中国电信通过一些周边公司收购芯片厂商联发科的股份,并最终希望能够控股联发科实现对CDMA终端芯片的更好促动。
对此,中国电信综合部人士称,没有听说过这件事。“不太可信。”中国电信人士说,“不过,我们内部也正在了解这件事。”C114就此也拨打了多位联发科高层的电话。但是,他们的手机均处于关机状态。
一位芯片厂商对这则传闻也颇感意外。“大家同处业内,如果有这样的事情应该会有所耳闻,不过,我们从来没听说中国电信要收购联发科。而且,在这条新闻出来后,我们从工业和信息化部了解到,他们也没有这方面的口风。“
如果上述传闻属实的话,那么中国电信致力于通过控股CDMA芯片厂商进而更好地控制CDMA终端产
[嵌入式]
美国政府寻求多位“可信任”晶圆代工伙伴
美国国防部正在寻找信任的晶圆代工厂,如果一切顺利,就可能在2019年开始利用来自多个晶圆代工伙伴的最先进制程技术。 美国国防部(U.S. Department of Defense,DoD)正在与多个技术伙伴合作,寻找可信任的晶圆代工厂制造军用ASIC;如果一切顺利,美国政府就有可能在2019年开始利用来自多个晶圆代工伙伴的最先进制程技术。 目前美国政府只与一座由Globalfoundries负责营运的晶圆厂合作,技术限于32纳米制程以及更高的设计规则;这座晶圆厂是美国政府与IBM之间“可信任晶圆代工伙伴”长期合作关系的延续,而IBM已在2015年将旗下晶圆厂都出售给Globalfoundries。 负责监督可信任晶圆
[半导体设计/制造]
国际可信计算和云安全峰会,应对物联网和云安全问题
俄勒冈州波特兰--(美国商业资讯)--物联网互联设备和服务的爆炸性增长催生了对隐私和安全的需求。2016年5月11日,可信计算组(TCG)和全国信息安全标准化技术委员会(TC 260)在中国北京中关村皇冠假日酒店举办了国际可信计算和云安全峰会,讨论如何应对这一挑战。
来自领先的技术公司、学术研究机构和政府的专家代表们将在峰会上发表主题演讲和技术讲解。演讲主题涵盖许多领域,包括国际标准、特定领域的实施和通用跨平台技术,提供了物联网、云和应用领域的创新和采用可信计算的实践案例。关于可信计算的新发展对企业应用、消费者保护和产品所产生的影响,本论坛也会提供重要见解。
可信计算组董事会副总裁陈静表示: 有如此多的专家参加本峰会,发
[网络通信]