?

　　1 概述

　　隨著人們的移動性與日俱增，對身份驗證的安全性及可靠性的新需求應(yīng)運而生，推動虛擬身份驗證取代密鑰卡門禁。為了應(yīng)付無間斷連接及完全分布式智能設(shè)備的爆炸式增長所帶來的挑戰(zhàn)，有必要制定一種基礎(chǔ)架構(gòu)方案來支持不斷演變的門禁控制系統(tǒng)應(yīng)用，并推動所有相關(guān)的新產(chǎn)品開發(fā)工作。近距離無線通信(Near Field Communications，以下簡稱NFC)是有望實現(xiàn)上述目標(biāo)的技術(shù)，但要確保其安全性，業(yè)界就必須建立一種基于綜合監(jiān)管鏈的身份驗證方法——通過這種方法，系統(tǒng)或網(wǎng)絡(luò)中的所有端點都能夠得以驗證，從而讓各端點之間的身份驗證信息在任何時候都能夠可靠傳輸。接下來，本文將以HID Global最近開發(fā)的Trusted Identity Platform(以下簡稱TIP)為例對此加以介紹。

　　2 系統(tǒng)簡介

　　TIP是一種安全可信的網(wǎng)絡(luò)，可提供身份驗證傳輸框架，實現(xiàn)安全產(chǎn)品和服務(wù)的交付。它是一種用于創(chuàng)建、交付和管理安全身份驗證的綜合性框架。簡單來說，該基礎(chǔ)架構(gòu)是一個中央安全庫，通過安全的網(wǎng)絡(luò)連接，并以公開的加密密鑰管理安全政策為依據(jù)，為已知端點(如憑證卡、讀卡器和打印機)服務(wù)交付。HID Global將其稱為“受規(guī)限”系統(tǒng)——連接到該系統(tǒng)的所有設(shè)備都是已知的，因而能夠可靠安全地交換信息。TIP架構(gòu)具有充分的可擴展性，其傳輸協(xié)議和加密模式符合各種標(biāo)準(zhǔn)，可支持多種應(yīng)用。TIP系統(tǒng)還可以實現(xiàn)虛擬化及云端基礎(chǔ)模式，因而能夠在不影響安全性的情況下通過互聯(lián)網(wǎng)提供服務(wù)交付。

　　TIP提供一種受保護的身份驗證傳輸網(wǎng)絡(luò)，可對網(wǎng)絡(luò)中的所有端點或節(jié)點進行驗證，因而各節(jié)點之間的信息傳輸都是可信的。

?

　　圖1 TIP模型圖

　　TIP模型(如圖1所示)包含三個核心要素，即安全庫(Secure Vault)、安全通信(Secure Messaging)方法、密鑰管理策略和規(guī)范(Key Management Policy and Practices)。安全庫為已知且可信的端點提供加密密鑰安全存儲功能，安全通信方法即使用符合行業(yè)標(biāo)準(zhǔn)的對稱密鑰方法將信息傳輸至各個端點，密鑰管理策略和規(guī)范即設(shè)定“安全庫”的訪問規(guī)則以及向各端點分發(fā)密鑰的規(guī)則。