当前位置:首页 > 消费电子 > 消费电子
[导读] 主题:自备终端(BYOD)发展趋势;用员工自己的移动设备来控制对工作设施及设备的使用,会对信息安全产生怎样的影响;在不使公司有安全风险或不损害员工隐私的前提下,有哪些方式能安全地实现这样的设施及设备使用。自备

 主题:自备终端(BYOD)发展趋势;用员工自己的移动设备来控制对工作设施及设备的使用,会对信息安全产生怎样的影响;在不使公司有安全风险或不损害员工隐私的前提下,有哪些方式能安全地实现这样的设施及设备使用。

自备终端(Bring Your Own Device,简称BYOD),即企业允许员工离职时保留自己的手机,这种做法正日益流行。如今智能手机功能也越来越多,我们不仅能用自己的手机访问电脑、网络和有关的信息资料,还能用手机开门和进入安全区域。在自备终端环境中部署这类网络访问和门禁应用需要配置相关的基础设施,具备正确的技术,同时进行安全性评估和适当规划。

门禁功能最近才被添加到智能手机里 。在最简单的应用情况下,要实现移动门禁控制,仅需用智能手机上运行的虚拟凭证卡软件取代塑胶卡片,并复制基于卡片的门禁控制规则即可。系统仍然需要在读卡器和存储门禁规则的中央硬件控制面板(或服务器)之间做出门禁决策。在这种情况下,读卡器仍然连接到中央门禁控制系统。

如今的智能手机还能产生一次性动态密码(One Time Password, 简称OTP),以安全地登录到另一部移动设备或桌面电脑,并访问网络。此外,具备虚拟凭证卡的智能手机可用来购买物品,例如在公司食堂买饭,还可用来安全地使用打印设备。考虑到自备智能手机具有如此丰富的功能,越来越多的员工开始用自己的手机访问系统、数据和公司设施, IT部门应该积极研发相关的解决方案,从而更好地保护这些资源。移动门禁控制系统要顺利、安全地与现有门禁控制系统及传统塑胶门禁卡共存,这需要满足几项要求。首先,从智能手机到门禁读卡器,必须有一种数据通信方式。用支持近距离无线通信(Near Field Communications,简称NFC)的手机和/或支持NFC的附加设备可以实现这种数据通信,例如microSD卡就是这样一种附加设备,确保不支持NFC的设备也能安全升级。

其次,必须有一个由读卡器、门锁以及其他硬件组成的生态系统,这些生态系统组件可以读取虚拟凭证卡,并以适当的行动来回应,例如打开门锁,或允许访问电脑和网络。目前,已经有超过65万家酒店安装了能用支持NFC的智能手机打开的门锁。同样地,可互操作的在线门禁读卡器、机电门锁以及连接桌面电脑或PC登录的读卡器也正在部署,而且第三方厂商也在开发支持NFC的硬件解决方案,包括生物识别设备、考勤终端和电动汽车充电站等等。

最后,对于智能手机上使用的虚拟密钥和虚拟凭证卡,必须有一种建立和管理的方式。这不仅要求要用一种新的方式来描述身份信息,还要求这种身份信息的描述要在一种可靠的身份认证框架之内进行,以便自备智能手机能安全地在门禁控制网络中使用。

这种身份信息的描述必须支持多种与安全身份信息有关的加密数据模型, 包括生物识别数据、考勤数据等。可靠的身份认证框架确保在被验证终端之间有一条安全的通信渠道。用来确认自备终端安全可靠的技术需要使用手机的安全组件,该组件通常是一个嵌入式电路,或者是一个插入式模块,常常被称为用户识别模块(SIM)。

通过建立一个由安全可靠的终端组成的生态系统,自备智能手机在门禁系统中可以得到有效管理,这样,手机、读卡器和门锁之间的身份信息配置/取消配置以及其他所有信息的处理就变得安全可靠了。该框架与成熟可靠的智能手机技术相结合,可建立一个极其安全的移动身份验证环境。

运用这个框架,无论移动设备位于何处、怎样连接,企业都可以向这些移动设备发布虚拟凭证卡和虚拟密钥。一种方式是通过互联网,类似于传统上购买塑胶凭证卡的模式,但通过USB或支持Wi-Fi的连接器连接自备终端。或者,虚拟凭证卡可以由服务供应商空中传送,类似于今天的智能手机用户下载应用和歌曲的方式。为了通过空中获得虚拟凭证卡,支持NFC的智能手机需要与可信服务管理器(Trusted Service Manager,简称TSM)通信,然后或者直接连接到移动网络运营商,或者连接到其TSM,这样虚拟凭证卡就可以提供给智能手机的SIM卡了。视乎企业的信息安全政策,用户可通过NFC“轻触即提供(tap-n-give)”的配置,与授权用户共享虚拟凭证卡和虚拟密钥。

安全的移动配置模型消除了塑胶卡片可能被复制的传统风险,而且使发行临时凭证卡、在凭证卡丢失或被盗时撤销凭证卡变得更容易,同时在需要的情况下,例如对信息安全的威胁级别上升时,监视和修改安全参数也更容易了。系统管理员可以使用管理服务,通过空中取消虚拟凭证卡的配置,或者在门禁控制系统数据库中删除访问权。企业还可以动态地、基于背景情况进行设定,例如撤销双因子验证,企业甚至可以支持可变的信息安全级别,并使用附加的数据元素。例如,当安全威胁升级时,可以动态地取消双因子验证,而且可以推送给手机一个应用,要求用户输入4位PIN码,或者要求在手机发送信息开门之前,做出一个刷卡的手势。

随着门禁和电脑桌面登录应用转向自备智能手机,有几个问题需要解决。首先,要保护个人隐私,同时保护企业免受会造成损害的个人应用的影响,所有应用和其他ID凭证卡都必须局限于在个人和企业之间使用。另一个挑战是,怎样利用虚拟密钥及虚拟凭证卡达成其他应用,例如,让应用支持PIN码输入,以使密钥“解锁”,完成验证或签署过程。此外,中间件API必须标准化,这样ID凭证卡功能才能应用。

另外,也许有必要支持衍生凭证卡,例如从美国联邦工作人员的个人身份验证(Personal Identity Verification, 简称PIV)卡衍生的那些凭证卡。局限于企业和个人之间这种使用方式与衍生凭证卡相结合,还会催生对分层生命周期管理的需求,例如,如果移动设备丢失,那么凭借分层生命周期管理,就可以取消所有凭证卡,而如果取消个人身份验证卡,那么将自动取消仅用于工作环境的移动ID凭证卡。也许移动ID的多维管理问题,才正是自备终端模式中最具挑战性的部分。

门禁和电脑桌面登录功能要在自备智能手机上共存,就需要确保云端存储的安全性。有4种可能的方法。第一种是在公用互联网上采用一种开放的访问模型,在这种模型中,用户名和密码由软件即服务(SaaS)供应商管理。尽管这种方法易于采用,但是所提供的数据保护能力是最弱的。第二种是采用虚拟专用网络(Virtual Private Network ,简称VPN),并要求远程用户在输入用户名和密码之前,先就虚拟专用网络进行验证(最有可能的是通过一次性动态密码解决方案实现)。不过,虚拟专用网络对用户而言不够方便,不能很好地扩展以容纳自备设备,因为虚拟专用网络要求在很多不同的设备上安装虚拟专用网络客户端和个人应用,而且虚拟专用网络没有针对互联网安全威胁提供额外保护。

第三种方法是强大的本机验证,这种方法也不够便利,因为每个应用都要求独特的、唯一的安全解决方案。第四种也是最好的一种方法,是联合身份管理,采用这种方法时,用户就一个中央门户进行验证,以访问多种应用。这种方式支持很多不同的验证方法,不需要在最终用户的设备上安装任何东西,而且可对任何被访问的应用集中提供审计记录,因此能满足法规遵从要求。这种方法也能经得起高级持续性威胁(Advanced Persistent Threats, 简称APTs)、专门的黑客攻击、前员工的恶意行为以及员工欺诈等内部安全威胁。联合身份管理还适用于存储在其他地方的内部应用,使用户能在一个位置上方便地访问各种应用。不过,无论选择哪种方法,对于企业一方和自备终端所有者一方而言,都有可能存在其他需要解决的政策及采用问题。企业想要自备终端所有者放弃一定的权利,以使他们能用自己的手机开门和登录电脑桌面,而自备终端所有者不想使用某些功能,因为他们害怕泄露隐私。

自备终端具备大量优点,尤其是员工的智能手机能成为一种载体,寄存了企业中种类日益增多的门禁和电脑桌面登录密钥及凭证卡。即将出现的新一代移动门禁控制解决方案将提供更大的便利性和管理灵活性,同时可确保在智能手机电脑和网络资源、门禁控制系统以及云端和空中交付身份信息的基础设施之间,安全地处理数据。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭