基於TIP技術的身份驗證技術

2020-12-12 電子產品世界

1 概述

本文引用地址:http://www.eepw.com.cn/article/165653.htm

門禁控制系統正在擺脫傳統卡片和讀卡器的限制,邁入可配置憑證卡、非接觸式技術的全新領域。在新領域中,手機及其他設備可攜帶通過空中下載或網際網路接收的「數字密鑰」。隨著人們的移動性與日俱增,對身份驗證的安全性及可靠性的新需求應運而生,推動虛擬身份驗證取代密鑰卡門禁。為了應付無間斷連接及完全分布式智能設備的爆炸式增長所帶來的挑戰,有必要制定一種基礎架構方案來支持不斷演變的門禁控制系統應用,並推動所有相關的新產品開發工作。近距離無線通信(Near Field Communications,以下簡稱NFC)是有望實現上述目標的技術,但要確保其安全性,業界就必須建立一種基於綜合監管鏈的身份驗證方法——通過這種方法,系統或網絡中的所有端點都能夠得以驗證,從而讓各端點之間的身份驗證信息在任何時候都能夠可靠傳輸。接下來,本文將以HID Global最近開發的Trusted Identity Platform(以下簡稱TIP)為例對此加以介紹。

2 系統簡介

TIP是一種安全可信的網絡,可提供身份驗證傳輸框架,實現安全產品和服務的交付。它是一種用於創建、交付和管理安全身份驗證的綜合性框架。簡單來說,該基礎架構是一個中央安全庫,通過安全的網絡連接,並以公開的加密密鑰管理安全政策為依據,為已知端點(如憑證卡、讀卡器和印表機)服務交付。HID Global將其稱為「受規限」系統——連接到該系統的所有設備都是已知的,因而能夠可靠安全地交換信息。TIP架構具有充分的可擴展性,其傳輸協議和加密模式符合各種標準,可支持多種應用。TIP系統還可以實現虛擬化及雲端基礎模式,因而能夠在不影響安全性的情況下通過網際網路提供服務交付。

TIP提供一種受保護的身份驗證傳輸網絡,可對網絡中的所有端點或節點進行驗證,因而各節點之間的信息傳輸都是可信的。

圖1 TIP模型圖

TIP模型(如圖1所示)包含三個核心要素,即安全庫(Secure Vault)、安全通信(Secure Messaging)方法、密鑰管理策略和規範(Key Management Policy and Practices)。安全庫為已知且可信的端點提供加密密鑰安全存儲功能,安全通信方法即使用符合行業標準的對稱密鑰方法將信息傳輸至各個端點,密鑰管理策略和規範即設定「安全庫」的訪問規則以及向各端點分發密鑰的規則。

下面就讓我們更細緻地了解如何建立端點及可靠的信息傳輸。

只有在實施了TIP節點協議後,端點才會啟用,進而被「安全庫」識別並註冊為可靠的網絡成員。而後,該端點就可與「安全庫」進行通信。

憑證卡、讀卡器及印表機等端點通過軟體工作流程與「安全庫」進行通信,其訪問和處理規則都受到HID Global的「密鑰管理策略和規範」的嚴格管控——只有經認證的設備才能夠加入該網絡(與任何計算機都可訪問任何網站的網際網路不同),從而形成了隱性的、嚴格的身份驗證機制。

各端點之間的TIP消息採用符合行業標準的加密方法進行加密,以便進行符合公開安全政策的安全信息傳輸。這些TIP信息數據包由兩個嵌套的對稱密鑰進行保護,其中含有「安全身份驗證對象」(Secure Identity Object,簡稱SIO)信息。多個SIO可嵌套到一個TIP信息中,向各種不同的設備(如門禁卡、智慧型手機及計算機)提供多種指令。如有必要,每個設備都可具有不同的門禁控制特性。例如,最簡單的SIO就是模擬iCLASS卡上的憑證程序數據。

「安全庫」與端點設備之間的驗證通過後,該設備在網絡中就被視為是「可信的」。可信設備無需再與安全庫進行通信,可以獨立工作。在這種方式下,各端點(如憑證卡及讀卡器)之間的信息傳輸是「可信的」,而由此產生的信息傳輸(例如打開一道門或登錄到計算機)也就被視為是「可信的」。

在近距離無線通信技術的支持下,應用該技術的手機就可作為TIP端點而受到支持,因而能夠使用不同的SIO進行編程,進而實現模擬卡片或者更為複雜的應用,不但可以獲授權通過門禁系統,還可實施由其自身進行解釋的複雜門禁控制規則。

3 發展現狀及前景

TIP在2010年底已經開始部署,並已通過宣布與HID Global的第一家合作夥伴,NCF 晶片領先企業INSIDE Contactless的合作,朝可信、虛擬及按需式身份驗證網絡的宏偉藍圖邁出了第一步。INSIDE Contactless是為數不多的幾家正在全球範圍內推動NFC試驗的公司之一。這一開創性的合作將使支持NFC的手機能像物理智慧卡那樣,融入iCLASS?門禁控制和憑證信息。此憑證信息將通過HID Global的TIP系統提供,將來還可以實現與其他網絡服務和實時通信的結合使用。HID Global 計劃開展其他類似的合作夥伴關係,將HID Global和其他供應商的非接觸式解決方案、NFC 技術及其他廣泛應用的技術融為一體,為用戶身份驗證、無現金自動售貨及計算機安全登錄等各種應用打造一個廣泛適用(涵蓋從手機到筆記本電腦的各種終端設備)的平臺。這些平臺和應用將大幅提升非接觸式智慧卡憑證的價值定位。

相關焦點

  • 多因子身份驗證(MFA)技術盤點
    實際上,美國標準與技術研究所(NIST)在2016年就不贊成使用簡訊身份驗證了,認為該方法不再是安全的身份驗證方法。但不幸的是,很多公司企業還在繼續依賴簡訊OTP,給用戶一種虛假的安全感。  2. 硬體令牌  作為現役MFA方法中的老大哥,硬體身份驗證令牌常以帶OTP顯示屏的密鑰卡的形式存在,硬體本身保護著其內部唯一密鑰。
  • 數據治理技術探索:可驗證憑證
    可驗證憑證模型中,數據共享必須經過憑證所有者,憑證發行方和憑證驗證方之間不需要直接通信,這避免了用戶授權環節的缺失。同時,可驗證憑證模型提供了基於屬性的靈活的數據共享策略,且通過密碼學技術可支持不同程度的數據最小化披露。憑證驗證方向憑證所有者請求數據,可指定需要哪些屬性、是否僅需要密碼學驗證結果。
  • 基於AI的OCR技術徹底改變了銀行業
    考慮到欺詐的數量不斷增加,公司選擇使用OCR技術的強大驗證系統僅對合法客戶提供服務。這些系統使企業能夠在對客戶和公司造成麻煩之前過濾欺詐者。 對於洗錢者來說,銀行業就像金礦一樣工作,並且由於洗錢,身份盜竊和其他一些欺詐行為而面臨巨大的損失。各個州的政府還強制執行了嚴格的了解您的客戶和反洗錢法規。
  • Facebook正在研究基於面部識別的身份驗證系統
    然而,Facebook選擇基於面部識別的身份驗證。要設置基於面部識別的身份驗證,用戶將需要拍攝不同角度的自拍照。隨著新的面部識別系統的出現,Facebook用戶將不再需要面臨每次嘗試登錄Facebook時都需要輸入電子郵件和密碼的麻煩。 要將面部識別系統用作登錄Facebook的方法,用戶需要支持面部識別的智慧型手機。
  • 聲紋識別技術助力遠程身份認證
    網絡安全面臨重大挑戰無線網際網路以及智慧型手機的迅速發展,給人們日常生活帶來極大便利的同時也帶來了不容忽視的安全隱患,如何準確、迅速、安全地實現遠程身份認證成為擺在人們面前急需解決的問題。人們在實踐中發現,生物特徵具有唯一且在一定時間內較穩定不變的特性,這種獨特的優勢使得生物特徵識別技術被認為是終極的身份認證技術。
  • 【專利解密】OPPO區塊鏈身份驗證方法
    集微網消息,隨著無線通信技術的發展以及智能終端(智慧型手機)的普及,用戶在使用終端的應用過程中,通常會涉及到應用對終端進行身份認證,如應用上的積分領取為了防止冒領會對終端進行身份驗證,應用上的商品限時搶購活動也會涉及到對終端進行身份驗證等。
  • 基於分布式帳本技術的跨境支付系統應用
    它以密碼學技術為基礎,通過分布式多節點共識機制,完整、不可篡改地記錄交易過程。分布式帳本系統基於區塊鏈技術,主要用於構建去中心化、多中心化的應用或商業邏輯,代表性系統包括比特幣、以太坊等。當前,無鏈貨幣成為區塊鏈研究的前沿。
  • 指紋驗證技術的兩種方法,以及區別介紹
    與要求用戶創建、記住和保護密碼相比,採用指紋來做用戶驗證要安全得多,也簡便得多,因此指紋驗證成為了商家、銀行、用戶和第三方結算機構的首選方法。業界領先公司在指紋識別領域取得的一些技術進步和積極創新,產生了若干不同形式的指紋識別方法,不過這些方法從本質上說是完全不同的。
  • 統一身份認證成主流 趣鏈科技區塊鏈技術讓數據主權回歸用戶
    隨著國家對於網絡數據安全的重視以及民眾隱私意識的崛起,利用區塊鏈等去中心化技術實現的統一身份認證體系將成為主流。當數字身份遇上區塊鏈,碎片化的數字身份有了以用戶為中心的集中管道,使數字身份的真實性、唯一性得以保證。基於趣鏈科技區塊鏈技術搭建的分布式身份認證系統,數據多地備份,災備能力強,信息安全可靠。
  • 基於國產密碼技術的閱卷安全保障系統解決方案
    三、 解決方案(一) 方案概述針對網上閱卷系統存在的信息安全問題,山東漁翁信息技術股份有限公司以自主研發的國產密碼技術為核心,提供一套基於國產密碼技術的閱卷安全保障系統解決方案,該方案可為網上閱卷系統提供統一身份認證、數據加密傳輸、網站防篡改
  • 嚴格身份驗證程序 有效保護個人信息安全
    為保障信息安全,確保本人信用信息不被他人非法查詢,避免因身份被盜用引發的信息洩露風險,借鑑國際經驗做法,網上查詢設置了嚴格的身份驗證程序,即需要通過私密性問題驗證或數字證書驗證的方式確認個人身份的真實性。   只有通過身份驗證的個人才能註冊成為查詢用戶,且已經註冊成功的老用戶每次查詢信用報告時,均需要再次進行身份驗證。
  • BlueBite的身份驗證服務可能是一件大事的開始
    該公司表示,其解碼應用程式支持所有主要的NFC標籤,如HID、實驗室ID和Smartrac,這一點很重要,因為它使品牌能夠很容易地採用現有格式對其產品進行身份驗證。整個過程非常簡單,只花了10秒:我所要做的就是下載解碼應用程式,打開它,然後點擊一個標籤「身份驗證」。在那之後,我點擊了Telstar 18的一個區域,上面有四個信號波,然後進入應用程式的「掃描真實性」部分,然後,我收到一條信息,上面寫著阿迪達斯球的照片,上面寫著「認證」。您還將看到一個身份驗證ID,項目被檢查了多少次,以及「數位化」的第一天,也就是產品的NFC晶片最初被掃描時。
  • 無密碼身份驗證成新趨勢 將提高網絡安全性和便捷性
    在Gartner(信息技術研究分析公司)安全與風險虛擬峰會期間,Gartner高級主管分析師David Mahdi說,無密碼認證「是一種願望趨勢,而不一定是目的地。」。這是因為許多行業企業還依賴於使用舊的身份驗證方式。
  • 技術乾貨|常見單點登錄技術解讀
    實現單點登錄說到底就是要解決如何產生和存儲信任,再就是其他系統如何驗證這個信任的有效性,單點登錄有不同的實現方式,本次,我們將一起解讀一下目前業界常見的幾種單點登錄的實現技術。表單代填表單代填單點登錄,是基於表單的單點登錄功能。
  • 基於BIM技術的場地布置方案
    今天,小編要帶大家了解的是基於BIM技術的場地布置方案!抓緊時間來看吧!對於工程重要施工方案,利用BIM模型進行有效模擬驗證。通過BIM技術解決現場施工場地平面布置問題,解決現場場地劃分問題,按施工圖紙規劃出《施工平面布置圖》搭建各種臨時設施;按安全文明施工方案的要求進行修整和裝飾;臨時施工用水、用電、道路按施工要求標準完成;為使現場使用合理,施工平面布置應有條理,儘量減少佔用施工用地,使平面布置緊湊合理,同時做到場容整齊清潔,道路暢通,符合防火安全及文明施工的要求。
  • 基於深度學習的人臉識別技術全解
    人臉識別,是基於人的臉部特徵信息進行身份識別的一種生物識別技術。通常採用攝像機或攝像頭採集含有人臉的圖像或視頻流,並自動在圖像中檢測和跟蹤人臉。 人臉識別,是基於人的臉部特徵信息進行身份識別的一種生物識別技術。通常採用攝像機或攝像頭採集含有人臉的圖像或視頻流,並自動在圖像中檢測和跟蹤人臉。根據中國報告網發布《2018 年中國生物識別市場分析報告-行業深度分析與發展前景預測》中內容,2017 年生物識別技術全球市場規模上升到了 172 億美元,到 2020 年,預計全世界的生物識別市場規模有可能達到 240 億美元。
  • 基於模型的嵌入式C代碼的實現與驗證
    基於模型的設計就是解決該問題的一種方法。Matlab MBD解決方案可以使用戶方便地穿梭於建模、仿真、驗證與實施之間,而無需重寫代碼或改變軟體環境。經過近幾年的不斷完善,這種方法已經從概念演變成實際應用中重要的開發模式。洛克希德·馬丁、波音、空中巴士、通用汽車、奔馳、西門子、摩託羅拉等公司都有應用MBD技術開發的成功經驗。
  • Facebook扎克伯格將區塊鏈用於身份驗證
    編輯心得:Facebook經歷了一段醜聞風波,最近傳來其CEO扎克伯格正在發展區塊鏈技術,準備將區塊鏈用於身份驗證。而將區塊鏈用於用戶身份驗證,也許可以防止類似醜聞再次發生。  近日,扎克伯格表示:"我一直在考慮使用區塊鏈,雖然目前我還沒有發現區塊鏈的用處,但是我準備圍繞身份驗證展開研究,在區塊鏈的幫助下,可以將用戶信息授權給不同服務。"
  • Line登錄開始支持FIDO身份驗證機制
    目前在手機以外的其他設備,例如iPad或計算機登錄Line時,用戶可選擇輸入電子郵件及密碼,或是以個人使用的手機掃描QR Code,通過用戶身份驗證後登錄。新的生物特徵機制可讓iPad用戶登錄Line時,不需輸入密碼,選擇通過手機上的臉部識別或是指紋識別完成身份驗證,讓iPad用戶快速登錄Line。
  • 基於VR/AR/MR的複雜產品可視化平臺技術
    先進複雜產品可視化平臺應具備的主要技術要點:1、工業級實時渲染引擎,支持多種超高質量數字模型的可視化渲染方式2、支持複雜大型工業CAD數據模型3、支持5G應用,支持雲應用(雲渲染)4、支持各類XR終端顯示設備,各類大型綜合顯示環境隨著5G雲渲染技術的發展,使得VR雲平臺在5G時代得到更廣泛應用,VR雲平臺基於雲渲染技術打造高精度