为确保近距离无线通信 (NFC)技术应用的安全性,唯一方法就是提供完善的监管链,保证各个终端之间身份信息的安全交换,对系统或网络中的所有端点都能够得以验证。
HID 的Trusted Identity PlatformTM (TIP)作为一种身份验证系统,可提供身份验证传输框架,实现安全产品和服务的交付。它能够将读卡器、笔记本电脑、配备 NFC 功能的手机等其他产品转换为可信赖的身份验证节点,无论它们处于何种位置或采取何种连接方式,都可以安全地进行信息交换。简单来说,该基础架构是一个中央安全库,通过安全的网络连接,并以公开的加密密钥管理安全政策为依据,为已知端点(如凭证卡、读卡器和打印机)服务交付。
只有在实施了TIP节点协议后,端点才会启用,进而被“安全库”识别并注册为可靠的网络成员。而后,该端点就可与“安全库”进行通信。凭证卡、读卡器及打印机等端点通过软件工作流程与“安全库”进行通信,其访问和处理规则都受到HID Global的“密钥管理策略和规范”的严格管控——只有经认证的设备才能够加入该网络(与任何计算机都可访问任何网站的互联网不同),从而形成了隐性的、严格的身份验证机制。
各端点之间的TIP消息采用符合行业标准的加密方法进行加密,以便进行符合公开安全政策的安全信息传输。这些TIP信息数据包由两个嵌套的对称密钥进行保护,其中含有“安全身份验证对象”(Secure Identity Object,简称SIO)信息。多个SIO可嵌套到一个TIP信息中,向各种不同的设备(如门禁卡、智能手机及计算机)提供多种指令。如有必要,每个设备都可具有不同的门禁控制特性。例如,最简单的SIO就是模拟iCLASS卡上的凭证程序数据。
“安全库”与端点设备之间的验证通过后,该设备在网络中就被视为是“可信的”。可信设备无需再与安全库进行通信,可以独立工作。在这种方式下,各端点(如凭证卡及读卡器)之间的信息传输是“可信的”,而由此产生的信息传输(例如打开一道门或登录到计算机)也就被视为是“可信的”。
NFC 移动设备就可作为TIP端点而受到支持,因而能够使用不同的SIO进行编程,进而实现模拟卡片或者更为复杂的应用,不但可以获授权通过门禁系统,还可实施由其自身进行解释的复杂门禁控制规则。