NFC Forum将近距离无线通信(NFC)技术描述为一种短距离无线连接技术(也被称为ISO 18092),提供简单直接和安全的电子设备通信。按照NFC Forum在其背景论文中的描述,两台NFC设备之间能够在距离小于四厘米时进行通信。
移动设备零售商、移动网络运营商、金融机构和门禁行业等正在推广NFC技术应用包括移动支付、手机间的图片和其他数据传输、智能广告和会员卡管理等。此外,该技术有效配合消费者的触控式屏幕体验,使用户熟悉选择图案运行应用程序这一概念。最终目标是将您手机上的许多日常任务和活动融合到一起:即银行业务和支付、交通、开门等其他安防门禁应用、安全打印管理(包括“发送”打印任务,即用户的打印作业保存在服务器上,然后发放给在NFC智能手机上持有适当移动凭证卡的用户)。此外,NFC手机的门禁控制系统非常适合应用在考勤、PC安全登录、存储生物识别模板做多因子身份验证。
NFC如何在日益增长的应用中发挥作用
支付是最重要的NFC初期应用,但绝不是唯一应用。NFC完全符合非接触式智能卡的ISO标准,使门禁控制成为该技术的另一个理想应用。此外,与标准蓝牙以及低功率改进版蓝牙3.0相比,NFC建立连接更加迅速:无需手动配置识别设备,两台NFC设备可以在十分之一秒内自动建立连接。配备NFC技术的手机可以用于寄存身份凭证卡,然后通过无线方式发送给读卡器,只需将手机对准读卡器,用户就可以开启门禁。
NFC技术设计包括发起设备和目标设备。发起设备产生射频(RF)磁场,为目标设备提供电力,使这些目标设备采用无需电源的简单形式(例如:非接触式智能卡)。可以为NFC设备提供各种工作模式:
在点对点模式中,两台设备可以主动交换数据。应用实例包括建立连接交换商务名片或将手机对准NFC打印机以打印手机上的文件;
在读/写模式中,NFC设备可以作为读卡器,读取或写入互操作标签上的信息。应用实例包括互动式广告(NFC广告可以引导设备打开网页)或远程安检(安防人员使用移动设备读取门禁卡);
在虚拟卡模式中,NFC设备与传统非接触式卡的工作方式相似。应用实例包括住宅、酒店或办公室的无钥匙门禁系统。可以远程派发和撤消虚拟卡。
建立移动访问格局
移动门禁控制系统四项基本要求
· 具有移动门禁功能的NFC手机:内置NFC芯片的手机需要一个安全元件存储敏感的身份信息以及在安全元件内运行的applet程序配置该身份信息。此外还需要与用户交互的应用程序,;使用移动设备寄存新身份识别的虚拟凭证卡;显示该应用的ID凭证卡功能的标准化中间件API;
· 互操作设备组成的生态系统:除了手机外,在门禁管理网络的可信框架内必须有读取和响应NFC手机中存储的虚拟凭证卡的读卡器、锁以及其他硬件,确保互操作产品的安全生态系统内身份可信;
· 安全身份管理机制:此外,必须有一种管理数字凭证卡和密钥周期的方法,包括“可信”框架内的所有身份的分配/取消和共享。这意味着在认证终端之间交换身份数据必须有一条安全信道,以便手机、读卡器和锁之间的所有交易在安全、可信的通信框架内进行;
· 服务提供商(SP)生态系统:此外,还必须有一个由移动网络运营商(MNO)、可信服务管理商(TSM)和其他可以提供和管理移动凭证卡的服务提供商组成的生态系统。对于该移动生态系统将包括哪些类型的组织,以及该生态系统今后如何发展,存在多种观点。该生态系统的时机和发展将对移动支付、交通售票、门禁控制等应用中NFC的采用速度产生影响。
安全元件在何处?
NFC系统的核心是安全元件,现在已经成为一个关键的商业战场。因为取得安全软件的控制权可决定安装何种应用,也会影响大部分用户的体验。通过在可信框架内执行,智能手机为非常安全的移动身份环境提供了平台,包括在经过验证的手机、安全元件、其他安全介质和设备之间传输身份信息的安全信道,存在多种方案。
· 移动网络运营商(MNO)希望在手机的Subscriber Identity Module (SIM)<也被称为Universal Integrated Circuit Card (UICC)>中使用安全元件,因为他们能够控制这些设备。该方式能够确立移动网络运营商的地位,因为他们能够控制这些设备。作为一项可靠的技术,SIM卡可以存储手机用户信息和相关服务。使用SIM卡作为安全元件可确保手机丢失或被盗时,用户不会丢失一切,因为移动网络运营商可以通过空中启用和停用服务。带SIM卡的NFC手机也提供了强大的安全功能,例如,门禁服务的PIN密码、保护交易和防篡改的增强型身份验证技术,并且符合国际安全标准;
· 一些硬件制造商希望将安全元件集成到手机中,因为他们可以控制用于NFC服务的手机部分。销售配备嵌入式安全元件的NFC手机的公司包括诺基亚、黑莓和三星。嵌入式安全元件也用于其他类型的移动设备,包括平板电脑和笔记本电脑;
· 第三种方案是将安全元件放入外置设备中,例如:MicroSD卡、手机套、手机贴或其他附件。与SIM卡和嵌入式安全元件类似,这些外部设备通常由手机提供支持,但是MicroSD需要用户启动应用程序提供支持。NFC附件的读取距离通常比配备嵌入式NFC线路的手机小(尽管距离扩展器可以用于缓解该问题)。该方法的优势是尽管供应商的数量很少,非NFC手机可以装配这些外部设备。
可信服务管理商:对于许多NFC应用实例至关重要
NFC技术部署的一个关键要素是可信服务管理商(TSM),他们将提供和管理安全元件的Applet程序。他们为安全元件的所有者和需要访问安全元件的服务提供商建立技术连接。每个移动网络运营商和服务提供商都需要一个TSM,以便他们能够空中远程分配和管理应用程序、访问全球可信框架内的安全元件。如果MicroSD用作安全元件,服务提供商可以有效地发行各自的凭证卡。
为了建立TSM凭证卡交付基础设施,公共访问控制TSM必须能够与移动网络运营商及其TSM,移动网络运营商以及他们的TSM支持的服务提供商,以及接收安全元件中存储的密钥的NFC智能手机建立无缝接口。这有助于密钥和凭证卡管理,包括所有身份的分配/取消和共享。一切活动都在可信框架内部发生,以便为验证终端交换身份数据对象提供安全信道,以及在由互操作的手机、读卡器和锁组成的不断增长的生态系统中可以信任所有交易。该基础设施到位后,访问控制公司将成为服务提供商,创造新的用户体验,使用户可以随时随地进行访问。
最新的便携式智能卡技术在该服务环境中发挥了关键作用。因为目前的智能卡拥有标准尺寸,并且可以移植到NFC智能手机上。客户可以在他们的门禁系统中使用智能卡、移动设备或两者同时使用。最新的智能卡技术也能全面保护隐私,因为在智能卡通讯中不交换可追踪的标识符,与指定卡相关的数据也就无法被泄露或拷贝。这对于企业和政府机构非常重要,因为他们的身份管理政策受到法规约束。最后,目前的智能卡生态系统也使用安全机制,例如,双重身份验证和多元化密钥,以及3DES或AES等开放标准加密协议。在可信框架内的所有功能都确保TSM为交付和管理移动凭证卡提供较高的安全性和隐私保护。
非支付应用可以成为NFC的杀手级应用
NFC技术的支付应用已经被众人熟知,但是NFC智能手机的能力远不止如此。移动支付是最初推动NFC大规模采用的应用,随着支持NFC的手机和支付终端数量的增加,将加速部署。这将使NFC成为所有智能设备的标准功能,如同当今的蓝牙一样,这将推动支付以外的许多新应用。智能手机将携带多种类型的虚拟凭证卡和卡片,用于住宅、楼宇和设施的门禁系统,以及计算机桌面登录、网络和其他资源的登录。
例如,目前航空公司使用条码技术,而该技术被视为小额交易和适量风险的应用实例中,但旅客已经有意使用手机作为登机证。这将进一步证明用户越来越希望将手机用于各种交易。NFC智能手机将实现无障碍、灵活的旅游体验。当商务旅客到达目的地时,他们将能够使用智能手机租用车辆,在手机上接收酒店客房钥匙,使他们绕过前台直接登记入住和退房。目前,已经部署了650,000个可配置以支持NFC智能手机的酒店锁。
虚拟凭证卡和身份凭证卡也将为电动车辆充电站等应用提供理想平台。驾驶员将电动车辆停靠在充电桩旁边,他们可以使用NFC手机代替信用卡使用和支付该服务。NFC手机也可以用于访问个人健康史。患者可以向医院出示手机代替填表,在急诊中也可以通过适当的访问凭证卡为护理人员提供健康信息。
在办公室或医院等商业应用中,用户将能够在智能手机上接收虚拟凭证卡,使其与操作该门禁控制系统的各种读卡器和锁互操作,支持各种安全级别和相关的门禁规定。NFC锁可以为敏感的商业和个人数据区域提供精细、限时的存取设置。当需要更高安全级别时,可以动态调用双因子验证,然后将一个应用程序推送到手机上。例如,需要用户输入4位数字密码或执行滑动手机键盘,然后发送消息,允许手机开启门禁。多因子验证是一种有条理、实时的管理服务。
在零售行业中,商店将能够灵活推广和管理各种会员卡计划。在住宅方面,家庭成员将能够在智能手机上空中接收住宅的虚拟凭证卡。当业主想要为维修人员临时分配开启门禁权限时,可以发送临时虚拟凭证卡,然后当项目完成时取消。NFC大门锁将在2013年进入消费市场。
NFC智能手机将融合门禁和网络访问。用户渴望使用单一凭证卡进入大楼、登录网络、访问应用程序和其他系统、远程访问安全网络,而无需能产生一次性密码的动态密码或密钥卡。将所有凭证卡放入NFC智能手机中不但更为便利,并且在整个关键系统和应用的IT基础设施上而非仅在周边设施上实现增强验证,可以显著提高安全性。此外,各个机构可以利用现有的凭证卡投资增加网络登录的控制,在整个公司网络、系统和设施上建立完全互操作的多重安全解决方案,从而减少部署和运营成本。
多技术平台轻松过渡
NFC移动门禁系统不会在未来几年内完全替代钥匙和卡片。相反,NFC智能手机内的移动门禁凭证卡将与其他卡片一同发挥作用。许多机构仍然希望他们的员工携带传统卡片,因为它们可以在卡片上印有照片作身份验证。用户需预先计划,以便在他们的门禁系统中支持两种类型的凭证卡。
最佳方式是使用可移植到NFC手机的标准智能卡技术,使两种凭证卡技术能够在门禁系统中共存。同时,NFC门禁控制手机和现有技术基础的互操作性非常关键,因为已安装的门禁读卡器的寿命通常为10年或更久。该问题的解决之道是支持多种技术的读卡器,可确保与绝大部分广泛使用智能卡技术互操作,支持新一代凭证卡。门禁基础设施需要基于开放标准的解决方案,以确保互操作性。这将防止解决方案过时,以便未来可以利用今天的技术投资。
最令人兴奋的一项未来功能将是不涉及门禁卡和连接智能卡的解决方案。这与当今最简单的移动门禁控制模型形成对照。该模型仅复制现有卡片的门禁控制原则,用手机将身份信息传递给读卡器,然后读卡器向门禁规则服务器发出信息,以获得开启门禁的指令。未来也可以利用智能手机的强大能力显著降低部署门禁控制应用的成本。
换而言之,今天的智能手机拥有充足的板载计算功能,可用于执行读卡器和服务器或面板联合执行的大部分任务。因此,读卡器(和锁)可以不必具备很高的智能或连接功能。NFC手机将验证个人身份以及其他相关规则,例如:是否在允许时段要求进入,或使用手机的GPS功能判断该人士是否站在门前。然后手机使用加密通信向门禁系统发送可信的消息,以开启门禁。读卡器(或锁)需要做的就是解释和遵守加密的指令。读卡器(或锁)充当未连接至任何面板或服务器的加密门开关——这意味着管理和联机门禁入口的成本将被显著削减。业界将能够为室内门、文件柜、有价值或管制物品(如A类药物)的存储柜部署廉价而同样可靠的门禁系统。过往,如果在这类应用中安装传统的有线门禁控制基础设施,则成本过于高昂。HID Global称之为“门禁范式转移”,这与“Negroponte转移”概念相似,后者是麻省理工媒体实验室创始理事Nicholas Negroponte创造的通信术语,用于描述从有线连接到无线连接的过渡。
向移动模型转移
当我们出门时,我们心里核实的旧清单是钥匙、钱包和手机,而这一清单将要变短。NFC手机不仅可以具备以上一切,而且还通过联机云服务增强每项功能。通过标准的可移植凭证卡和支持多种技术的平台,将克服迁移和互操作性障碍。这些凭证卡和平台将在可信通信框架内利用安全数据结构,该可信通信框架将使用世界一流加密技术以及安全消息传送协议和通信。因此,可以在更安全的门禁环境下为用户提供便利。