NFC技术在门禁控制系统的前景和应用

　　引言：在过去的几年中我们已经看到了安防行业的迅速崛起，同样作为安防领域中的一种--门禁访问控制领域发展是否会有些不同呢？关于NFC标准、生物识别、无线等都将成为我们关注的重点。虽说目前NFC技术的应用集中在电子支付，但未来NFC技术将进一步融合到门禁解决方案，从而为安防市场带来的新的发展机会。

　　过去数十年，我们采用塑胶卡片验证身份以及其他一卡通的应用，但随着智能手机的流行，用户期望以更便利的方式来完成这些应用。NFC技术的出现恰好应对了这方面的诉求，NFC 技术能够在几厘米的近距离内实现数据交换，从而为支持NFC的手机实现多种非接触式应用和交易，包括付款和公交车票、钥匙（门禁卡）、数据传输（包括电子商务卡）以及浏览网络资料。

　　目前NFC技术的应用集中在电子支付，但未来NFC技术将进一步融合到门禁解决方案，从而为安防市场带来的新的发展机会。用户只需将虚拟凭证卡配置到NFC手机中，就能开启门禁。这不仅免去了用户携带其他门禁凭证卡的麻烦，而且安全经理能轻松监控出入口人员的进出。同时，基于 NFC 的门禁系统将创造一个更便捷安全交易平台。安全经理不但能远程发送、更改及注销虚拟凭证卡，而此平台是建基于标准的身份验证系统，能支持各种身份验证节点（包括读卡器、证卡、配备 NFC 的手机等）注册为“可信节点”，确保在世界任何地点都能安全地进行配置。

　　NFC技术在门禁领域的的全球化应用与发展

　　随着用户对移动性的日益增长，NFC 技术正被广泛应用于多个领域包括移动支付与交易、交通付费、客户忠诚度计划及网络信息访问等。越来越多的移动设备厂商如诺基亚、三星（谷歌）、 Research in MoTIon（RIM）、LG和中兴通讯正陆续推出的支持NFC的手机，这将进一步促进NFC 技术在移动门禁领域的应用与发展。

　　瑞典斯德哥尔摩 Clarion 酒店内部首次试用NFC 技术，用支持 NFC 的手机取代酒店房卡。Clarion酒店与 HID Global 母公司 ASSA ABLOY、Choice Hotels Scandinavia、TeliaSonera、VingCard Elsafe 以及Giesecke & Devrient合作，挑选出部分 Clarion 酒店客人作为参与对象，并向其提供具备 NFC 功能和相关软件的三星手机，客人在到达酒店前可使用手机登记入住，同时间数码房卡会发至客人的手机。抵达后，客人不必排队登记便可直接入住，将手机贴近门锁便可打开 房门。离开 房间时，房门会自动锁上，客人通过手机直接办理退房手续。

　　此外，HID Global在企业成功进行移动门禁试验，验证了员工能够用支持NFC智能手机开门，而且不影响企业的安全性。在Netflix公司美国总部进行的移动门禁实验证明了用智能手机开门优点众多，而且提高了安全性。读卡器及凭证卡进行双重验证，降低了凭证卡资料被窃取及重复被盗用的威胁，而因为只有用户知道手机可当作钥匙使用，并拥有进入手机的密码，以及知道怎样激活手机内的虚拟钥匙，而且大部分人都不会出借自己的手机，这可以防止虚拟凭证卡被滥用。

　　目前，NFC 技术在国内外的应用仍有待发展，要使技术普及就必须通过业界的广泛合作。HID Global 已积极与NFC设备制造商合作，例如与日本索尼联合推出了支持NFC 的非接触式智能卡读卡器平台，专门应用于笔记本电脑和移动设备，并通过在该平台的安全组件存储密钥，保护身份信息存储的可靠性与完整性，通过将门禁控制功能和近距离无线通讯（NFC）功能嵌入到笔记本电脑和其他移动设备中，实现基于移动设备的门禁控制、电脑安全登录、车船机票费支付、销售点收费和忠诚度计划。

　　HID Global另与恩智浦半导体联合推出全球通用的NFC手机移动门禁解决方案。员工用来进入公司大楼和车库的非接触式智能卡的功能，现在可以应用到支持NFC且储存了虚拟门禁凭证卡的手机上。这些虚拟凭证卡储存于手机中的恩智浦嵌入式Secure Element（eSE）元件中，能与当前广泛使用的门禁控制读卡器及系统兼容。HID Global的iCLASS SE读卡器与恩智浦的MIFARE DESFire及NFC技术相结合，可确保门禁管理实现更高的互 *** 作性，使企业加快NFC技术的应用。

　　身份验证生态系统保障NFC技术应用的安全性

　　为确保NFC技术应用的安全性，唯一方法就是提供完善的的监管链，保证各个终端之间身份信息安全交换，，对系统或网络中的所有端点都能够得以验证。

　　HID 的Trusted IdenTIty Platform（TIP） 作为一种身份验证系统，可提供身份验证传输框架，实现安全产品和 服务的交付。它能够将读卡器、笔记本电脑、配备 NFC 功能的手机等其他产品转换为可信赖的身份验证节点，无论它们处于何种位置或采取何种连接方式，都可以安全地进行信息交换。简单来说，该基础架构是一个中央安全库，通过安全的网络连接，并以公开的加密密钥管理安全政策为依据，为已知端点（如凭证卡、读卡器和打印机）服务交付。

　　只有在实施了TIP节点协议后，端点才会启用，进而被“安全库”识别并注册为可靠的网络成员。而后，该端点就可与“安全库”进行通信。凭证卡、读卡器及打印机等端点通过软件工作流程与“安全库”进行通信，其访问和处理规则都受到HID Global的“密钥管理策略和规范”的严格管控——只有经认证的设备才能够加入该网络（与任何计算机都可访问任何网站的互联网不同），从而形成了隐性的、严格的身份验证机制。

　　各端点之间的TIP消息采用符合行业标准的加密方法进行加密，以便进行符合公开安全政策的安全信息传输。这些TIP信息数据包由两个嵌套的对称密钥进行保护，其中含有“安全身份验证对象”（Secure Identity Object，简称SIO）信息。多个SIO可嵌套到一个TIP信息中，向各种不同的设备（如门禁卡、智能手机及计算机）提供多种指令。如有必要，每个设备都可具有不同的门禁控制特性。例如，最简单的SIO就是模拟iCLASS卡上的凭证程序数据。

　　“安全库”与端点设备之间的验证通过后，该设备在网络中就被视为是“可信的”。可信设备无需再与安全库进行通信，可以独立工作。在这种方式下，各端点（如凭证卡及读卡器）之间的信息传输是“可信的”，而由此产生的信息传输（例如打开一道门或登录到计算机）也就被视为是“可信的”。

　　NFC 移动设备就可作为TIP端点而受到支持，因而能够使用不同的SIO进行编程，进而实现模拟卡片或者更为复杂的应用，不但可以获授权通过门禁系统，还可实施由其自身进行解释的复杂门禁控制规则。