工控摘要：隨著人們的移動性與日俱增，對身份驗證的安全性及可靠性的新需求應(yīng)運而生，推動虛擬身份驗證取代密鑰卡門禁。近距離無線通信（NFC）的嵌入使門禁系統(tǒng)或網(wǎng)絡(luò)中的所有端點都能夠得以驗證，從而讓各端點之間的身份驗證信息在任何時候都能夠可靠傳輸。
　　
　　1系統(tǒng)簡介
　　
　　TIP是一種安全可信的網(wǎng)絡(luò)，可提供身份驗證傳輸框架，實現(xiàn)安全產(chǎn)品和服務(wù)的交付。它是一種用于創(chuàng)建、交付和管理安全身份驗證的綜合性框架。簡單來說，該基礎(chǔ)架構(gòu)是一個*安全庫，通過安全的網(wǎng)絡(luò)連接，并以公開的加密密鑰管理安全政策為依據(jù)，為已知端點（如憑證卡、讀卡器什么是讀卡器？
　　
　　顧名思義，讀卡器就是讀取存儲卡的設(shè)備。存儲卡現(xiàn)在應(yīng)用可謂非常廣泛，從數(shù)碼相機到MP3隨身聽，從PDA掌上電腦到時下比較流行的多媒體手機。目前在市面上比較常見的存儲卡有SmartMedia（SM卡）、CompactFlash（CF卡）、MemoryStick（索尼記憶棒）、MultiMediaCard（MMC卡）、SDMemory（SD卡）、IBMMicrodrive（IBM微型硬盤），以及的XD-Picture（XD卡）。和打印機）服務(wù)交付。HIDGlobal將其稱為“受規(guī)限”系統(tǒng)——連接到該系統(tǒng)的所有設(shè)備都是已知的，因而能夠可靠安全地交換信息。TIP架構(gòu)具有充分的可擴展性，其傳輸協(xié)議和加密模式符合各種標(biāo)準(zhǔn)，可支持多種應(yīng)用。TIP系統(tǒng)還可以實現(xiàn)虛擬化及云端基礎(chǔ)模式，因而能夠在不影響安全性的情況下通過互聯(lián)網(wǎng)提供服務(wù)交付。
　　
　　TIP提供一種受保護的身份驗證傳輸網(wǎng)絡(luò)，可對網(wǎng)絡(luò)中的所有端點或節(jié)點進行驗證，因而各節(jié)點之間的信息傳輸都是可信的。
　　
　　TIP模型包含三個核心要素，即安全庫（SecureVault）、安全通信（SecureMessaging）方法、密鑰管理策略和規(guī)范（KeyManagementPolicyandPractices）。安全庫為已知且可信的端點提供加密密鑰安全存儲功能，安全通信方法即使用符合行業(yè)標(biāo)準(zhǔn)的對稱密鑰方法將信息傳輸至各個端點，密鑰管理策略和規(guī)范即設(shè)定“安全庫”的訪問規(guī)則以及向各端點分發(fā)密鑰的規(guī)則。
　　
　　2如何建立端點及可靠的信息傳輸
　　
　　只有在實施了TIP節(jié)點協(xié)議后，端點才會啟用，進而被“安全庫”識別并注冊為可靠的網(wǎng)絡(luò)成員。而后，該端點就可與“安全庫”進行通信。
　　
　　憑證卡、讀卡器及打印機等端點通過軟件工作流程與“安全庫”進行通信，其訪問和處理規(guī)則都受到HIDGlobal的“密鑰管理策略和規(guī)范”的嚴格管控——只有經(jīng)認證的設(shè)備才能夠加入該網(wǎng)絡(luò)（與任何計算機都可訪問任何的互聯(lián)網(wǎng)不同），從而形成了隱性的、嚴格的身份驗證機制。
　　
　　各端點之間的TIP消息采用符合行業(yè)標(biāo)準(zhǔn)的加密方法進行加密，以便進行符合公開安全政策的安全信息傳輸。這些TIP信息數(shù)據(jù)包由兩個嵌套的對稱密鑰進行保護，其中含有“安全身份驗證對象”（SecureIdentityObject，簡稱SIO）信息。多個SIO可嵌套到一個TIP信息中，向各種不同的設(shè)備（如門禁卡、智能手機及計算機）提供多種指令。如有必要，每個設(shè)備都可具有不同的門禁控制特性。例如，zui簡單的SIO就是模擬iCLASS卡上的憑證程序數(shù)據(jù)。
　　
　　“安全庫”與端點設(shè)備之間的驗證通過后，該設(shè)備在網(wǎng)絡(luò)中就被視為是“可信的”?？尚旁O(shè)備無需再與安全庫進行通信，可以獨立工作。在這種方式下，各端點（如憑證卡及讀卡器）之間的信息傳輸是“可信的”，而由此產(chǎn)生的信息傳輸（例如打開一道門或登錄到計算機）也就被視為是“可信的”。
　　
　　在近距離無線通信技術(shù)的支持下，應(yīng)用該技術(shù)的手機就可作為TIP端點而受到支持，因而能夠使用不同的SIO進行編程，進而實現(xiàn)模擬卡片或者更為復(fù)雜的應(yīng)用，不但可以獲*通過RFID/xinpin/menjinkaoqin/‘target=’_blank‘》門禁系統(tǒng)，還可實施由其自身進行解釋的復(fù)雜門禁控制規(guī)則。
　　
　　3發(fā)展現(xiàn)狀及前景
　　
　　TIP在2010年底已經(jīng)開始部署，并已通過宣布與HIDGlobal的*家合作伙伴，NCF芯片企業(yè)INSIDECONtactless的合作，朝可信、虛擬及按需式身份驗證網(wǎng)絡(luò)的宏偉藍圖邁出了*步。INSIDEContactless是為數(shù)不多的幾家正在范圍內(nèi)推動NFC試驗的公司之一。這一開創(chuàng)性的合作將使支持NFC的手機能像物理智能卡那樣，融入iCLASS門禁控制和憑證信息。此憑證信息將通過HIDGlobal的TIP系統(tǒng)提供，將來還可以實現(xiàn)與其他網(wǎng)絡(luò)服務(wù)和實時通信的結(jié)合使用。HIDGlobal計劃開展其他類似的合作伙伴關(guān)系，將HIDGlobal和其他供應(yīng)商的非接觸式解決方案、NFC技術(shù)及其他廣泛應(yīng)用的技術(shù)融為一體，為用戶身份驗證、無現(xiàn)金自動售貨及計算機安全登錄等各種應(yīng)用打造一個廣泛適用（涵蓋從手機到筆記本電腦的各種終端設(shè)備）的平臺。這些平臺和應(yīng)用將大幅提升非接觸式智能卡憑證的價值定位。