天才的发明 移动设备变身大学宿舍钥匙

IT消费化浪潮正在改变着我们的生活,智能手机和平板电脑功能强大,可以访问Web应用,可以查看邮件,还可以打开文件运行应用。对于作为最近一项实验计划的参与者,亚利桑那州立大学部分学生们的智能手机则有了一个新用途——宿舍钥匙。

虽然一些IT部门将公司内越来越多的个人设备视为一种安全威胁,但也有一些IT部门正在利用这种设备的普遍性部署基于移动设备的验证和凭证管理措施。

移动验证产品供应商Entrust高级产品营销经理Dave Mahdi称,用户随时都会带着手机,所以用这些设备在企业中部署安全措施是可行的。

HID Global是负责运营此次试验的公司,据公司的企业信息交流主管Jeremy Hyatt透露,在此次试验期间,亚利桑那州立大学中27名学生和五名工作人员的智能手机被植入Near Field Communication(NFC)芯片,然后在芯片中输入所居住的房间信息。

为了打开门锁,参与者在门上的读取器上挥一挥自己的手机,就像他们以前使用门卡一样。参与者的房间外面有自己的门卡读取器,他们要输入额外的PIN码以验证身份。

在最初的反馈意见中,有80%的参与者认为使用智能手机打开门锁就像以前使用校园ID卡一样方便。90%的人表示愿意使用智能手机打开校园的门锁。几乎所有的参与者都对把智能手机用于其他的身份验证(如进入学生艺术中心,食堂刷卡吃饭等)表示出了兴趣。

“HID Global的这一项目已经证明移动设备的普遍性可用于身份凭证以及物理访问控制的安全,”该大学商业服务部门负责业务应用和财政控制的总管Laura Ploughe说。

86%的受访者称其他学生也询问过是否可以使用智能手机作为门钥匙,并且认为这一技术很酷。亚利桑那州立大学此次并没有计划将实验扩展到整个校园。HID Global正打算2012年在对其他大学和一些企业及政府机构中实施同样的实验。

“此类实验是第一次在校园进行,”Hyatt称。该计划是Ploughe和HID Global开会时达成的共识。谈及未来技术时,Ploughe希望了解此技术如何可应用到校园中。

Plough说:“当我第一次看到这一技术应用到其他应用中时,我意识到了它可能为校园带来的好处。”

Wave Systems CEO Steven Sprague称,NFC技术已经应用到一些移动支付中,如Google钱包,但是还有一些安全应用也可以受益于基于硬件的验证。和电脑中植入的受信任运算模块芯片为电脑提供的设备识别功能一样,植入移动设备的芯片也可以让企业识别网络中的设备。

Entrust 公司的Mahdi认为,移动设备是用户随身携带的设备,人们现在貌似更习惯于频繁地查看自己的移动设备。人们出门如果忘了带钥匙串之类的可能也不会打算回去拿。但如果发现自己把电话落在家中,反而会回家去取。

此次试验中的很多试验对象都表示自己经常忘记带钥匙或校园ID卡,但从没忘记过带手机。

Aberdeen集团负责IT安全与监管,风险管理与服从性的副总裁Derek Brink称手机正逐渐成为最私人最不可替代的移动设备。

信息系统审计和控制联盟(ISACA)最近的一项调查指出公司设备与私人所有设备之间的界线越来越模糊。18到34岁之间的受访员工中有三分之二的人表示自己会把私人设备带到公司使用。

“企业开始用强于用户名和密码的方法前摄性地重新评估自己验证终端用户的策略”Brink说,他认为人们对手机验证有着强烈的兴趣。

Mahdi称,员工一般使用多身份和凭证进行验证,包括可控制物理访问,电脑与网络登陆以及企业应用使用的身份识别卡,如Salesforce.com和邮件。将移动设备作为凭证可以减少企业对用户名和密码的依赖。IT部门可以赋予员工对某个应用的访问权。

赛门铁克的Verisign就有验证服务,可以将一次性密码发送到用户的移动设备,用户可通过这些设备登陆企业应用。验证和ID保护(VIP)验证服务可以让企业对设备进行描述然后确定用户身份,赛门铁克用户验证产品高级营销经理Brendon Wilson称。

Wilson称,VIP验证把一些用户了解的东西(如用户名和密码)和用户具备的东西(如智能卡,手机等)结合起来。这种服务也会看过去的历史,如用户经常登录的时间或是设备的配置,作为此次登录是否合法的参考。

在有限的安全功能中有些较小的公司在其环境中使用基于云的服务。还有些Web服务也让用户直接注册设备,这样用户就可以登录到在线账户。移动设备的VIP接入目前只有部分公司有,包括PayPal,Merrill Lynch,GEICO和eBay。

而验证公司PhoneFactor则使用移动设备提示用户确认PC端的交易。营销和产品开发副总裁Sarah Fender称这种指令可以用手机呼叫,短信或用于iOS设备的本地应用等形式来体现。

当用户在PC上开始某个应用或是在线银行交易的登录进程时,就会有通知发送到移动应用上告知用户这一操作。用户必须在电脑上的进程进入下一步前点击验证按钮。Fender透露,PhoneFactor通过电话呼叫或文本信息提供了相同的功能。管理员也可以在用户点击验证按钮前,要求用户输入PIN码解锁应用,以此添加一层安全措施。

Fender称,一次性密码通常存在问题,因为电脑可能出现故障,这样攻击者就有机会偷取凭证。PhoneFactor将指令和验证用不同频道传输,而且远离可能感染了的电脑。

Mahdi称,与其投资智能卡和硬件令牌,企业还不如利用员工正在使用的设备,这样更实惠一些。而且利用这些设备确实可以缓解目前存在的一些问题。