门禁场景

人们早已习惯用手机完成一切，门禁体验也不应例外

场景

传统方式

移动钱包钥匙

企业

门禁卡需要人工制作、发放与回收。卡片丢失意味着重新制卡与权限更新；员工离职时，还需要手动注销权限并回收卡片。

员工可通过手机或可穿戴设备刷门禁、乘电梯等。凭证可在入职前完成发放，并在离职时即时失效。无需制卡，也无需回收。

住宅

住户需要前往物业领取门禁卡。卡片丢失后，需要重新申请并支付补办费用；忘带卡则只能在门口等待或联系物业。

住户入住时即可将钥匙发送至手机或可穿戴设备。手机丢失后可远程暂停权限。无需实体卡、无需前往物业，也无需等待。

酒店

客人到店后需要在前台排队领取房卡。房卡丢失意味着再次前往前台；续住时通常也需要重新制卡。

入住时即可将房卡发送至手机或可穿戴设备。客人可直接前往房间，房卡也可远程更新或续期。无需取卡、无需排队、无需前往前台。

校园

宿舍、图书馆、食堂与各类设施通常使用不同凭证，并分别管理学生、教师、员工与访客权限，系统之间往往彼此割裂。

一张凭证即可覆盖校园中的所有门禁、设施与服务。学生、教师、员工与访客均通过统一平台管理，角色变化时权限自动更新，访问结束时即时失效。

家庭

实体钥匙容易遗失或被复制；指纹门锁对儿童与老年用户并不总是可靠。

使用手机或可穿戴设备轻触即可解锁。无需携带钥匙，也无需依赖指纹识别，适用于所有家庭成员。

设备访问（如电动滑板车）

实体钥匙或卡片容易遗失；基于 App 的蓝牙解锁需要先解锁手机、打开 App 并等待连接。

使用手机或可穿戴设备轻触即可即时解锁。无需打开 App，也无需等待连接；还可在需要时远程分享访问权限。

平台架构

面向全场景门禁的凭证平台架构

OnBoard™ Access Credential 被设计为覆盖所有门禁场景的统一凭证平台，而非替代现有门禁系统。

Credential Data Preparation System（凭证数据准备系统）负责管理各类凭证协议规范，包括 DESFire、Aliro 以及私有凭证格式。

Access Rule Engine（门禁规则引擎）负责管理每一种凭证对应的门禁控制规则。

Credential Management Service（凭证管理服务）与 Credential Provisioning Service（凭证 Provisioning 服务）负责凭证生命周期管理，以及向移动钱包发行凭证。

平台可连接主流移动 OEM 钱包生态，覆盖手机与可穿戴设备。

能力体系

OnBoard™ Access Credential 的核心能力

凭证签发与生命周期管理

保留既有系统架构

现有门禁系统、权限模型、读卡设备基础设施以及实体卡运营体系均可继续沿用。运营方可通过 API、SDK 或管理门户接入平台，平台则负责将授权后的访问权限转换为移动 Wallet Key 凭证。

门禁凭证生命周期管理

平台支持移动门禁凭证所需的完整生命周期能力，包括：设备身份配置（Provisioning）、凭证更新、挂失与恢复、删除与找回、设备迁移与事件通知。这些能力既覆盖运营侧触发的变更（例如离职、权限调整），也覆盖用户与设备事件（例如手机丢失、设备更换、凭证删除或钱包账户变更）。

处理 Wallet Key provisioning

Provisioning 用于将符合条件的门禁凭证下发至用户手机或可穿戴设备。平台支持 In-App、Web、Easy 与 Push Provisioning 等 Wallet Key Provisioning 模式，并内建资格校验、状态跟踪、异常处理、重试机制与事件记录。

凭证数据准备

Wallet Key 内部的凭证数据，决定了读卡器、门锁或门禁平台如何识别手机设备。平台负责保护根密钥与证书、派生用户级凭证数据，并将凭证安全写入移动钱包，整个过程无需改造现有门禁基础设施。

DESFire

DESFire 是广泛应用于门禁场景的对称密钥凭证标准。平台将读卡器根密钥托管于 HSM（Hardware Security Module，硬件安全模块）内部，在签发过程中派生用户级密钥，并按照部署要求生成符合 DESFire 文件结构的凭证数据。

Aliro

Aliro 是由 Connectivity Standards Alliance（CSA）制定的基于 PKI 的开放凭证标准，用于实现手机、可穿戴设备与读卡器之间的互通访问。平台负责管理证书体系、签发设备凭证，并处理信任链验证。

私有凭证协议

对于采用私有协议的部署场景，平台可按照门禁环境要求生成并下发对应格式的凭证数据。

私有化部署与数据本地化

对于要求密钥与凭证数据保留在本地环境中的运营方，平台支持私有化部署与区域化数据存储。

门禁规则引擎

凭证不仅仅是一把“钥匙”，它还定义了谁可以访问、可以访问什么、在什么时间访问，以及使用哪台设备访问。平台会将运营方的访问规则映射到每一个凭证实例中，而既有门禁系统仍然是权限体系的唯一可信来源。

规则与权限映射

平台可将用户、角色、站点、读卡器分组、资产、有效期以及设备数量限制映射到每一份凭证中。当权限发生变化时，对应凭证也可同步更新、暂停或撤销。

多租户隔离

一个门禁厂商可能服务多个运营方，而每个运营方又可能管理多个建筑、社区、房间、设备或资产分组。平台支持租户隔离能力 —— 不同运营方与项目拥有独立的密钥、模板与生命周期规则，使 Wallet Key 门禁能力能够成为可复用的平台能力，而非一次性集成项目。

审计与运营可视化

平台会记录凭证签发、设备绑定、生命周期事件、异常状态与恢复操作，为运营与支持团队提供完整审计链路，用于问题排查与持续运营保障。

移动 OEM 集成

平台将凭证签发能力连接到用户已经使用的移动生态中，并屏蔽不同 OEM 之间的差异，使门禁厂商与运营方只需维护一次集成，而非分别适配多个钱包生态。

Apple 与 Android OEM 钱包

平台以 Apple Wallet Key 为核心接入路径，并在具备能力的场景下支持 Android OEM 钱包生态集成。统一集成层负责处理 OEM Provisioning 要求、凭证下发与生命周期事件处理，覆盖手机与可穿戴设备，无需针对不同钱包生态分别开发。

SDK 与 API 集成

物业 App、门禁厂商平台以及运营门户可通过 SDK 与 API 调用凭证签发与生命周期能力，而无需自行处理钱包生态或 OEM 集成复杂性。

案例研究

小牛电动 × Apple Wallet Key

从 App 解锁，到“一碰即开”。

关于小牛电动

Niu Technologies (NASDAQ: NIU) 专注于智能电动滑板车的设计、制造与销售，销售网络覆盖全球 53 个国家。
在欧洲市场，小牛电动已成为摩托车与电动滑板车领域排名前列的品牌之一。
每一辆车均配备蓝牙连接能力与配套 App，但对于欧洲用户而言，传统解锁体验仍存在明显不足。

挑战

小牛电动在欧洲市场的车型同时配备实体钥匙与基于 App 的蓝牙解锁方案。实体钥匙容易遗失或忘带；而 App 解锁则需要用户解锁手机、打开应用并等待蓝牙建立连接，同时整体体验还依赖网络状态。
‍
除了使用体验之外，小牛电动欧洲业务还面临数据合规要求 —— 凭证数据与密码密钥必须保留在欧盟境内。

交付成果

OnBoard™ 将车辆访问能力直接引入手机 Wallet。无需 App、无需蓝牙连接、无需网络。

凭证通过 Wallet Key Provisioning 流程写入 iPhone Secure Element（安全元件）。用户只需将 iPhone 或 Apple Watch 轻触车辆，即可完成本地认证并解锁。
‍
密码密钥托管于部署在欧盟区域的 AWS Cloud HSM 中。所有密钥派生过程均在硬件安全边界内完成，敏感数据不会暴露于软件环境。
‍
设备迁移、权限暂停以及车辆转移等生命周期操作，均通过平台统一管理，无需实体钥匙，也无需重新安装 App。

项目成果

完成项目上线

个月

支持设备

iPhone
Apple Watch

用户体验

一碰即开
无需打开 App
无需网络连接

数据合规

部署于 AWS 欧盟区域

将门禁凭证接入移动设备生态

深受行业信赖

人们早已习惯用手机完成一切，门禁体验也不应例外

面向全场景门禁的凭证平台架构

OnBoard™ Access Credential 的核心能力

凭证签发与生命周期管理

凭证数据准备

门禁规则引擎

移动 OEM 集成

小牛电动 × Apple Wallet Key

关于小牛电动

挑战

交付成果

项目成果

准备好将门禁凭证接入移动钱包了吗？

将门禁凭证接入移动设备生态

深受行业信赖

人们早已习惯用手机完成一切，门禁体验也不应例外

面向全场景门禁的凭证平台架构

OnBoard™ Access Credential 的核心能力

凭证签发与生命周期管理

凭证数据准备

门禁规则引擎

移动 OEM 集成

小牛电动 × Apple Wallet Key

关于小牛电动

挑战

交付成果

项目成果

准备好将门禁凭证接入移动钱包了吗？

Cookie 偏好设置