麵對雲端、私有數據和設施安全日益嚴峻的挑戰。目前，建立通用的身份驗證解決方式是最理想的方式：a） 支持樓宇、網絡以及雲端服務和資源的綜合安全訪問
；b） 支持移動密鑰
，可以通過智能手機或平板電腦方便和安全地訪問；c） 提供多重因子身份驗證功能，實現最有效地威脅防護；d） 能夠與支持近場通訊技術（NFC）的筆記本電腦、平板電腦和手機互操作
，實現最佳安全性和用戶體驗。通用的身份驗證解決方案能夠保障IT和物理基礎設施的安全，同時又能夠作為集成解決方案的一部分，實現與傳統卡和NFC設備的互操作

，有多種最佳實踐可以滿足這些要求。

 

 

最(zui)重(zhong)要(yao)且(qie)最(zui)佳(jia)的(de)實(shi)踐(jian)是(shi)摒(bing)棄(qi)純(chun)密(mi)碼(ma)的(de)身(shen)份(fen)驗(yan)證(zheng)，而(er)采(cai)用(yong)密(mi)碼(ma)與(yu)多(duo)重(zhong)安(an)全(quan)方(fang)法(fa)相(xiang)結(jie)合(he)。企(qi)業(ye)通(tong)常(chang)關(guan)注(zhu)網(wang)絡(luo)周(zhou)邊(bian)的(de)安(an)全(quan)

，並(bing)在(zai)防(fang)火(huo)牆(qiang)內(nei)部(bu)依(yi)賴(lai)靜(jing)態(tai)密(mi)碼(ma)驗(yan)證(zheng)用(yong)戶(hu)的(de)身(shen)份(fen)。隨(sui)著(zhe)威(wei)脅(xie)的(de)多(duo)元(yuan)化(hua)趨(qu)勢(shi)，如(ru)高(gao)級(ji)持(chi)續(xu)性(xing)威(wei)脅(xie)（APT）、移yi動dong自zi組zu網wang黑hei客ke攻gong擊ji和he使shi用yong自zi帶dai設she備bei帶dai來lai的de內nei部bu風feng險xian，因yin此ci傳chuan統tong的de方fang法fa明ming顯xian不bu足zu。靜jing態tai密mi碼ma後hou患huan無wu窮qiong，因yin此ci企qi業ye應ying該gai將jiang增zeng強qiang的de身shen份fen驗yan證zheng擴kuo大da到dao個ge人ren應ying用yong程cheng序xu和he服fu務wu器qi以yi及ji雲yun端duan係xi統tong。

 

多重安全方法應該包括多因子身份驗證、設備身份驗證
、瀏(liu)覽(lan)器(qi)保(bao)護(hu)和(he)交(jiao)易(yi)身(shen)份(fen)驗(yan)證(zheng)。該(gai)方(fang)法(fa)采(cai)用(yong)集(ji)成(cheng)式(shi)通(tong)用(yong)身(shen)份(fen)驗(yan)證(zheng)平(ping)台(tai)以(yi)及(ji)實(shi)時(shi)威(wei)脅(xie)檢(jian)測(ce)功(gong)能(neng)。威(wei)脅(xie)檢(jian)測(ce)技(ji)術(shu)已(yi)經(jing)在(zai)網(wang)上(shang)銀(yin)行(xing)和(he)電(dian)子(zi)商(shang)務(wu)領(ling)域(yu)應(ying)用(yong)了(le)一(yi)段(duan)時(shi)間(jian)，該(gai)技(ji)術(shu)預(yu)計(ji)可(ke)以(yi)轉(zhuan)移(yi)到(dao)企(qi)業(ye)中(zhong)，作(zuo)為(wei)VPN或虛擬桌麵等遠程訪問應用的額外安全措施。

 

雙因子驗證措施以前通常局限於動態口令（OTP）密鑰、顯示卡和其他物理設備，但是目前正在被存儲到手機、平板電腦上的“軟件密鑰”以及瀏覽器密鑰取代。各個組織能夠使用用戶的智能手機替換專用的安全密鑰，普及第二個身份驗證因子（“擁有的東西”），實現便利性。手機應用程序產生OTP，或者通過短信將OTP發送到手機。為了實現更高的安全性
，將身份驗證憑證卡存儲到移動設備的安全元件上或用戶身份模塊（SIM）芯(xin)片(pian)上(shang)。移(yi)動(dong)密(mi)鑰(yao)也(ye)可(ke)以(yi)與(yu)雲(yun)端(duan)應(ying)用(yong)程(cheng)序(xu)單(dan)點(dian)登(deng)錄(lu)功(gong)能(neng)相(xiang)結(jie)合(he)，將(jiang)傳(chuan)統(tong)的(de)雙(shuang)因(yin)子(zi)驗(yan)證(zheng)與(yu)單(dan)一(yi)設(she)備(bei)上(shang)多(duo)個(ge)雲(yun)端(duan)應(ying)用(yong)程(cheng)序(xu)的(de)簡(jian)化(hua)訪(fang)問(wen)相(xiang)融(rong)合(he)。

 

隨(sui)著(zhe)身(shen)份(fen)管(guan)理(li)轉(zhuan)向(xiang)雲(yun)端(duan)，需(xu)要(yao)考(kao)慮(lv)其(qi)他(ta)關(guan)鍵(jian)因(yin)素(su)。目(mu)前(qian)，關(guan)於(yu)此(ci)模(mo)式(shi)安(an)全(quan)的(de)探(tan)討(tao)都(dou)集(ji)中(zhong)在(zai)保(bao)障(zhang)平(ping)台(tai)安(an)全(quan)上(shang)
，但(dan)隨(sui)著(zhe)企(qi)業(ye)將(jiang)應(ying)用(yong)程(cheng)序(xu)移(yi)動(dong)到(dao)雲(yun)端(duan)並(bing)充(chong)分(fen)利(li)用(yong)軟(ruan)件(jian)即(ji)服(fu)務(wu)（SaaS）的模式
，在多個雲端應用程序中配置和撤銷用戶身份，同時確保安全、順暢的用戶登錄，解決這些挑戰至關重要。此外，本行業需要定義用於管理和支持自帶設備（BYOD）環(huan)境(jing)中(zhong)大(da)量(liang)的(de)個(ge)人(ren)手(shou)機(ji)的(de)最(zui)佳(jia)實(shi)踐(jian)。從(cong)個(ge)人(ren)設(she)備(bei)到(dao)公(gong)司(si)網(wang)絡(luo)或(huo)雲(yun)端(duan)應(ying)用(yong)程(cheng)序(xu)的(de)身(shen)份(fen)驗(yan)證(zheng)將(jiang)成(cheng)為(wei)一(yi)項(xiang)關(guan)鍵(jian)要(yao)求(qiu)。在(zai)保(bao)護(hu)企(qi)業(ye)數(shu)據(ju)和(he)資(zi)源(yuan)的(de)同(tong)時(shi)
，保(bao)障(zhang)BYOD用戶的個人隱私也非常關鍵。

 

門禁係統的安全最佳實踐包括：使用雙重身份驗證和密鑰保護機製的非接觸式智能卡技術；智zhi能neng卡ka基ji於yu開kai放fang式shi標biao準zhun，能neng夠gou使shi用yong安an全quan生sheng態tai係xi統tong內nei部bu的de可ke信xin通tong信xin平ping台tai上shang的de安an全quan信xin息xi傳chuan送song協xie議yi
，與yu廣guang泛fan的de產chan品pin進jin行xing互hu操cao作zuo。智zhi能neng卡ka擁yong有you通tong用yong
、標準的卡邊緣
，提高適應性和互操作性，確保能夠在NFC智能手機上使用，從而用戶能夠在門禁控製中輪換使用智能卡或移動設備。

 

保持門禁係統的 “與時俱進”非常重要，其原因有很多。組織可能需要未來添加新應用，如生物識別模板
；合並、並購或遷移需要在短時間內重塑品牌並在重組時發行新憑證卡
；滿man足zu新xin的de安an全quan需xu要yao以yi減jian少shao損sun失shi，特te別bie是shi當dang現xian有you係xi統tong是shi容rong易yi克ke隆long的de低di頻pin解jie決jue方fang案an時shi
，提ti高gao風feng險xian管guan理li可ke能neng非fei常chang必bi要yao。另ling外wai

，新xin立li法fa或huo監jian管guan要yao求qiu可ke能neng要yao求qiu提ti高gao安an全quan性xing。另ling一yi方fang麵mian，將jiang多duo種zhong應ying用yong集ji成cheng到dao一yi種zhong解jie決jue方fang案an可ke以yi帶dai來lai許xu多duo優you勢shi，可ke以yi為wei組zu織zhi提ti供gong集ji中zhong式shi管guan理li

，為wei員yuan工gong提ti供gong便bian利li，使shi他ta們men無wu需xu攜xie帶dai多duo張zhang卡ka，即ji可ke執zhi行xing開kai門men、登錄電腦、使用考勤和安全打印管理係統
、支付餐費或交通費、執行非現金交易和其他應用。該集成能在整個ITjichusheshideguanjianxitongheyingyongchengxushangshixianduoyinziyanzheng，erbujinjinzaizhoubianjinxingyanzheng
，yincitigaoleanquanxing。ciwai
，jichengshizuzhinenggouliyongxianyoudepingzhengkatouzi，weiwangluodengluwufengzengjiadiannaozhuomiandenglu，zaizhenggegongsiwangluo、係統和設施上建立完全互操作的多重安防解決方案。

 

門禁和網絡登錄的集成在聯邦機構中尤為重要。2005年聯邦信息處理標準刊物201（FIPS 201）定義了標準化個人身份驗證（PIV）智能憑證卡的要求
，即，利用智能卡和生物識別技術進行桌麵電腦和門禁係統以增強身份驗證。目前為止
，FIPS 201多因子驗證主要用於使用PKI驗證的電腦桌麵登錄和數字文檔簽名，但這些功能對於門禁PKI也非常有效
，預計以後將被廣泛采用，成為聯邦身份驗證的最佳實踐。PIV卡（可能包括用於電腦桌麵登錄和物理門禁的多因子驗證）預計將移植到NFC手機。目前
，將PACS基礎設施升級至支持PIV卡，僅需要升級讀卡器，並使用身份驗證模塊（包含所有的門禁PKI驗證功能）增強現有麵板和門控製器的功能。在讀卡器和現有的PACS麵板之間插入這些模塊
，無需像以前一樣將現有控製器基礎設施“拆除和更換”。

 

此外
，也可以在商業場所提供相同的PKI驗證功能。在PIV卡出現後的數年內

，又定義了兩種憑證卡——用於政府承包商的PIV-interoperable （PIV-I）以及用於商業用途的商業身份驗證 （CIV）卡。後者是PIV-I的商業版
，並且可以充分利用聯邦政的PIV項目定義的標準，將可靠的開放式智能卡技術帶到聯邦政府機構以外的組織機構。

 

移動化

 

將物理門禁和電腦桌麵登錄集成到NFC手機上也是最佳實踐之一——用戶很少會丟失或遺忘該設備。通過提供一種
、便捷的解決方案，用戶無需攜帶單獨的卡
、OTP密鑰或密鑰卡，即可進入大樓
、登錄網絡、訪問應用程序和係統
、遠程訪問安全網絡。此外，移動門禁控製的雲端身份配置模型可防止憑證卡複製，使發行臨時憑證卡、注銷丟失或失竊的憑證卡

、根據需要監控和修改安防參數等操作更加容易。

 

盡管移動門禁控製有許多優勢
，該技術不可能在未來幾年內完全取代物理智能卡。相反，NFC手機將與胸卡和胸章共存
，這樣組織可以在物理門禁係統內實施智能卡
、yidongshebeihuoliangzhehunyong。weigaihunhemenjinkongzhihuanjingjianliyigeshengjilujingquebaomuqiandejishutouzizaijianglaiyekeyiliyong，zheyidianfeichangzhongyao。shengjizhixingongnengxuyaoyizhongkekuozhanheshiyingxingqiangdeduozhongjishuzhinengkahedukaqipingtai，gaipingtainenggoushijiupingzhengkahexinpingzhengkajishujichengdaoxiangtongdekashang，tongshinenggouzhichiNFC移動平台。

 

同(tong)時(shi)，組(zu)織(zhi)也(ye)必(bi)須(xu)優(you)化(hua)傳(chuan)統(tong)卡(ka)的(de)安(an)全(quan)發(fa)行(xing)。這(zhe)包(bao)括(kuo)為(wei)多(duo)重(zhong)驗(yan)證(zheng)集(ji)成(cheng)關(guan)鍵(jian)的(de)可(ke)視(shi)和(he)邏(luo)輯(ji)技(ji)術(shu)，以(yi)及(ji)通(tong)過(guo)使(shi)用(yong)多(duo)重(zhong)管(guan)理(li)程(cheng)序(xu)進(jin)一(yi)步(bu)提(ti)高(gao)安(an)全(quan)性(xing)
，同(tong)時(shi)還(hai)需(xu)要(yao)提(ti)高(gao)發(fa)行(xing)係(xi)統(tong)的(de)效(xiao)率(lv)。大(da)部(bu)分(fen)ID卡發行係統依靠二維身份驗證，對比個人提供的憑證以及卡上顯示的身份數據（例如照片ID）
，以及更複雜的元素
，如高分辨率圖像，或激光刻蝕的永久個人化特征
，這使偽造和篡改根本行不通。智能卡芯片、磁(ci)條(tiao)和(he)其(qi)他(ta)數(shu)字(zi)部(bu)門(men)成(cheng)為(wei)第(di)三(san)個(ge)安(an)全(quan)維(wei)度(du)，卡(ka)數(shu)據(ju)容(rong)量(liang)擴(kuo)大(da)後(hou)可(ke)以(yi)包(bao)含(han)生(sheng)物(wu)識(shi)別(bie)信(xin)息(xi)和(he)其(qi)他(ta)信(xin)息(xi)
，進(jin)一(yi)步(bu)增(zeng)強(qiang)了(le)驗(yan)證(zheng)。聯(lian)網(wang)智(zhi)能(neng)化(hua)製(zhi)卡(ka)係(xi)統(tong)可(ke)以(yi)在(zai)一(yi)步(bu)內(nei)處(chu)理(li)所(suo)有(you)必(bi)要(yao)任(ren)務(wu)，另(ling)一(yi)種(zhong)有(you)效(xiao)的(de)最(zui)佳(jia)實(shi)踐(jian)是(shi)將(jiang)讀(du)卡(ka)器(qi)/編碼器集成到卡打印機硬件中，使組織能夠在以後利用智能卡應用帶來的優勢。

 

物wu理li門men禁jin和he電dian腦nao桌zhuo麵mian登deng錄lu以yi及ji將jiang兩liang種zhong功gong能neng集ji成cheng到dao單dan一yi解jie決jue方fang案an的de最zui佳jia實shi踐jian要yao求qiu使shi用yong基ji於yu開kai放fang式shi標biao準zhun的de智zhi能neng卡ka技ji術shu，並bing且qie該gai技ji術shu支zhi持chi許xu多duo應ying用yong並bing能neng夠gou移yi植zhi到daoNFCshouji。tongguojianlizheyijichubingyuxianjihuashengjizhixingongneng，gegezuzhikeyixuanzezaiqiwulimenjinxitongneishiyongliangleipingzhengkajishu。gegezuzhiyekeyijingguobuduangaizaomanzuxinxuqiu


，yincitamenjiangnenggoubaohuxianyoujichusheshidetouzi。