麵對雲端
、私有數據和設施安全日益嚴峻的挑戰。目前
，建立通用的身份驗證解決方式是最理想的方式：a） 支持樓宇、網絡以及雲端服務和資源的綜合安全訪問；b） 支持移動密鑰，可以通過智能手機或平板電腦方便和安全地訪問；c） 提供多重因子身份驗證功能，實現最有效地威脅防護
；d） 能夠與支持近場通訊技術（NFC）的筆記本電腦、平板電腦和手機互操作，實現最佳安全性和用戶體驗。通用的身份驗證解決方案能夠保障IT和物理基礎設施的安全，同時又能夠作為集成解決方案的一部分，實現與傳統卡和NFC設備的互操作，有多種最佳實踐可以滿足這些要求。

 

 

最zui重zhong要yao且qie最zui佳jia的de實shi踐jian是shi摒bing棄qi純chun密mi碼ma的de身shen份fen驗yan證zheng，而er采cai用yong密mi碼ma與yu多duo重zhong安an全quan方fang法fa相xiang結jie合he。企qi業ye通tong常chang關guan注zhu網wang絡luo周zhou邊bian的de安an全quan，並bing在zai防fang火huo牆qiang內nei部bu依yi賴lai靜jing態tai密mi碼ma驗yan證zheng用yong戶hu的de身shen份fen。隨sui著zhe威wei脅xie的de多duo元yuan化hua趨qu勢shi，如ru高gao級ji持chi續xu性xing威wei脅xie（APT）、移yi動dong自zi組zu網wang黑hei客ke攻gong擊ji和he使shi用yong自zi帶dai設she備bei帶dai來lai的de內nei部bu風feng險xian
，因yin此ci傳chuan統tong的de方fang法fa明ming顯xian不bu足zu。靜jing態tai密mi碼ma後hou患huan無wu窮qiong，因yin此ci企qi業ye應ying該gai將jiang增zeng強qiang的de身shen份fen驗yan證zheng擴kuo大da到dao個ge人ren應ying用yong程cheng序xu和he服fu務wu器qi以yi及ji雲yun端duan係xi統tong。

 

多重安全方法應該包括多因子身份驗證
、設備身份驗證、liulanqibaohuhejiaoyishenfenyanzheng。gaifangfacaiyongjichengshitongyongshenfenyanzhengpingtaiyijishishiweixiejiancegongneng。weixiejiancejishuyijingzaiwangshangyinxinghedianzishangwulingyuyingyongleyiduanshijian
，gaijishuyujikeyizhuanyidaoqiyezhong，zuoweiVPN或虛擬桌麵等遠程訪問應用的額外安全措施。

 

雙因子驗證措施以前通常局限於動態口令（OTP）密鑰
、顯示卡和其他物理設備，但是目前正在被存儲到手機、平板電腦上的“軟件密鑰”以及瀏覽器密鑰取代。各個組織能夠使用用戶的智能手機替換專用的安全密鑰，普及第二個身份驗證因子（“擁有的東西”），實現便利性。手機應用程序產生OTP，或者通過短信將OTP發送到手機。為了實現更高的安全性

，將身份驗證憑證卡存儲到移動設備的安全元件上或用戶身份模塊（SIM）xinpianshang。yidongmiyaoyekeyiyuyunduanyingyongchengxudandiandenglugongnengxiangjiehe，jiangchuantongdeshuangyinziyanzhengyudanyishebeishangduogeyunduanyingyongchengxudejianhuafangwenxiangronghe。

 

隨sui著zhe身shen份fen管guan理li轉zhuan向xiang雲yun端duan，需xu要yao考kao慮lv其qi他ta關guan鍵jian因yin素su。目mu前qian，關guan於yu此ci模mo式shi安an全quan的de探tan討tao都dou集ji中zhong在zai保bao障zhang平ping台tai安an全quan上shang
，但dan隨sui著zhe企qi業ye將jiang應ying用yong程cheng序xu移yi動dong到dao雲yun端duan並bing充chong分fen利li用yong軟ruan件jian即ji服fu務wu（SaaS）的模式，在多個雲端應用程序中配置和撤銷用戶身份
，同時確保安全、順暢的用戶登錄，解決這些挑戰至關重要。此外，本行業需要定義用於管理和支持自帶設備（BYOD）環huan境jing中zhong大da量liang的de個ge人ren手shou機ji的de最zui佳jia實shi踐jian。從cong個ge人ren設she備bei到dao公gong司si網wang絡luo或huo雲yun端duan應ying用yong程cheng序xu的de身shen份fen驗yan證zheng將jiang成cheng為wei一yi項xiang關guan鍵jian要yao求qiu。在zai保bao護hu企qi業ye數shu據ju和he資zi源yuan的de同tong時shi，保bao障zhangBYOD用戶的個人隱私也非常關鍵。

 

門禁係統的安全最佳實踐包括：使用雙重身份驗證和密鑰保護機製的非接觸式智能卡技術
；智(zhi)能(neng)卡(ka)基(ji)於(yu)開(kai)放(fang)式(shi)標(biao)準(zhun)，能(neng)夠(gou)使(shi)用(yong)安(an)全(quan)生(sheng)態(tai)係(xi)統(tong)內(nei)部(bu)的(de)可(ke)信(xin)通(tong)信(xin)平(ping)台(tai)上(shang)的(de)安(an)全(quan)信(xin)息(xi)傳(chuan)送(song)協(xie)議(yi)，與(yu)廣(guang)泛(fan)的(de)產(chan)品(pin)進(jin)行(xing)互(hu)操(cao)作(zuo)。智(zhi)能(neng)卡(ka)擁(yong)有(you)通(tong)用(yong)、標準的卡邊緣，提高適應性和互操作性，確保能夠在NFC智能手機上使用，從而用戶能夠在門禁控製中輪換使用智能卡或移動設備。

 

保持門禁係統的 “與時俱進”非常重要，其原因有很多。組織可能需要未來添加新應用，如生物識別模板；合並、並購或遷移需要在短時間內重塑品牌並在重組時發行新憑證卡；滿(man)足(zu)新(xin)的(de)安(an)全(quan)需(xu)要(yao)以(yi)減(jian)少(shao)損(sun)失(shi)，特(te)別(bie)是(shi)當(dang)現(xian)有(you)係(xi)統(tong)是(shi)容(rong)易(yi)克(ke)隆(long)的(de)低(di)頻(pin)解(jie)決(jue)方(fang)案(an)時(shi)，提(ti)高(gao)風(feng)險(xian)管(guan)理(li)可(ke)能(neng)非(fei)常(chang)必(bi)要(yao)。另(ling)外(wai)，新(xin)立(li)法(fa)或(huo)監(jian)管(guan)要(yao)求(qiu)可(ke)能(neng)要(yao)求(qiu)提(ti)高(gao)安(an)全(quan)性(xing)。另(ling)一(yi)方(fang)麵(mian)
，將(jiang)多(duo)種(zhong)應(ying)用(yong)集(ji)成(cheng)到(dao)一(yi)種(zhong)解(jie)決(jue)方(fang)案(an)可(ke)以(yi)帶(dai)來(lai)許(xu)多(duo)優(you)勢(shi)，可(ke)以(yi)為(wei)組(zu)織(zhi)提(ti)供(gong)集(ji)中(zhong)式(shi)管(guan)理(li)，為(wei)員(yuan)工(gong)提(ti)供(gong)便(bian)利(li)，使(shi)他(ta)們(men)無(wu)需(xu)攜(xie)帶(dai)多(duo)張(zhang)卡(ka)，即(ji)可(ke)執(zhi)行(xing)開(kai)門(men)、登錄電腦


、使用考勤和安全打印管理係統、支付餐費或交通費

、執行非現金交易和其他應用。該集成能在整個IT基ji礎chu設she施shi的de關guan鍵jian係xi統tong和he應ying用yong程cheng序xu上shang實shi現xian多duo因yin子zi驗yan證zheng
，而er不bu僅jin僅jin在zai周zhou邊bian進jin行xing驗yan證zheng，因yin此ci提ti高gao了le安an全quan性xing。此ci外wai

，集ji成cheng使shi組zu織zhi能neng夠gou利li用yong現xian有you的de憑ping證zheng卡ka投tou資zi，為wei網wang絡luo登deng錄lu無wu縫feng增zeng加jia電dian腦nao桌zhuo麵mian登deng錄lu，在zai整zheng個ge公gong司si網wang絡luo
、係統和設施上建立完全互操作的多重安防解決方案。

 

門禁和網絡登錄的集成在聯邦機構中尤為重要。2005年聯邦信息處理標準刊物201（FIPS 201）定義了標準化個人身份驗證（PIV）智能憑證卡的要求，即，利用智能卡和生物識別技術進行桌麵電腦和門禁係統以增強身份驗證。目前為止，FIPS 201多因子驗證主要用於使用PKI驗證的電腦桌麵登錄和數字文檔簽名，但這些功能對於門禁PKI也非常有效，預計以後將被廣泛采用
，成為聯邦身份驗證的最佳實踐。PIV卡（可能包括用於電腦桌麵登錄和物理門禁的多因子驗證）預計將移植到NFC手機。目前，將PACS基礎設施升級至支持PIV卡，僅需要升級讀卡器，並使用身份驗證模塊（包含所有的門禁PKI驗證功能）增強現有麵板和門控製器的功能。在讀卡器和現有的PACS麵板之間插入這些模塊，無需像以前一樣將現有控製器基礎設施“拆除和更換”。

 

此外
，也可以在商業場所提供相同的PKI驗證功能。在PIV卡出現後的數年內，又定義了兩種憑證卡——用於政府承包商的PIV-interoperable （PIV-I）以及用於商業用途的商業身份驗證 （CIV）卡。後者是PIV-I的商業版
，並且可以充分利用聯邦政的PIV項目定義的標準，將可靠的開放式智能卡技術帶到聯邦政府機構以外的組織機構。

 

移動化

 

將物理門禁和電腦桌麵登錄集成到NFC手機上也是最佳實踐之一——用戶很少會丟失或遺忘該設備。通過提供一種、便捷的解決方案，用戶無需攜帶單獨的卡、OTP密鑰或密鑰卡，即可進入大樓、登錄網絡、訪問應用程序和係統、遠程訪問安全網絡。此外
，移動門禁控製的雲端身份配置模型可防止憑證卡複製
，使發行臨時憑證卡
、注銷丟失或失竊的憑證卡、根據需要監控和修改安防參數等操作更加容易。

 

盡管移動門禁控製有許多優勢
，該技術不可能在未來幾年內完全取代物理智能卡。相反，NFC手機將與胸卡和胸章共存
，這樣組織可以在物理門禁係統內實施智能卡
、yidongshebeihuoliangzhehunyong。weigaihunhemenjinkongzhihuanjingjianliyigeshengjilujingquebaomuqiandejishutouzizaijianglaiyekeyiliyong
，zheyidianfeichangzhongyao。shengjizhixingongnengxuyaoyizhongkekuozhanheshiyingxingqiangdeduozhongjishuzhinengkahedukaqipingtai，gaipingtainenggoushijiupingzhengkahexinpingzhengkajishujichengdaoxiangtongdekashang
，tongshinenggouzhichiNFC移動平台。

 

同tong時shi

，組zu織zhi也ye必bi須xu優you化hua傳chuan統tong卡ka的de安an全quan發fa行xing。這zhe包bao括kuo為wei多duo重zhong驗yan證zheng集ji成cheng關guan鍵jian的de可ke視shi和he邏luo輯ji技ji術shu，以yi及ji通tong過guo使shi用yong多duo重zhong管guan理li程cheng序xu進jin一yi步bu提ti高gao安an全quan性xing，同tong時shi還hai需xu要yao提ti高gao發fa行xing係xi統tong的de效xiao率lv。大da部bu分fenID卡發行係統依靠二維身份驗證，對比個人提供的憑證以及卡上顯示的身份數據（例如照片ID），以及更複雜的元素，如高分辨率圖像，或激光刻蝕的永久個人化特征，這使偽造和篡改根本行不通。智能卡芯片、citiaoheqitashuzibumenchengweidisangeanquanweidu，kashujurongliangkuodahoukeyibaohanshengwushibiexinxiheqitaxinxi，jinyibuzengqiangleyanzheng。lianwangzhinenghuazhikaxitongkeyizaiyibuneichulisuoyoubiyaorenwu，lingyizhongyouxiaodezuijiashijianshijiangdukaqi/編碼器集成到卡打印機硬件中，使組織能夠在以後利用智能卡應用帶來的優勢。

 

wulimenjinhediannaozhuomiandengluyijijiangliangzhonggongnengjichengdaodanyijiejuefangandezuijiashijianyaoqiushiyongjiyukaifangshibiaozhundezhinengkajishu，bingqiegaijishuzhichixuduoyingyongbingnenggouyizhidaoNFCshouji。tongguojianlizheyijichubingyuxianjihuashengjizhixingongneng，gegezuzhikeyixuanzezaiqiwulimenjinxitongneishiyongliangleipingzhengkajishu。gegezuzhiyekeyijingguobuduangaizaomanzuxinxuqiu，yincitamenjiangnenggoubaohuxianyoujichusheshidetouzi。