麵對雲端、私有數據和設施安全日益嚴峻的挑戰。目前，建立通用的身份驗證解決方式是最理想的方式：a） 支持樓宇
、網絡以及雲端服務和資源的綜合安全訪問；b） 支持移動密鑰，可以通過智能手機或平板電腦方便和安全地訪問；c） 提供多重因子身份驗證功能，實現最有效地威脅防護；d） 能夠與支持近場通訊技術（NFC）的筆記本電腦
、平板電腦和手機互操作，實現最佳安全性和用戶體驗。通用的身份驗證解決方案能夠保障IT和物理基礎設施的安全，同時又能夠作為集成解決方案的一部分
，實現與傳統卡和NFC設備的互操作，有多種最佳實踐可以滿足這些要求。

 

 

zuizhongyaoqiezuijiadeshijianshibingqichunmimadeshenfenyanzheng，ercaiyongmimayuduozhonganquanfangfaxiangjiehe。qiyetongchangguanzhuwangluozhoubiandeanquan
，bingzaifanghuoqiangneibuyilaijingtaimimayanzhengyonghudeshenfen。suizheweixiededuoyuanhuaqushi，rugaojichixuxingweixie（APT）、移yi動dong自zi組zu網wang黑hei客ke攻gong擊ji和he使shi用yong自zi帶dai設she備bei帶dai來lai的de內nei部bu風feng險xian，因yin此ci傳chuan統tong的de方fang法fa明ming顯xian不bu足zu。靜jing態tai密mi碼ma後hou患huan無wu窮qiong，因yin此ci企qi業ye應ying該gai將jiang增zeng強qiang的de身shen份fen驗yan證zheng擴kuo大da到dao個ge人ren應ying用yong程cheng序xu和he服fu務wu器qi以yi及ji雲yun端duan係xi統tong。

 

多重安全方法應該包括多因子身份驗證
、設備身份驗證、瀏liu覽lan器qi保bao護hu和he交jiao易yi身shen份fen驗yan證zheng。該gai方fang法fa采cai用yong集ji成cheng式shi通tong用yong身shen份fen驗yan證zheng平ping台tai以yi及ji實shi時shi威wei脅xie檢jian測ce功gong能neng。威wei脅xie檢jian測ce技ji術shu已yi經jing在zai網wang上shang銀yin行xing和he電dian子zi商shang務wu領ling域yu應ying用yong了le一yi段duan時shi間jian，該gai技ji術shu預yu計ji可ke以yi轉zhuan移yi到dao企qi業ye中zhong，作zuo為weiVPN或虛擬桌麵等遠程訪問應用的額外安全措施。

 

雙因子驗證措施以前通常局限於動態口令（OTP）密鑰、顯示卡和其他物理設備，但是目前正在被存儲到手機、平板電腦上的“軟件密鑰”以及瀏覽器密鑰取代。各個組織能夠使用用戶的智能手機替換專用的安全密鑰，普及第二個身份驗證因子（“擁有的東西”），實現便利性。手機應用程序產生OTP
，或者通過短信將OTP發送到手機。為了實現更高的安全性，將身份驗證憑證卡存儲到移動設備的安全元件上或用戶身份模塊（SIM）xinpianshang。yidongmiyaoyekeyiyuyunduanyingyongchengxudandiandenglugongnengxiangjiehe，jiangchuantongdeshuangyinziyanzhengyudanyishebeishangduogeyunduanyingyongchengxudejianhuafangwenxiangronghe。

 

隨(sui)著(zhe)身(shen)份(fen)管(guan)理(li)轉(zhuan)向(xiang)雲(yun)端(duan)，需(xu)要(yao)考(kao)慮(lv)其(qi)他(ta)關(guan)鍵(jian)因(yin)素(su)。目(mu)前(qian)
，關(guan)於(yu)此(ci)模(mo)式(shi)安(an)全(quan)的(de)探(tan)討(tao)都(dou)集(ji)中(zhong)在(zai)保(bao)障(zhang)平(ping)台(tai)安(an)全(quan)上(shang)，但(dan)隨(sui)著(zhe)企(qi)業(ye)將(jiang)應(ying)用(yong)程(cheng)序(xu)移(yi)動(dong)到(dao)雲(yun)端(duan)並(bing)充(chong)分(fen)利(li)用(yong)軟(ruan)件(jian)即(ji)服(fu)務(wu)（SaaS）的模式，在多個雲端應用程序中配置和撤銷用戶身份，同時確保安全
、順暢的用戶登錄，解決這些挑戰至關重要。此外
，本行業需要定義用於管理和支持自帶設備（BYOD）環huan境jing中zhong大da量liang的de個ge人ren手shou機ji的de最zui佳jia實shi踐jian。從cong個ge人ren設she備bei到dao公gong司si網wang絡luo或huo雲yun端duan應ying用yong程cheng序xu的de身shen份fen驗yan證zheng將jiang成cheng為wei一yi項xiang關guan鍵jian要yao求qiu。在zai保bao護hu企qi業ye數shu據ju和he資zi源yuan的de同tong時shi，保bao障zhangBYOD用戶的個人隱私也非常關鍵。

 

門禁係統的安全最佳實踐包括：使用雙重身份驗證和密鑰保護機製的非接觸式智能卡技術；智(zhi)能(neng)卡(ka)基(ji)於(yu)開(kai)放(fang)式(shi)標(biao)準(zhun)，能(neng)夠(gou)使(shi)用(yong)安(an)全(quan)生(sheng)態(tai)係(xi)統(tong)內(nei)部(bu)的(de)可(ke)信(xin)通(tong)信(xin)平(ping)台(tai)上(shang)的(de)安(an)全(quan)信(xin)息(xi)傳(chuan)送(song)協(xie)議(yi)
，與(yu)廣(guang)泛(fan)的(de)產(chan)品(pin)進(jin)行(xing)互(hu)操(cao)作(zuo)。智(zhi)能(neng)卡(ka)擁(yong)有(you)通(tong)用(yong)、標準的卡邊緣，提高適應性和互操作性，確保能夠在NFC智能手機上使用，從而用戶能夠在門禁控製中輪換使用智能卡或移動設備。

 

保持門禁係統的 “與時俱進”非常重要，其原因有很多。組織可能需要未來添加新應用，如生物識別模板；合並
、並購或遷移需要在短時間內重塑品牌並在重組時發行新憑證卡；manzuxindeanquanxuyaoyijianshaosunshi，tebieshidangxianyouxitongshirongyikelongdedipinjiejuefanganshi
，tigaofengxianguanlikenengfeichangbiyao。lingwai，xinlifahuojianguanyaoqiukenengyaoqiutigaoanquanxing。lingyifangmian
，jiangduozhongyingyongjichengdaoyizhongjiejuefangankeyidailaixuduoyoushi，keyiweizuzhitigongjizhongshiguanli，weiyuangongtigongbianli
，shitamenwuxuxiedaiduozhangka，jikezhixingkaimen、登錄電腦
、使用考勤和安全打印管理係統、支付餐費或交通費、執行非現金交易和其他應用。該集成能在整個ITjichusheshideguanjianxitongheyingyongchengxushangshixianduoyinziyanzheng，erbujinjinzaizhoubianjinxingyanzheng
，yincitigaoleanquanxing。ciwai，jichengshizuzhinenggouliyongxianyoudepingzhengkatouzi，weiwangluodengluwufengzengjiadiannaozhuomiandenglu，zaizhenggegongsiwangluo、係統和設施上建立完全互操作的多重安防解決方案。

 

門禁和網絡登錄的集成在聯邦機構中尤為重要。2005年聯邦信息處理標準刊物201（FIPS 201）定義了標準化個人身份驗證（PIV）智能憑證卡的要求，即，利用智能卡和生物識別技術進行桌麵電腦和門禁係統以增強身份驗證。目前為止，FIPS 201多因子驗證主要用於使用PKI驗證的電腦桌麵登錄和數字文檔簽名，但這些功能對於門禁PKI也非常有效，預計以後將被廣泛采用，成為聯邦身份驗證的最佳實踐。PIV卡（可能包括用於電腦桌麵登錄和物理門禁的多因子驗證）預計將移植到NFC手機。目前，將PACS基礎設施升級至支持PIV卡，僅需要升級讀卡器，並使用身份驗證模塊（包含所有的門禁PKI驗證功能）增強現有麵板和門控製器的功能。在讀卡器和現有的PACS麵板之間插入這些模塊，無需像以前一樣將現有控製器基礎設施“拆除和更換”。

 

此外，也可以在商業場所提供相同的PKI驗證功能。在PIV卡出現後的數年內，又定義了兩種憑證卡——用於政府承包商的PIV-interoperable （PIV-I）以及用於商業用途的商業身份驗證 （CIV）卡。後者是PIV-I的商業版，並且可以充分利用聯邦政的PIV項目定義的標準，將可靠的開放式智能卡技術帶到聯邦政府機構以外的組織機構。

 

移動化

 

將物理門禁和電腦桌麵登錄集成到NFC手機上也是最佳實踐之一——用戶很少會丟失或遺忘該設備。通過提供一種、便捷的解決方案，用戶無需攜帶單獨的卡
、OTP密鑰或密鑰卡
，即可進入大樓
、登錄網絡、訪問應用程序和係統、遠程訪問安全網絡。此外
，移動門禁控製的雲端身份配置模型可防止憑證卡複製

，使發行臨時憑證卡、注銷丟失或失竊的憑證卡、根據需要監控和修改安防參數等操作更加容易。

 

盡管移動門禁控製有許多優勢，該技術不可能在未來幾年內完全取代物理智能卡。相反
，NFC手機將與胸卡和胸章共存
，這樣組織可以在物理門禁係統內實施智能卡、移yi動dong設she備bei或huo兩liang者zhe混hun用yong。為wei該gai混hun合he門men禁jin控kong製zhi環huan境jing建jian立li一yi個ge升sheng級ji路lu徑jing確que保bao目mu前qian的de技ji術shu投tou資zi在zai將jiang來lai也ye可ke以yi利li用yong
，這zhe一yi點dian非fei常chang重zhong要yao。升sheng級ji至zhi新xin功gong能neng需xu要yao一yi種zhong可ke擴kuo展zhan和he適shi應ying性xing強qiang的de多duo重zhong技ji術shu智zhi能neng卡ka和he讀du卡ka器qi平ping台tai，該gai平ping台tai能neng夠gou使shi舊jiu憑ping證zheng卡ka和he新xin憑ping證zheng卡ka技ji術shu集ji成cheng到dao相xiang同tong的de卡ka上shang，同tong時shi能neng夠gou支zhi持chiNFC移動平台。

 

tongshi，zuzhiyebixuyouhuachuantongkadeanquanfaxing。zhebaokuoweiduozhongyanzhengjichengguanjiandekeshiheluojijishu

，yijitongguoshiyongduozhongguanlichengxujinyibutigaoanquanxing，tongshihaixuyaotigaofaxingxitongdexiaolv。dabufenID卡發行係統依靠二維身份驗證，對比個人提供的憑證以及卡上顯示的身份數據（例如照片ID），以及更複雜的元素，如高分辨率圖像，或激光刻蝕的永久個人化特征，這使偽造和篡改根本行不通。智能卡芯片、磁(ci)條(tiao)和(he)其(qi)他(ta)數(shu)字(zi)部(bu)門(men)成(cheng)為(wei)第(di)三(san)個(ge)安(an)全(quan)維(wei)度(du)
，卡(ka)數(shu)據(ju)容(rong)量(liang)擴(kuo)大(da)後(hou)可(ke)以(yi)包(bao)含(han)生(sheng)物(wu)識(shi)別(bie)信(xin)息(xi)和(he)其(qi)他(ta)信(xin)息(xi)
，進(jin)一(yi)步(bu)增(zeng)強(qiang)了(le)驗(yan)證(zheng)。聯(lian)網(wang)智(zhi)能(neng)化(hua)製(zhi)卡(ka)係(xi)統(tong)可(ke)以(yi)在(zai)一(yi)步(bu)內(nei)處(chu)理(li)所(suo)有(you)必(bi)要(yao)任(ren)務(wu)
，另(ling)一(yi)種(zhong)有(you)效(xiao)的(de)最(zui)佳(jia)實(shi)踐(jian)是(shi)將(jiang)讀(du)卡(ka)器(qi)/編碼器集成到卡打印機硬件中
，使組織能夠在以後利用智能卡應用帶來的優勢。

 

物(wu)理(li)門(men)禁(jin)和(he)電(dian)腦(nao)桌(zhuo)麵(mian)登(deng)錄(lu)以(yi)及(ji)將(jiang)兩(liang)種(zhong)功(gong)能(neng)集(ji)成(cheng)到(dao)單(dan)一(yi)解(jie)決(jue)方(fang)案(an)的(de)最(zui)佳(jia)實(shi)踐(jian)要(yao)求(qiu)使(shi)用(yong)基(ji)於(yu)開(kai)放(fang)式(shi)標(biao)準(zhun)的(de)智(zhi)能(neng)卡(ka)技(ji)術(shu)，並(bing)且(qie)該(gai)技(ji)術(shu)支(zhi)持(chi)許(xu)多(duo)應(ying)用(yong)並(bing)能(neng)夠(gou)移(yi)植(zhi)到(dao)NFC手(shou)機(ji)。通(tong)過(guo)建(jian)立(li)這(zhe)一(yi)基(ji)礎(chu)並(bing)預(yu)先(xian)計(ji)劃(hua)升(sheng)級(ji)至(zhi)新(xin)功(gong)能(neng)，各(ge)個(ge)組(zu)織(zhi)可(ke)以(yi)選(xuan)擇(ze)在(zai)其(qi)物(wu)理(li)門(men)禁(jin)係(xi)統(tong)內(nei)使(shi)用(yong)兩(liang)類(lei)憑(ping)證(zheng)卡(ka)技(ji)術(shu)。各(ge)個(ge)組(zu)織(zhi)也(ye)可(ke)以(yi)經(jing)過(guo)不(bu)斷(duan)改(gai)造(zao)滿(man)足(zu)新(xin)需(xu)求(qiu)，因(yin)此(ci)他(ta)們(men)將(jiang)能(neng)夠(gou)保(bao)護(hu)現(xian)有(you)基(ji)礎(chu)設(she)施(shi)的(de)投(tou)資(zi)。