云端、桌面登錄和門(mén)禁安全身份識別解決方案

面對云端、私有數據和設施安全日益嚴峻的挑戰。目前，建立通用的身份驗證解決方式是最理想的方式：a) 支持樓宇、網(wǎng)絡(luò )以及云端服務(wù)和資源的綜合安全訪(fǎng)問(wèn)；b) 支持移動(dòng)密鑰，可以通過(guò)智能手機或平板電腦方便和安全地訪(fǎng)問(wèn)；c) 提供多重因子身份驗證功能，實(shí)現最有效地威脅防護；d) 能夠與支持近場(chǎng)通訊技術(shù)（NFC）的筆記本電腦、平板電腦和手機互操作，實(shí)現最佳安全性和用戶(hù)體驗。通用的身份驗證解決方案能夠保障IT和物理基礎設施的安全，同時(shí)又能夠作為集成解決方案的一部分，實(shí)現與傳統卡和NFC設備的互操作，有多種最佳實(shí)踐可以滿(mǎn)足這些要求。

IT安全的最佳實(shí)踐

最重要且最佳的實(shí)踐是摒棄純密碼的身份驗證，而采用密碼與多重安全方法相結合。企業(yè)通常關(guān)注網(wǎng)絡(luò )周邊的安全，并在防火墻內部依賴(lài)靜態(tài)密碼驗證用戶(hù)的身份。隨著(zhù)威脅的多元化趨勢，如高級持續性威脅（APT）、移動(dòng)自組網(wǎng)黑客攻擊和使用自帶設備帶來(lái)的內部風(fēng)險，因此傳統的方法明顯不足。靜態(tài)密碼后患無(wú)窮，因此企業(yè)應該將增強的身份驗證擴大到個(gè)人應用程序和服務(wù)器以及云端系統。

多重安全方法應該包括多因子身份驗證、設備身份驗證、瀏覽器保護和交易身份驗證。該方法采用集成式通用身份驗證平臺以及實(shí)時(shí)威脅檢測功能。威脅檢測技術(shù)已經(jīng)在網(wǎng)上銀行和電子商務(wù)領(lǐng)域應用了一段時(shí)間，該技術(shù)預計可以轉移到企業(yè)中，作為VPN或虛擬桌面等遠程訪(fǎng)問(wèn)應用的額外安全措施。

雙因子驗證措施以前通常局限于動(dòng)態(tài)口令（OTP）密鑰、顯示卡和其他物理設備，但是目前正在被存儲到手機、平板電腦上的“軟件密鑰”以及瀏覽器密鑰取代。各個(gè)組織能夠使用用戶(hù)的智能手機替換專(zhuān)用的安全密鑰，普及第二個(gè)身份驗證因子（“擁有的東西”），實(shí)現便利性。手機應用程序產(chǎn)生OTP，或者通過(guò)短信將OTP發(fā)送到手機。為了實(shí)現更高的安全性，將身份驗證憑證卡存儲到移動(dòng)設備的安全元件上或用戶(hù)身份模塊（SIM）芯片上。移動(dòng)密鑰也可以與云端應用程序單點(diǎn)登錄功能相結合，將傳統的雙因子驗證與單一設備上多個(gè)云端應用程序的簡(jiǎn)化訪(fǎng)問(wèn)相融合。

隨著(zhù)身份管理轉向云端，需要考慮其他關(guān)鍵因素。目前，關(guān)于此模式安全的探討都集中在保障平臺安全上，但隨著(zhù)企業(yè)將應用程序移動(dòng)到云端并充分利用軟件即服務(wù)（SaaS）的模式，在多個(gè)云端應用程序中配置和撤銷(xiāo)用戶(hù)身份，同時(shí)確保安全、順暢的用戶(hù)登錄，解決這些挑戰至關(guān)重要。此外，本行業(yè)需要定義用于管理和支持自帶設備（BYOD）環(huán)境中大量的個(gè)人手機的最佳實(shí)踐。從個(gè)人設備到公司網(wǎng)絡(luò )或云端應用程序的身份驗證將成為一項關(guān)鍵要求。在保護企業(yè)數據和資源的同時(shí)，保障BYOD用戶(hù)的個(gè)人隱私也非常關(guān)鍵。   

門(mén)禁安全的最佳實(shí)踐

門(mén)禁系統的安全最佳實(shí)踐包括：使用雙重身份驗證和密鑰保護機制的非接觸式智能卡技術(shù)；智能卡基于開(kāi)放式標準，能夠使用安全生態(tài)系統內部的可信通信平臺上的安全信息傳送協(xié)議，與廣泛的產(chǎn)品進(jìn)行互操作。智能卡擁有通用、標準的卡邊緣，提高適應性和互操作性，確保能夠在NFC智能手機上使用，從而用戶(hù)能夠在門(mén)禁控制中輪換使用智能卡或移動(dòng)設備。

保持門(mén)禁系統的 “與時(shí)俱進(jìn)”非常重要，其原因有很多。組織可能需要未來(lái)添加新應用，如生物識別模板；合并、并購或遷移需要在短時(shí)間內重塑品牌并在重組時(shí)發(fā)行新憑證卡；滿(mǎn)足新的安全需要以減少損失，特別是當現有系統是容易克隆的低頻解決方案時(shí)，提高風(fēng)險管理可能非常必要。另外，新立法或監管要求可能要求提高安全性。另一方面，將多種應用集成到一種解決方案可以帶來(lái)許多優(yōu)勢，可以為組織提供集中式管理，為員工提供便利，使他們無(wú)需攜帶多張卡，即可執行開(kāi)門(mén)、登錄電腦、使用考勤和安全打印管理系統、支付餐費或交通費、執行非現金交易和其他應用。該集成能在整個(gè)IT基礎設施的關(guān)鍵系統和應用程序上實(shí)現多因子驗證，而不僅僅在周邊進(jìn)行驗證，因此提高了安全性。此外，集成使組織能夠利用現有的憑證卡投資，為網(wǎng)絡(luò )登錄無(wú)縫增加電腦桌面登錄，在整個(gè)公司網(wǎng)絡(luò )、系統和設施上建立完全互操作的多重安防解決方案。
門(mén)禁和網(wǎng)絡(luò )登錄的集成在聯(lián)邦機構中尤為重要。2005年聯(lián)邦信息處理標準刊物201（FIPS 201）定義了標準化個(gè)人身份驗證（PIV）智能憑證卡的要求，即，利用智能卡和生物識別技術(shù)進(jìn)行桌面電腦和門(mén)禁系統以增強身份驗證。目前為止，FIPS 201多因子驗證主要用于使用PKI驗證的電腦桌面登錄和數字文檔簽名，但這些功能對于門(mén)禁PKI也非常有效，預計以后將被廣泛采用，成為聯(lián)邦身份驗證的最佳實(shí)踐。PIV卡（可能包括用于電腦桌面登錄和物理門(mén)禁的多因子驗證）預計將移植到NFC手機。目前，將PACS基礎設施升級至支持PIV卡，僅需要升級讀卡器，并使用身份驗證模塊（包含所有的門(mén)禁PKI驗證功能）增強現有面板和門(mén)控制器的功能。在讀卡器和現有的PACS面板之間插入這些模塊，無(wú)需像以前一樣將現有控制器基礎設施“拆除和更換”。

 
此外，也可以在商業(yè)場(chǎng)所提供相同的PKI驗證功能。在PIV卡出現后的數年內，又定義了兩種憑證卡——用于政府承包商的PIV-interoperable (PIV-I)以及用于商業(yè)用途的商業(yè)身份驗證 (CIV)卡。后者是PIV-I的商業(yè)版，并且可以充分利用聯(lián)邦政的PIV項目定義的標準，將可靠的開(kāi)放式智能卡技術(shù)帶到聯(lián)邦政府機構以外的組織機構。

移動(dòng)化

將物理門(mén)禁和電腦桌面登錄集成到NFC手機上也是最佳實(shí)踐之一——用戶(hù)很少會(huì )丟失或遺忘該設備。通過(guò)提供一種、便捷的解決方案，用戶(hù)無(wú)需攜帶單獨的卡、OTP密鑰或密鑰卡，即可進(jìn)入大樓、登錄網(wǎng)絡(luò )、訪(fǎng)問(wèn)應用程序和系統、遠程訪(fǎng)問(wèn)安全網(wǎng)絡(luò )。此外，移動(dòng)門(mén)禁控制的云端身份配置模型可防止憑證卡復制，使發(fā)行臨時(shí)憑證卡、注銷(xiāo)丟失或失竊的憑證卡、根據需要監控和修改安防參數等操作更加容易。 

盡管移動(dòng)門(mén)禁控制有許多優(yōu)勢，該技術(shù)不可能在未來(lái)幾年內完全取代物理智能卡。相反，NFC手機將與胸卡和胸章共存，這樣組織可以在物理門(mén)禁系統內實(shí)施智能卡、移動(dòng)設備或兩者混用。為該混合門(mén)禁控制環(huán)境建立一個(gè)升級路徑確保目前的技術(shù)投資在將來(lái)也可以利用，這一點(diǎn)非常重要。升級至新功能需要一種可擴展和適應性強的多重技術(shù)智能卡和讀卡器平臺，該平臺能夠使舊憑證卡和新憑證卡技術(shù)集成到相同的卡上，同時(shí)能夠支持NFC移動(dòng)平臺。 

同時(shí)，組織也必須優(yōu)化傳統卡的安全發(fā)行。這包括為多重驗證集成關(guān)鍵的可視和邏輯技術(shù)，以及通過(guò)使用多重管理程序進(jìn)一步提高安全性，同時(shí)還需要提高發(fā)行系統的效率。大部分ID卡發(fā)行系統依靠二維身份驗證，對比個(gè)人提供的憑證以及卡上顯示的身份數據（例如照片ID），以及更復雜的元素，如高分辨率圖像，或激光刻蝕的永久個(gè)人化特征，這使偽造和篡改根本行不通。智能卡芯片、磁條和其他數字部門(mén)成為第三個(gè)安全維度，卡數據容量擴大后可以包含生物識別信息和其他信息，進(jìn)一步增強了驗證。聯(lián)網(wǎng)智能化制卡系統可以在一步內處理所有必要任務(wù)，另一種有效的最佳實(shí)踐是將讀卡器/編碼器集成到卡打印機硬件中，使組織能夠在以后利用智能卡應用帶來(lái)的優(yōu)勢。

物理門(mén)禁和電腦桌面登錄以及將兩種功能集成到單一解決方案的最佳實(shí)踐要求使用基于開(kāi)放式標準的智能卡技術(shù)，并且該技術(shù)支持許多應用并能夠移植到NFC手機。通過(guò)建立這一基礎并預先計劃升級至新功能，各個(gè)組織可以選擇在其物理門(mén)禁系統內使用兩類(lèi)憑證卡技術(shù)。各個(gè)組織也可以經(jīng)過(guò)不斷改造滿(mǎn)足新需求，因此他們將能夠保護現有基礎設施的投資。