云計算背景下的安全身份識別憑證卡發(fā)展趨勢

　　隨著(zhù)云計算技術(shù)的快速發(fā)展及應用，未來(lái)身份識別憑證卡將沿著(zhù)兩個(gè)方向發(fā)展。首先，ID卡繼續保持發(fā)展，未來(lái)將增強安全性，并利用云計算、云托管數據等技術(shù)整合門(mén)禁和安全憑證卡;其次，隨著(zhù)憑證卡不斷演變，虛擬憑證卡應運而生，身份識別不再局限于卡片，而是能移植到具有近距離無(wú)線(xiàn)通迅(NFC)功能的智能手機上。此外，目前最新的打印技術(shù)也簡(jiǎn)化了各類(lèi)憑證卡的制作、發(fā)行，并增強了安全性。

　　憑證卡已從磁條過(guò)渡到感應卡(Prox Card，PC)，并將向智能卡演進(jìn)。隨著(zhù)技術(shù)的進(jìn)步，憑證卡已具有以下功能：傳統的憑證卡能以虛擬憑證卡形式內置于具有NFC功能的智能手機上;智能卡能添加多層視覺(jué)和電子安全保護;智能卡可同時(shí)兼顧大樓設施的門(mén)禁安全和桌面登錄系統的安全，并應用于多個(gè)領(lǐng)域，包括樓字門(mén)禁、登錄網(wǎng)絡(luò )及其他應用程序和系統;最后，智能卡還將進(jìn)入新興的市場(chǎng)領(lǐng)域，例如Europay Master card Visa(EMV)解決方案采用基于芯片級技術(shù)的信用卡和借記卡國際標準。

　　當用戶(hù)在門(mén)禁系統(PACS)上采用智能卡或移動(dòng)設備，或同時(shí)采用兩者時(shí)，未來(lái)用戶(hù)將可以采用單一化解決方案，確保從云端數據到門(mén)禁系統過(guò)程中所有信息的安全，從而使用戶(hù)實(shí)現使用單一智能卡來(lái)支持多種應用的安全認證方式。

　　安全身份識別憑證卡的發(fā)展

　　在網(wǎng)絡(luò )、云托管數據、應用和服務(wù)技術(shù)日益興起的新時(shí)代，越來(lái)越多的用戶(hù)都希望緊隨潮流，精簡(jiǎn)用戶(hù)體驗。因此，要緩解企業(yè)內外不斷加劇和演變的各種風(fēng)險，安全的身份識別管理必不可少。

　　首先，需要有基于開(kāi)放架構的門(mén)禁系統以支持未來(lái)可能使用的新功能。為了實(shí)現更加理想的安全級別，系統應采用非接觸式高頻智能卡技術(shù)，該技術(shù)具有交互身份驗證和密鑰加密保護機制。

　　此外，這些證、卡還應采用安全信息傳輸協(xié)議，該協(xié)議可以在可信通信平臺(內置于可互操作產(chǎn)品的安全生態(tài)系統中)上進(jìn)行傳送。此外，需采用通用的卡緣，即卡命令接口技術(shù)來(lái)實(shí)現互操作性，以便與可信生態(tài)系統框架下的產(chǎn)品協(xié)同運行。這樣可以保障系統實(shí)現最高級別的安全性、便捷性、靈活性，以及滿(mǎn)足未來(lái)需求的適應性。

　　未來(lái)的一個(gè)發(fā)展趨勢是將在單一智能卡上集成多種應用的能力。使用單一智能卡除了能做到中央管理外，還能使員工無(wú)需隨身攜帶不同種類(lèi)的卡即可完成各類(lèi)應用，例如門(mén)禁、電腦登錄、考勤和安全打印管理系統及小額電子支付。用戶(hù)更可在智能卡中嵌入其他應用，包括生物識別技術(shù)，這需要擴展智能卡的數據存儲容量以容納生物識別模板。在理想的情況下，智能卡還應內置視覺(jué)防偽技術(shù)及其他用于提高整體安全性的元件。

　　更重要的是，在各種應用中需要采用多層安全保護，包括門(mén)禁、云端和設備上的數據保護。最佳的身份驗證方式應超越簡(jiǎn)易的密碼驗證，確保個(gè)人信息的真實(shí)性。大部分企業(yè)通常集中保護網(wǎng)絡(luò )周邊的安全，依靠靜態(tài)密碼來(lái)驗證防火墻內的用戶(hù)身份，然而，這種認證方式已不足以應付如今五花八門(mén)的高級持續性威脅(Advanced Persistent Threats)、黑客攻擊及采用自帶設備(Bring Your Own Device，BYOD)模式的相關(guān)風(fēng)險。靜態(tài)密碼勢必進(jìn)行擴展，并且應該納入其他多因子身份驗證方式。這種手段一直被視為免受攻擊的主要安全戰略，加上用戶(hù)仍然不愿意接受隨身攜帶一個(gè)單獨專(zhuān)用的動(dòng)態(tài)密碼裝置，如今，非接觸式一次性密碼登錄解決方案很好地解決了這個(gè)問(wèn)題，用戶(hù)可以輕松地憑卡執行電腦登錄和注銷(xiāo)操作，同時(shí)設置了一道較強身份驗證的安全防線(xiàn)。

　　其他多層安全保護策略包括設備身份驗證(包括在企業(yè)網(wǎng)絡(luò )上或在云端上應用的個(gè)人設備)、瀏覽器保護、交易身份驗證/基于模式的智能及應用層安全性，這要求集成式多層身份驗證機制和實(shí)時(shí)的威脅檢測平臺的使用。欺詐檢測技術(shù)早已應用在網(wǎng)上銀行和電子商務(wù)中，目前該技術(shù)有望應用于企業(yè)，為遠程訪(fǎng)問(wèn)(如VPN或虛擬桌面)提供額外的安全保護。與此同時(shí)，對于雙因子身份驗證策略，它通常僅局限于動(dòng)態(tài)密碼(OTPToken)、顯示卡和其他設備，市場(chǎng)上也推出了用于手機、平板電腦和瀏覽器令牌等用戶(hù)設備的“軟件令牌”(Softtoken)。通過(guò)手機應用程序產(chǎn)生一次性密碼，或者通過(guò)短信將一次性密碼發(fā)送至手機。

　　許多機構對注冊軟件令牌憑證卡的服務(wù)非常滿(mǎn)意，但是出于更高安全級別考慮，有些機構將身份驗證憑證卡存儲在移動(dòng)設備中的安全元件上，這可以是一個(gè)用戶(hù)身份識別模塊(Subscriber Identity Module，SIM)或基于通用集成電路卡(Universal Integrated Circuit Card，UICC)的安全元件，也可以結合安全元件存儲在附加設備上，例如附帶安全元件的microSD卡。在具有NFC功能的移動(dòng)智能手機上，這種方法將帶來(lái)更高的便捷性，同時(shí)還可確保用戶(hù)簡(jiǎn)單安全登錄多個(gè)基于云端的應用系統。

　　隨著(zhù)云技術(shù)的發(fā)展，在云端的身份識別管理也變得越來(lái)越重要了，特別是隨著(zhù)機構越來(lái)越多地利用軟件即服務(wù)(Softwareasa Service，SaaS)模式和移動(dòng)身份識別解決方案。將數據遷移至云端不僅可以使用SaaS應用系統，也可以通過(guò)存儲在別處的內部應用系統來(lái)完成，最有效的方法是采用聯(lián)合身份識別管理，可以讓用戶(hù)通過(guò)中央身份驗證后登錄多個(gè)應用程序。聯(lián)合ID管理支持多種身份驗證方式，通過(guò)中央管理審計記錄來(lái)滿(mǎn)足法規要求，而無(wú)需變更終端用戶(hù)設備。此外，聯(lián)合身份識別管理還用來(lái)保護系統免受高級持續性威脅、點(diǎn)對點(diǎn)黑客(adhochacking)、員工惡意行為及內部威脅(如員工欺詐)的攻擊，確保在卡片和智能手機上進(jìn)行安全的身份識別管理。