憑證卡已從磁條過渡到感應(yīng)卡 (Prox Card, PC) ，將向智能卡演進。隨著技術(shù)發(fā)展，傳統(tǒng)的憑證卡能以虛擬憑證卡形式內(nèi)置于具有 NFC 功能的智能手機上;智能卡能添加多層視覺和電子安全保護;此外，智能卡可同時兼顧大樓設(shè)施的門禁安全和桌面登錄系統(tǒng)的IT 安全，并應(yīng)用于多種領(lǐng)域，包括樓宇門禁、登錄網(wǎng)絡(luò)及其他應(yīng)用程序和系統(tǒng);最后，智能卡還將進入新興的市場領(lǐng)域，例如，Europay Mastercard Visa(EMV)解決方案采用基于芯片級技術(shù)的信用卡和借記卡國際標準。

　　機構(gòu)在門禁系統(tǒng) (PACS) 上采用更加安全的智能卡或移動設(shè)備，或同時采用兩者時，需要了解智能卡的應(yīng)用發(fā)展趨勢。其中，最廣泛的應(yīng)用機會，便是用戶可以采用單一化解決方案，確保從云端數(shù)據(jù)到門禁系統(tǒng)過程中所有信息的安全，從而使用戶實現(xiàn)使用單一智能卡來支持多種應(yīng)用的安全認證方式。

　　授權(quán)用戶—從現(xiàn)在到未來

　　在網(wǎng)絡(luò)、云托管數(shù)據(jù)、應(yīng)用和服務(wù)技術(shù)日益興起的新時代，越來越多的用戶都希望緊隨潮流，精簡用戶體驗。在此情形下，要緩解企業(yè)內(nèi)外不斷加劇和演變的各種風(fēng)險，安全的身份識別管理方案必不可少。

　　首先，要基于開放架構(gòu)的門禁系統(tǒng)，以支持未來使用的新功能。為了實現(xiàn)更加理想的安全級別，系統(tǒng)應(yīng)采用非接觸式高頻智能卡技術(shù)，該技術(shù)具有交互身份驗證和密鑰加密保護機制。隨著高安全性智能卡基礎(chǔ)平臺的部署，各個機構(gòu)能夠提高自身風(fēng)險管理水平，并符合現(xiàn)行立法或監(jiān)管機構(gòu)的法規(guī)要求。此外，這些證卡還應(yīng)采用安全信息傳輸協(xié)議，該協(xié)議可以在可信通信平臺(內(nèi)置于可互操作產(chǎn)品的安全生態(tài)系統(tǒng)中)上進行傳送。此外，需采用通用的卡緣，即卡命令接口技術(shù)，實現(xiàn)互操作性，同時使各個解決方案與可信生態(tài)系統(tǒng)框架下的產(chǎn)品協(xié)同運行。

　　未來需求還包括在單一智能卡上集成多種應(yīng)用的能力。使用單一智能卡解決方案除了能做到中央管理外，還能使員工無需隨身攜帶不同類卡完成各類應(yīng)用，例如門禁、電腦登錄;考勤和安全打印管理系統(tǒng)及小額電子支付。用戶更可在智能卡嵌入其他應(yīng)用，包括生物識別技術(shù)，這需要擴展智能卡的數(shù)據(jù)存儲容量以容納生物識別模板。在理想的情況下，智能卡還應(yīng)內(nèi)置視覺防偽技術(shù)及其他用于提高整體安全性的元件。

　　更重要的是，在各種應(yīng)用中采用多層安全保護，包括門禁、云端和設(shè)備上的數(shù)據(jù)保護。其中，最佳的身份驗證方式應(yīng)超越簡易的密碼驗證，從而確保了個人信息的真實性。大部分企業(yè)通常集中保護網(wǎng)絡(luò)周邊的的安全，依靠靜態(tài)密碼來驗證防火墻內(nèi)的用戶身份。然而，這種認證方式不足以應(yīng)付如今五花八門的高級持續(xù)性威脅，如黑客攻擊及采用自帶設(shè)備模式的相關(guān)風(fēng)險。靜態(tài)密碼勢必進行擴展，并且應(yīng)該納入其他多因子身份驗證方式。這種手段一直被視為免受攻擊的主要安全戰(zhàn)略，加上用戶仍然不愿意接受隨身攜帶一個單獨專用的動態(tài)密碼裝置。如今，非接觸式一次性密碼登錄解決方案解決了這個問題，它通過為用戶提供一張智能卡而得以實現(xiàn)的，用戶可以使用這些卡，輕松地拍卡 執(zhí)行電腦登錄和注銷操作，同時設(shè)置了一道較強的身份驗證安全防線。

　　其他多層安全保護策略包括設(shè)備身份驗證(包括在企業(yè)網(wǎng)絡(luò)上或在云端上應(yīng)用的個人設(shè)備)、瀏覽器保護、交易身份驗證/基于模式的智能及應(yīng)用層安全性。這要求集成式多層身份驗證機制和實時的威脅檢測平臺的使用。欺詐檢測技術(shù)早已應(yīng)用在網(wǎng)上銀行和電子商務(wù)中。目前，該技術(shù)有望應(yīng)用于企業(yè)，為遠程訪問(如VPN 或虛擬桌面)提供額外的安全保護。與此同時，對于雙因子身份驗證策略，它通常僅局限于動態(tài)密碼 (OTP Token)、顯示卡和其他設(shè)備。市場上也推出了用于手機、平板電腦和瀏覽器令牌等用戶設(shè)備的“軟件令牌”(Soft token)。通過手機應(yīng)用程序產(chǎn)生一次性密碼，或者通過短信將一次性密碼發(fā)送至手機。

　　許多機構(gòu)對注冊軟件令牌憑證卡的服務(wù)非常滿意，但是，出于更高安全級別考慮，有些機構(gòu)將身份驗證憑證卡存儲在移動設(shè)備中的安全元件上，這可以是一個用戶身份識別模塊 (Subscriber Identity Module, SIM) 或基于通用集成電路卡 (Universal Integrated Circuit Card, UICC) 的安全元件，也可以結(jié)合安全元件存儲在附加設(shè)備上，例如，附帶安全元件的 microSD 卡。在具有 NFC 功能的移動智能手機上，這種方法將帶來更高的便捷性，同時還確保用戶簡單安全登錄多個基于云端的應(yīng)用系統(tǒng)。

　　在云端的身份識別管理也變得越來越重要了，特別是隨著機構(gòu)越來越多地利用軟件即服務(wù)(SaaS)模式和移動身份識別解決方案。將數(shù)據(jù)遷移至云端不僅可以使用SaaS應(yīng)用系統(tǒng)，也可以通過存儲在別處的內(nèi)部應(yīng)用系統(tǒng)完成，但最有效的方法可能是聯(lián)合身份識別管理，可以讓用戶通過中央身份驗證后登錄多個應(yīng)用程序。聯(lián)合 ID 管理支持多種身份驗證方式，通過中央管理審計記錄來滿足法規(guī)要求，而無需變更終端用戶設(shè)備。此外，聯(lián)合身份識別管理還用來保護系統(tǒng)免受高級持續(xù)性威脅、點對點黑客(ad hoc hacking)、員工惡意行為及內(nèi)部威脅(如員工欺詐)的攻擊，確保在卡片和智能手機上進行身份識別管理。

　　遷移至移動憑證卡

　　基于與移動網(wǎng)絡(luò)運行商、可信服務(wù)管理平臺和其他服務(wù)提供商發(fā)展的合作伙伴關(guān)系，用戶可以安全地在任何設(shè)備上隨時隨地發(fā)行、撤消其身份識別卡的機制，同時還可以監(jiān)控和修改安全參數(shù)。

　　基于便捷、安全和可信的云配置，具有 NFC 功能的智能手機可以使用許多不同類型的虛擬憑證卡。這改變了我們創(chuàng)建、使用和管理身份識別的方式。除此之外，在當(dāng)今在自帶設(shè)備環(huán)境中，行業(yè)內(nèi)還須定義能夠管理和支持個人手機使用的最佳實踐，同時確保用戶隱私和保護企業(yè)數(shù)據(jù)和資源。在手機中創(chuàng)建單獨區(qū)域是其中一種的解決方案：所有應(yīng)用程序和其他 ID 憑證卡在手機中按照個人使用及企業(yè)使用劃分，并區(qū)別開來。NFC 功能的智能手機已經(jīng)可用于開門。所有相關(guān)密鑰、憑證卡和企業(yè)機構(gòu)數(shù)據(jù)都存儲在加密并遠程管理的手機安全元件上。根據(jù)機構(gòu)政策，可以限制此安全元件與其他設(shè)備之間的交互，并且應(yīng)用系統(tǒng)和數(shù)據(jù)的訪問也可要求更為嚴格的份驗證。

　　智能手機還需要支持衍生的憑證卡和公共密鑰基礎(chǔ)架構(gòu) (PKI)，包括由美國聯(lián)邦工人隨身攜帶的個人身份識別驗證 (PIV) 憑證卡。當(dāng)將衍生憑證卡置入企業(yè)/機構(gòu)和個人信息的單獨區(qū)域使用時，這將為分層使用周期管理創(chuàng)建額外的需求，因此，當(dāng)攜帶 PIV 憑證卡的手機丟失時，機構(gòu)僅需要撤消用戶的工作證。

　　盡管移動憑證卡具有安全性高和許多明顯優(yōu)勢，但在未來數(shù)年內(nèi)，智能手機不可能完全取代智能卡單獨用于門禁控制。畢竟，智能卡仍然為照片身份證明的首選方式。出于這個原因，在啟用 NFC 功能的智能手機中的移動門禁憑證卡有望與智能卡和胸卡共存。在智能卡的發(fā)行端也存在著重要的開發(fā)潛力。

　　安全級別優(yōu)化——憑證卡的發(fā)行

　　增強憑證卡、持卡人以及發(fā)行系統(tǒng)安全性的的選擇越來越多，該行業(yè)正在加速步伐向證卡驗證和整體安全性的多層保護方式遷移。

　　過去，單憑對比持卡人的照片或其他身份識別數(shù)據(jù)進行身份驗證。如今，憑證卡包括多種更可靠的視覺身份驗證元件，以防止篡改和偽造。這些視覺元件可包含具有較高分辨率的圖像和全息卡 (Holographic card over-laminates) ，以及永久性激光刻寫的個性化特征，這些元件很難或不可能進行偽造或篡改。

　　其他驗證因素是利用電子組件，例如，智能卡芯片或磁條。多重因素身份驗證可以通過添加證卡數(shù)據(jù)存儲來進行實施。這些額外的身份驗證因素可以包含持卡人“擁有”之物(證卡)、 “所知”之信息(密碼)以及持卡人個人特征(生物識別數(shù)據(jù))。如今智能卡還利用加密和密鑰技術(shù)來確保用戶在特定時間內(nèi)擁有正確的密鑰。

　　此外，整個發(fā)行系統(tǒng)也需要多層保護措施保護整個發(fā)行系統(tǒng)。首先，使用機械鎖限制人員接觸系統(tǒng)組件，其中包括輸入和輸出卡槽及廢卡箱。在所有接觸點加裝物理鎖，保護色帶和薄膜等耗材。通過個人識別碼 (PIN)控制操作人員對每一臺打印機的訪問權(quán)限。其次，機構(gòu)應(yīng)確保打印作業(yè)數(shù)據(jù)包，達到或超過先進的加密標準，以便優(yōu)化系統(tǒng)保密性、完整性并對最終發(fā)行端點進行身份驗證。最后，在打印功能區(qū)面板上使用的個人數(shù)據(jù)應(yīng)自動消除，打印機應(yīng)配備集成式傳感器，這樣自定義的打印功能區(qū)和分層全息卡，僅可以在授權(quán)單位中使用。

　　個性化也至關(guān)重要。對于大中型企業(yè)而言，最佳的解決方案是所使用的 ID 證卡打印機/編碼器包含了添加安全視覺個性化元件(如全息分層式)的模塊，支持對各種類型的憑證卡(包括磁條、非接觸式和接觸式編碼解決方案)進行各種類型的電子個性化設(shè)置，隨著安全要求的提高，還能簡化向新技術(shù)和新的編碼選項的遷移。大型機構(gòu)需要集成證卡個性化軟件解決方案，能靈活與各地分公司的數(shù)據(jù)庫進行連接，并根據(jù)區(qū)域的安全特點，采用不同的方法來控制整個設(shè)備的訪問權(quán)限。

　　其次要考慮證卡個性化的簡易性。正確的身份識別驗證管理，需要在證卡的電子元件上預(yù)先編程的數(shù)據(jù)，與在證卡上個人資料吻合。過去使用的桌面證卡打印機，通過將顏色和文字添加到證卡外觀來實現(xiàn)的。然后從打印機輸出槽中取證卡，將預(yù)打印/預(yù)編程的 IC 編號傳輸至計算機數(shù)據(jù)庫。之后通過手動輸入數(shù)據(jù)或?qū)⒆C卡發(fā)送至外圍桌面讀卡器來實現(xiàn)的。如今，嵌入式智能卡個性化流程，將這個流程簡化為單一步驟，讓用戶將一張證卡提交至配備內(nèi)置智能卡編碼器的桌面打印機，直接對證卡從里到外進行個性化設(shè)置。

　　幾乎所有主要的證卡打印機制造商都提供了證卡讀卡器/編碼器，同時，他們還提供與綜合系統(tǒng)兼容的證卡發(fā)行軟件。當(dāng)機構(gòu)擁有證卡打印機后，可以現(xiàn)場升級編碼器，通過將讀卡器/編碼器集成到證卡打印機，可以將來延伸智能卡的應(yīng)用。

　　最新的 ID 憑證卡技術(shù)可以使各個機構(gòu)應(yīng)對當(dāng)今和未來所面臨的嚴峻的安全挑戰(zhàn)。該技術(shù)還支持身份識別管理向云端的遷移，使用聯(lián)合身份識別管理和成熟的欺詐檢測技術(shù)，可以緩解內(nèi)部和外部的威脅。此外，在各種威脅力量日益猖獗的環(huán)境下，目前的解決方案可以解決安全身份驗證和隱私安全的多種問題，確?；ゲ僮鳟a(chǎn)品安全性。通過這些解決方案，可以將憑證卡移植到可提供便捷用戶體驗的新移動平臺，并與憑證卡共存，以便持續(xù)提高安全性，并使得打印和分發(fā)變得更簡單。