【门禁】用于门禁的安全身份识别解决方案的最佳实践 - 安防知识网 - 资讯

当云端、私有数据和设施安全面临严峻挑战时，如何保证用户使用安全将成为“必修课”。通用的身份验证解决方案能够保障IT和物理基础设施的安全，同时又能够作为集成解决方案的一部分，实现与传统卡和NFC设备的互操作，有多种最佳实践可以满足这些要求。

　　门禁安全的最佳实践

　　门禁系统的安全最佳实践包括：使用双重身份验证和密钥保护机制的非接触式智能卡技术;智能卡基于开放式标准，能够使用安全生态系统内部的可信通信平台上的安全信息传送协议，与广泛的产品进行互操作。智能卡拥有通用、标准的卡边缘，提高适应性和互操作性，确保能够在NFC智能手机上使用，从而用户能够在门禁控制中轮换使用智能卡或移动设备。

　　保持门禁系统的 “与时俱进”非常重要，其原因有很多。组织可能需要未来添加新应用，如生物识别模板;合并、并购或迁移需要在短时间内重塑品牌并在重组时发行新凭证卡;满足新的安全需要以减少损失，特别是当现有系统是容易克隆的低频解决方案时，提高风险管理可能非常必要。另外，新立法或监管要求可能要求提高安全性。另一方面，将多种应用集成到一种解决方案可以带来许多优势，可以为组织提供集中式管理，为员工提供便利，使他们无需携带多张卡，即可执行开门、登录电脑、使用考勤和安全打印管理系统、支付餐费或交通费、执行非现金交易和其他应用。该集成能在整个IT基础设施的关键系统和应用程序上实现多因子验证，而不仅仅在周边进行验证，因此提高了安全性。此外，集成使组织能够利用现有的凭证卡投资，为网络登录无缝增加电脑桌面登录，在整个公司网络、系统和设施上建立完全互操作的多重安防解决方案。

　　门禁和网络登录的集成在美国联邦机构中尤为重要。2005年联邦信息处理标准刊物201(FIPS 201)定义了标准化个人身份验证(PIV)智能凭证卡的要求，即，利用智能卡和生物识别技术进行桌面电脑和门禁系统以增强身份验证。目前为止，FIPS 201多因子验证主要用于使用PKI验证的电脑桌面登录和数字文档签名，但这些功能对于门禁PKI也非常有效，预计以后将被广泛采用，成为联邦身份验证的最佳实践。PIV卡(可能包括用于电脑桌面登录和物理门禁的多因子验证)预计将移植到NFC手机。目前，将PACS基础设施升级至支持PIV卡，仅需要升级读卡器，并使用身份验证模块(包含所有的门禁PKI验证功能)增强现有面板和门控制器的功能。在读卡器和现有的PACS面板之间插入这些模块，无需像以前一样将现有控制器基础设施“拆除和更换”。

　　此外，也可以在商业场所提供相同的PKI验证功能。在PIV卡出现后的数年内，又定义了两种凭证卡——用于政府承包商的PIV-interoperable (PIV-I)以及用于商业用途的商业身份验证 (CIV)卡。后者是PIV-I的商业版，并且可以充分利用联邦政的PIV项目定义的标准，将可靠的开放式智能卡技术带到联邦政府机构以外的组织机构。

　　推荐阅读：

　　用于IT安全的安全身份识别解决方案的最佳实践

　　用于移动化的安全身份识别解决方案的最佳实践