云计算背景下的安全身份识别凭证卡发展趋势

　　随着云计算技术的快速发展及应用，未来身份识别凭证卡将沿着两个方向发展。首先，ID卡继续保持发展，未来将增强安全性，并利用云计算、云托管数据等技术整合门禁和安全凭证卡;其次，随着凭证卡不断演变，虚拟凭证卡应运而生，身份识别不再局限于卡片，而是能移植到具有近距离无线通迅(NFC)功能的智能手机上。此外，目前最新的打印技术也简化了各类凭证卡的制作、发行，并增强了安全性。

　　凭证卡已从磁条过渡到感应卡(Prox Card，PC)，并将向智能卡演进。随着技术的进步，凭证卡已具有以下功能：传统的凭证卡能以虚拟凭证卡形式内置于具有NFC功能的智能手机上;智能卡能添加多层视觉和电子安全保护;智能卡可同时兼顾大楼设施的门禁安全和桌面登录系统的安全，并应用于多个领域，包括楼字门禁、登录网络及其他应用程序和系统;最后，智能卡还将进入新兴的市场领域，例如Europay Master card Visa(EMV)解决方案采用基于芯片级技术的信用卡和借记卡国际标准。

　　当用户在门禁系统(PACS)上采用智能卡或移动设备，或同时采用两者时，未来用户将可以采用单一化解决方案，确保从云端数据到门禁系统过程中所有信息的安全，从而使用户实现使用单一智能卡来支持多种应用的安全认证方式。

　　安全身份识别凭证卡的发展

　　在网络、云托管数据、应用和服务技术日益兴起的新时代，越来越多的用户都希望紧随潮流，精简用户体验。因此，要缓解企业内外不断加剧和演变的各种风险，安全的身份识别管理必不可少。

　　首先，需要有基于开放架构的门禁系统以支持未来可能使用的新功能。为了实现更加理想的安全级别，系统应采用非接触式高频智能卡技术，该技术具有交互身份验证和密钥加密保护机制。

　　此外，这些证、卡还应采用安全信息传输协议，该协议可以在可信通信平台(内置于可互操作产品的安全生态系统中)上进行传送。此外，需采用通用的卡缘，即卡命令接口技术来实现互操作性，以便与可信生态系统框架下的产品协同运行。这样可以保障系统实现最高级别的安全性、便捷性、灵活性，以及满足未来需求的适应性。

　　未来的一个发展趋势是将在单一智能卡上集成多种应用的能力。使用单一智能卡除了能做到中央管理外，还能使员工无需随身携带不同种类的卡即可完成各类应用，例如门禁、电脑登录、考勤和安全打印管理系统及小额电子支付。用户更可在智能卡中嵌入其他应用，包括生物识别技术，这需要扩展智能卡的数据存储容量以容纳生物识别模板。在理想的情况下，智能卡还应内置视觉防伪技术及其他用于提高整体安全性的元件。

　　更重要的是，在各种应用中需要采用多层安全保护，包括门禁、云端和设备上的数据保护。最佳的身份验证方式应超越简易的密码验证，确保个人信息的真实性。大部分企业通常集中保护网络周边的安全，依靠静态密码来验证防火墙内的用户身份，然而，这种认证方式已不足以应付如今五花八门的高级持续性威胁(Advanced Persistent Threats)、黑客攻击及采用自带设备(Bring Your Own Device，BYOD)模式的相关风险。静态密码势必进行扩展，并且应该纳入其他多因子身份验证方式。这种手段一直被视为免受攻击的主要安全战略，加上用户仍然不愿意接受随身携带一个单独专用的动态密码装置，如今，非接触式一次性密码登录解决方案很好地解决了这个问题，用户可以轻松地凭卡执行电脑登录和注销操作，同时设置了一道较强身份验证的安全防线。

　　其他多层安全保护策略包括设备身份验证(包括在企业网络上或在云端上应用的个人设备)、浏览器保护、交易身份验证/基于模式的智能及应用层安全性，这要求集成式多层身份验证机制和实时的威胁检测平台的使用。欺诈检测技术早已应用在网上银行和电子商务中，目前该技术有望应用于企业，为远程访问(如VPN或虚拟桌面)提供额外的安全保护。与此同时，对于双因子身份验证策略，它通常仅局限于动态密码(OTPToken)、显示卡和其他设备，市场上也推出了用于手机、平板电脑和浏览器令牌等用户设备的“软件令牌”(Softtoken)。通过手机应用程序产生一次性密码，或者通过短信将一次性密码发送至手机。

　　许多机构对注册软件令牌凭证卡的服务非常满意，但是出于更高安全级别考虑，有些机构将身份验证凭证卡存储在移动设备中的安全元件上，这可以是一个用户身份识别模块(Subscriber Identity Module，SIM)或基于通用集成电路卡(Universal Integrated Circuit Card，UICC)的安全元件，也可以结合安全元件存储在附加设备上，例如附带安全元件的microSD卡。在具有NFC功能的移动智能手机上，这种方法将带来更高的便捷性，同时还可确保用户简单安全登录多个基于云端的应用系统。

　　随着云技术的发展，在云端的身份识别管理也变得越来越重要了，特别是随着机构越来越多地利用软件即服务(Softwareasa Service，SaaS)模式和移动身份识别解决方案。将数据迁移至云端不仅可以使用SaaS应用系统，也可以通过存储在别处的内部应用系统来完成，最有效的方法是采用联合身份识别管理，可以让用户通过中央身份验证后登录多个应用程序。联合ID管理支持多种身份验证方式，通过中央管理审计记录来满足法规要求，而无需变更终端用户设备。此外，联合身份识别管理还用来保护系统免受高级持续性威胁、点对点黑客(adhochacking)、员工恶意行为及内部威胁(如员工欺诈)的攻击，确保在卡片和智能手机上进行安全的身份识别管理。