| 出版日期:2002-03-11 总期号:1099 本年期号:16 |
|
 |
身份认证一卡搞定
沈生 旨在提高安全访问应用的企业正在寻找一种比单纯的用户身份认证功能更强大的身份验证方式。由此人们对智能卡的兴趣一直在不断增强。1974年发明的智能卡在2000年部署的数量达到5亿块。不过有人预测,到2003年将超过10 亿块。目前,智能卡广泛应用于欧洲和亚洲市场的识别和认证服务中(主要应用于移动电话市场的SIM卡),而美国的应用增长率比较低。人们对智能卡用于验证应用访问(特别是在电子商务环境)的兴趣日益浓厚,从而刺激智了能卡的制造、阅读器和应用环境出现全面的合作与收购活动。如今智能卡读写器的价格已下降至不足15美元(一些主要零售和银行业服务公司已经在考虑某些赠送计划),而如果是促销及批量采购,智能卡的单价可低至1美元,同时智能卡方面的系统集成技术也在增长。 在标准方面,成熟的市场至少孕育了三种卡上操作系统,不过在2001年初,微软宣布停止开发用于智能卡的Windows,仅向其它公司提供软件许可证,而近期,JavaCard的批量部署有所增加。在应用层,终于开始出现了数量有限的生物测量应用编程接口,这是因为政府下令各大系统集成商要采用这种接口。Windows 2000/XP、Novell Modular Authentication Service和Java都为智能卡读写系统提供集成支持。 照目前的部署速度来看,智能卡作为验证机制来被使用正在获得几个关键市场的认可。现在的问题是,虽然存在多操作系统环境,却没有针对特定企业应用的稳健的智能卡管理服务,但智能卡及智能卡阅读器制造商通过合作与并购减小了这些问题的影响。有调研表明,对涉及需要解决强大验证的普通业务需求而言,现在的技术和集成方案已绰绰有余。此外,把额外功能捆绑到智能卡上这一概念为企业提供了获得投资回报的机会,例如大楼进入、多个登录身份和口令及数字签名功能。 智能卡为有可能解决安全移动身份的体系结构问题提供了一个方案,而最好的验证系统应由下列三部分组成:一,你拥有的东西(如存放在智能卡上的私人密钥);二,你知道的东西(如PIN或口令);三,你特有的东西(如指纹或虹膜扫描图)。智能卡目前支持前两个部分。有研究表明,2003年后,生物技术方面的进展最终将通过使用智能卡存储的生物测量信息打开智能卡,以获得验证从而访问应用,来提供上述验证系统中的第三部分。不过,阅读器基础设施可用性仍将是一个限制因素。IT组织应该对业务计划所需求的验证级别制订一个详细计划,知道部署哪些就够了。 对使用微软Windows 2000/XP的企业而言,一个显著影响就是,要求为使用智能卡配置认证授权(CA)和Windows 2000证书服务。CA必须运行在有DNS(域名服务)的Windows 2000域控制器上,进行合理配置以保护登记站和CA通信的安全。虽然有几个方案可以配置CA类型,但企业外的认证授权机构会给智能卡验证带来兼容性问题。使用Windows 2000的IT组织应该计划部署及管理认证服务,如果他们设想使用智能卡的话。 2002年,智能卡制造商、阅读器、系统和软件的合作将达到这样一种效果:企业部署便携、安全的身份和强大的验证机制。需要强大验证服务的IT组织应在安全行业内找到与现有企业安全平台相关的联盟与合作,并开始相关测试方案,力求在2003年之前完成某些方面的部署。 |
||||||||||||||||||||||||||
