管理卡片生命周期的所有复杂性都落在称为卡片管理系统 (CMS) 的系统上。逻辑和物理个性化、发卡、暂停、撤销和临时发卡是 CMS 系统的标准任务。它将向用户和管理员发送有关智能卡的各种事件和操作的必要提醒和通知。此外,CMS 几乎总是提供自助服务功能,这大大减少了技术人员的工作量。
使用认证机构(CA),因此很容易猜测 PKI 是此类系统的基础。 CA 与 CMS 一起颁发、暂停和阻止用户证书。换句话说,PKI为数字证书提供生命周期管理。正是公钥加密基础为智能卡提供了如此高水平的安全性和其分发的广泛可能性。可以进行卡发行流程,其中用户在智能卡上独立生成密钥对并请求证书。 CA验证证书申请与用户身份相符后,颁发所请求的证书。
PKI可以为不同目的颁发证书。一个证书可用于身份验证,第二个证书可用于加密,第三个证书可用于电子签名。此外,所有用户证书都可以保存在同一张智能卡上。
总而言之,一张员工卡可以解决非常广泛的任务:
— 在计算机上进行身份验证,并能够在移除卡时阻止会话;
— 用于进入建筑物、场所、停车场的视觉和非接触式通行证;
— 应用程序中的身份验证;
— 远程访问身份验证;
— 打印机延迟打印(FollowMe);
— 邮件和文件加密;
— 用于电子邮件和其他目的的电子签名。
采用单一员工卡的方式的经济效率如何?首先,集成不同的系统可以降低支持成本。其次,减轻技术支持的负担也有助于实现这一目标。实施单一员工卡后,技术支持中总是省去了一大层与忘 新西兰电报数据 记密码相关的任务。最后,降低泄露用户凭证的风险。毕竟,如前所述,使用多因素身份验证会大大增加攻击者执行此任务的难度。这也许是最难估计的经济效应,但有例子表明,使用多因素身份验证的驱动因素恰恰是员工密码的泄露。
选择合适的解决方案来组织智能登录卡和发行单个员工卡取决于许多参数和具体任务。您不应该期望对于这样的任务只需安装来自 Microsoft 的认证机构就足够了,因为将证书写入卡中并不意味着管理此卡的生命周期。证书和卡的管理必须符合公认的、方便的、最重要的是安全的流程,但如果没有使用良好、灵活的工具,这是不可能的。