智能卡在系统认证方面大有作为。虽然智能卡没有信用卡大，但它们不仅可以携带用户的认证证书，而且也能携带比如帐户、银行信息、密钥、甚至生物计量数据方面的信息。

　　从本质上来说，智能卡继承了微型电脑，但是它们不能做任何计算和处理应用。它们的唯一目的是验证用户。智能卡有许多种，能够通过直接插入读卡器识别，或者通过遥控系统识别。一般是通过读卡器来识别的。

　　尽管智能卡带来如此之多的便利，但是，智能卡的安装和配置要求在软件、硬件和IT员工方面进行相当大的投资。下面，我们将对如何决定配置智能卡对你的公司是否有意义，如何计划安装，如何选择智能卡销售商等方面，提供简单的入门介绍。

　　智能卡及其风险分析

　　第一步是对智能卡即将保护的系统进行全面的风险分析。由于配置智能卡需要投入大量的工作，因此我们应该仅仅考虑保护系统中的高风险数据，比如客户身份信息、公司计划、知识产权等，或者是一些规章默认可能需要至少双因素认证技术的数据。对于任何低于这些要求的信息，使用智能卡都是一种技术浪费。

　　与联邦政府的HSPD-12 initiative类似，智能卡对物理和逻辑安全也有意义，对本身受保护的设施和计算机系统而言，一旦用户进入其中，就需要单因素认证。

　　需要提醒的是：向客户提供外部应用程序准入的智能卡时，一定要三思而后行。你关注最少的是客户的认同。当与大量客户合作时，发行、分配和维护智能卡的费用极有可能受到限制。

　　完成风险分析以后，确定智能卡系统的安全要求。安全员工是从其台式机上进入IT系统呢？还是当他们在旅途中，也为其笔记本提供额外的安全？是否最终把智能卡分配给每个员工，允许他们重置密码，或者仅仅允许一小部分员工进入高风险系统？是否智能卡仅仅用于系统准入，或者最终也能应用于受到保护设备的准入？这些问题的答案可以指导你进行短期和长期配置。

　　智能卡的数据和物流

　　安全要求建立以后，就该确定智能卡应该存储哪些信息。智能卡的优点在于它的适应性；几乎所有信息都可以加载到智能卡上，但是缺点是需要你做出决定。虽然一些组织仅仅拥有足够的信息来检验身份、加密算法和密钥，但是智能卡也可以用于处理电子支付或验证数字签名。智能卡也可以保存其它认证证书，比如员工的照片，甚至指纹和生物认证。但是需要记住，一个智能卡只能保存这么多信息，千万不要使其超载。

　　除了决定什么信息存储在智能卡上，与此密切相关的问题是如何加载信息，智能卡有两个版本：可重复储值式智能卡和抛弃式智能卡。可抛弃式智能卡相对比较便宜，但是可重复储值式智能卡更为实用。可重复储值式智能卡可以再次使用，节约了发行新卡带来的管理上的繁琐。商业和安全需求迫使我们选择可重复储值式智能卡。

　　下一个问题是发行、分配、维护和更换智能卡的程序。用户ID和密码是系统管理员在地址目录服务器上添加的真实证书，而智能卡与用户ID和密码不同，它是一个需要处理和维护的实物。任何正在考虑出售智能卡的销售商应该能够容易地并快速发出设备，越快越好。需要考虑下面几个问题：

• 是否可以很快解除丢失的卡？这样就不会带来恶意进入的威胁，然后是否能够迅速重置一张智能卡？
• 是否有一个自动系统可以跟踪监测哪个用户使用的是哪张卡？
• 如果必须的话，所有这些是否可以在远程完成？

　　此外，要考虑这些智能卡如何与现有的所有基础构件一起运行工作的，包括台式机和网络。比如，一些智能卡读卡器需要USB端口。这与你的电脑是否配套，或者USB口是否已经坏掉？它们也需要与整个认证目录服务一起工作，像Active Directory，更不用说网络基础构件、服务器和其它系统应用程序了。

　　考虑使用智能卡时，其它一些需要考虑的情况是智能卡是否适应整个公司的文化。确保从主要股东那里获得买入权。这些股东主要指执行官、使用智能卡并能影响到IT和人力资源部的工作人员。智能卡应当易于使用，而不是员工都抵制的繁琐设备。实现这一目标的方法是分步配置。如果第一批人感到满意，他们会传播智能卡的优点，下一步配置也就更容易了。

　　结论

　　智能卡可以大大提高认证系统的效率。但是仔细计划配置过程中的每一步——从产品选择和物流，到员工认可和用户要求——是回收投资所必需的。