微軟 Windows 中的 PKI 和智能卡技術(shù)

文章出處：http://psychicreadingswithdeb.com 作者：李洋   人氣： 發(fā)表時(shí)間：2011年10月09日

    Windows對PKI做了全面支持。PKI在提供高強度安全性的同時(shí)，還與操作系統進(jìn)行了緊密集成，并作為操作系統的一項基本服務(wù)而存在，避免了購買(mǎi)第三方PKI所帶來(lái)的額外開(kāi)銷(xiāo)。Windows PKI的基本邏輯組件中最核心的為微軟證書(shū)服務(wù)系統（Microsoft Certificate Services），它允許用戶(hù)配置一個(gè)或多個(gè)企業(yè)CA，這些CA支持證書(shū)的發(fā)放和廢除，并與活動(dòng)目錄和策略配合，共同完成證書(shū)和廢除信息的發(fā)布。

    Windows PKI并沒(méi)有替換掉基于域控制器DC （domain controller）和Kerberos 密鑰分配中心KDC的Windows NT 域信任和認證機制，相反，Windows PKI反而對這些服務(wù)進(jìn)行了增強，適合于Extranet和Internet的不同應用，并可應用于具有可伸縮性和分布式環(huán)境下，提供身份識別、認證、完整性驗證和機密性等安全服務(wù)。

    Windows PKI建立在微軟久經(jīng)考驗的PKI組件基礎之上，其基本組件包括如下幾種：

    證書(shū)服務(wù)（Certificate Services）。證書(shū)服務(wù)作為一項核心的操作系統級服務(wù)，允許組織和企業(yè)建立自己的CA系統，并發(fā)布和管理數字證書(shū)。

    活動(dòng)目錄?；顒?dòng)目錄服務(wù)作為一項核心的操作系統級服務(wù)，提供了查找網(wǎng)絡(luò )資源的唯一位置，在PKI中為證書(shū)和CRL等信息提供發(fā)布服務(wù)。

    基于PKI的應用。Windows 本身提供了許多基于PKI的應用，如Internet Explorer、Microsoft Money、Internet Information Server、Outlook和Outlook Express等。另外，一些其它第三方PKI應用也同樣可以建立在Windows PKI基礎之上。

    Exchange密鑰管理服務(wù)KMS（Exchange Key Management Service）。KMS是Microsoft Exchange提供的一項服務(wù)，允許應用存儲和獲取用于加密e-mail的密鑰。在將來(lái)版本的Windows系統中，KMS將作為Windows操作系統的一部分來(lái)提供企業(yè)級的KMS服務(wù)。

    Windows中的集成PKI系統提供了證書(shū)服務(wù)功能，可以讓用戶(hù)通過(guò)Internet/ extranets/ intranets安全地交互敏感信息。證書(shū)服務(wù)驗證一個(gè)電子商務(wù)交易中參與各方的有效性和真實(shí)性，并使用智能卡等提供的額外安全措施來(lái)使域用戶(hù)登錄到某個(gè)域。

    Windows通過(guò)創(chuàng )建一個(gè)證書(shū)機構CA來(lái)管理其公鑰基礎設施PKI，以提供證書(shū)服務(wù)。一個(gè)CA通過(guò)發(fā)布證書(shū)來(lái)確認用戶(hù)公鑰和其他屬性的綁定關(guān)系，以提供對用戶(hù)身份的證明。Windows證書(shū)服務(wù)創(chuàng )建的CA可以接收證書(shū)請求、驗證請求信息和請求者身份、發(fā)行和撤銷(xiāo)證書(shū)，以及發(fā)布證書(shū)廢除列表CRL（Certificate Revocation List）。證書(shū)服務(wù)是通過(guò)內置的證書(shū)管理單元來(lái)實(shí)現的。

    現在越來(lái)越多的企業(yè)正在尋找各種方法來(lái)提高其網(wǎng)絡(luò )資源的安全性，智能卡（smart cards，或稱(chēng)為靈巧卡）就是其中比較流行的一個(gè)。智能卡提供了讓非授權人更難獲取網(wǎng)絡(luò )存取權限的一種簡(jiǎn)單方式，Windows對智能卡安全提供了內在支持。

    智能卡同普通信用卡的大小差不多，并提供了抗修改能力，用于保護其中的用戶(hù)證書(shū)和私鑰。在這種方式下，智能卡提供了一種非常安全的方式以進(jìn)行用戶(hù)認證、交互式登錄、代碼簽名和安全e-mail傳送等。每一個(gè)智能卡中都包含一個(gè)芯片，其中存儲有用戶(hù)的私鑰、登錄信息和用于不同目的的公鑰證書(shū)，如數字簽名證書(shū)和數據加密證書(shū)等。

    使用智能卡比使用口令進(jìn)行認證具有更高的安全性：

    智能卡方式下需要使用物理對象（卡）來(lái)認證用戶(hù)。

    智能卡的使用必須提供一個(gè)個(gè)人標識號PIN（Personal Identification Number），這樣可以保證只有經(jīng)過(guò)授權的人才能使用該智能卡。

    從物理形式上，密鑰不能從卡中導出，就消除了通過(guò)盜取用戶(hù)證書(shū)而對系統發(fā)起的攻擊和威脅。

    沒(méi)有智能卡，攻擊者不能存取和使用經(jīng)過(guò)卡保護的信息資源。

    在網(wǎng)絡(luò )中，沒(méi)有口令或任何可重用信息的傳輸。

    在存取和使用資源之前，智能卡通過(guò)要求用戶(hù)提供物理對象（卡）和卡使用信息（如卡的PIN）的方式來(lái)增強純軟件認證方案的安全性，這種認證方式稱(chēng)為雙因素（two-factor）認證，比較適合應用于安全性要求較高的重要場(chǎng)合。

    同口令認證方式不同，采用智能卡進(jìn)行認證時(shí)，用戶(hù)把卡插入連接到計算機的讀寫(xiě)器中，并輸入卡的PIN，Windows就可以使用卡中存儲的私鑰和證書(shū)來(lái)向Windows域控制器的KDC認證用戶(hù)。認證完用戶(hù)以后，KDC將返回一個(gè)許可票據。