RFID世界網(wǎng) > 新聞中心 > 企業(yè)動態(tài) > 正文

微軟 Windows 中的 PKI 和智能卡技術(shù)

作者：李洋

來源：郵件技術(shù)資訊網(wǎng)

日期：2010-07-26 10:47:10

摘要：Windows對PKI做了全面支持。PKI在提供高強(qiáng)度安全性的同時，還與操作系統(tǒng)進(jìn)行了緊密集成，并作為操作系統(tǒng)的一項(xiàng)基本服務(wù)而存在，避免了購買第三方PKI所帶來的額外開銷。Windows PKI的基本邏輯組件中最核心的為微軟證書服務(wù)系統(tǒng)（Microsoft Certificate Services），它允許用戶配置一個或多個企業(yè)CA，這些CA支持證書的發(fā)放和廢除，并與活動目錄和策略配合，共同完成證書和廢除信息的發(fā)布。

關(guān)鍵詞：CAKMSPKIwindows

Windows對PKI做了全面支持。PKI在提供高強(qiáng)度安全性的同時，還與操作系統(tǒng)進(jìn)行了緊密集成，并作為操作系統(tǒng)的一項(xiàng)基本服務(wù)而存在，避免了購買第三方PKI所帶來的額外開銷。Windows PKI的基本邏輯組件中最核心的為微軟證書服務(wù)系統(tǒng)（Microsoft Certificate Services），它允許用戶配置一個或多個企業(yè)CA，這些CA支持證書的發(fā)放和廢除，并與活動目錄和策略配合，共同完成證書和廢除信息的發(fā)布。

　　Windows PKI并沒有替換掉基于域控制器DC （domain controller）和Kerberos 密鑰分配中心KDC的Windows NT 域信任和認(rèn)證機(jī)制，相反，Windows PKI反而對這些服務(wù)進(jìn)行了增強(qiáng)，適合于Extranet和Internet的不同應(yīng)用，并可應(yīng)用于具有可伸縮性和分布式環(huán)境下，提供身份識別、認(rèn)證、完整性驗(yàn)證和機(jī)密性等安全服務(wù)。

　　Windows PKI建立在微軟久經(jīng)考驗(yàn)的PKI組件基礎(chǔ)之上，其基本組件包括如下幾種：

　　證書服務(wù)（Certificate Services）。證書服務(wù)作為一項(xiàng)核心的操作系統(tǒng)級服務(wù)，允許組織和企業(yè)建立自己的CA系統(tǒng)，并發(fā)布和管理數(shù)字證書。

　　活動目錄?；顒幽夸浄?wù)作為一項(xiàng)核心的操作系統(tǒng)級服務(wù)，提供了查找網(wǎng)絡(luò)資源的唯一位置，在PKI中為證書和CRL等信息提供發(fā)布服務(wù)。

　　基于PKI的應(yīng)用。Windows 本身提供了許多基于PKI的應(yīng)用，如Internet Explorer、Microsoft Money、Internet Information Server、Outlook和Outlook Express等。另外，一些其它第三方PKI應(yīng)用也同樣可以建立在Windows PKI基礎(chǔ)之上。

　　Exchange密鑰管理服務(wù)KMS（Exchange Key Management Service）。KMS是Microsoft Exchange提供的一項(xiàng)服務(wù)，允許應(yīng)用存儲和獲取用于加密e-mail的密鑰。在將來版本的Windows系統(tǒng)中，KMS將作為Windows操作系統(tǒng)的一部分來提供企業(yè)級的KMS服務(wù)。

　　Windows中的集成PKI系統(tǒng)提供了證書服務(wù)功能，可以讓用戶通過Internet/ extranets/ intranets安全地交互敏感信息。證書服務(wù)驗(yàn)證一個電子商務(wù)交易中參與各方的有效性和真實(shí)性，并使用智能卡等提供的額外安全措施來使域用戶登錄到某個域。

　　Windows通過創(chuàng)建一個證書機(jī)構(gòu)CA來管理其公鑰基礎(chǔ)設(shè)施PKI，以提供證書服務(wù)。一個CA通過發(fā)布證書來確認(rèn)用戶公鑰和其他屬性的綁定關(guān)系，以提供對用戶身份的證明。Windows證書服務(wù)創(chuàng)建的CA可以接收證書請求、驗(yàn)證請求信息和請求者身份、發(fā)行和撤銷證書，以及發(fā)布證書廢除列表CRL（Certificate Revocation List）。證書服務(wù)是通過內(nèi)置的證書管理單元來實(shí)現(xiàn)的。

　　現(xiàn)在越來越多的企業(yè)正在尋找各種方法來提高其網(wǎng)絡(luò)資源的安全性，智能卡（smart cards，或稱為靈巧卡）就是其中比較流行的一個。智能卡提供了讓非授權(quán)人更難獲取網(wǎng)絡(luò)存取權(quán)限的一種簡單方式，Windows對智能卡安全提供了內(nèi)在支持。

　　智能卡同普通信用卡的大小差不多，并提供了抗修改能力，用于保護(hù)其中的用戶證書和私鑰。在這種方式下，智能卡提供了一種非常安全的方式以進(jìn)行用戶認(rèn)證、交互式登錄、代碼簽名和安全e-mail傳送等。每一個智能卡中都包含一個芯片，其中存儲有用戶的私鑰、登錄信息和用于不同目的的公鑰證書，如數(shù)字簽名證書和數(shù)據(jù)加密證書等。

　　使用智能卡比使用口令進(jìn)行認(rèn)證具有更高的安全性：

　　智能卡方式下需要使用物理對象（卡）來認(rèn)證用戶。

　　智能卡的使用必須提供一個個人標(biāo)識號PIN（Personal Identification Number），這樣可以保證只有經(jīng)過授權(quán)的人才能使用該智能卡。

　　從物理形式上，密鑰不能從卡中導(dǎo)出，就消除了通過盜取用戶證書而對系統(tǒng)發(fā)起的攻擊和威脅。

　　沒有智能卡，攻擊者不能存取和使用經(jīng)過卡保護(hù)的信息資源。

　　在網(wǎng)絡(luò)中，沒有口令或任何可重用信息的傳輸。

　　在存取和使用資源之前，智能卡通過要求用戶提供物理對象（卡）和卡使用信息（如卡的PIN）的方式來增強(qiáng)純軟件認(rèn)證方案的安全性，這種認(rèn)證方式稱為雙因素（two-factor）認(rèn)證，比較適合應(yīng)用于安全性要求較高的重要場合。

　　同口令認(rèn)證方式不同，采用智能卡進(jìn)行認(rèn)證時，用戶把卡插入連接到計算機(jī)的讀寫器中，并輸入卡的PIN，Windows就可以使用卡中存儲的私鑰和證書來向Windows域控制器的KDC認(rèn)證用戶。認(rèn)證完用戶以后，KDC將返回一個許可票據(jù)。