微軟 Windows 中的 PKI 和智能卡技術
文章出處:http://hz-huyue.com 作者:李洋 人氣: 發表時間:2011年10月09日
Windows對PKI做了全面支持。PKI在提供高強度安全性的同時,還與操作系統進行了緊密集成,并作為操作系統的一項基本服務而存在,避免了購買第三方PKI所帶來的額外開銷。Windows PKI的基本邏輯組件中最核心的為微軟證書服務系統(Microsoft Certificate Services),它允許用戶配置一個或多個企業CA,這些CA支持證書的發放和廢除,并與活動目錄和策略配合,共同完成證書和廢除信息的發布。
Windows PKI并沒有替換掉基于域控制器DC (domain controller)和Kerberos 密鑰分配中心KDC的Windows NT 域信任和認證機制,相反,Windows PKI反而對這些服務進行了增強,適合于Extranet和Internet的不同應用,并可應用于具有可伸縮性和分布式環境下,提供身份識別、認證、完整性驗證和機密性等安全服務。
Windows PKI建立在微軟久經考驗的PKI組件基礎之上,其基本組件包括如下幾種:
證書服務(Certificate Services)。證書服務作為一項核心的操作系統級服務,允許組織和企業建立自己的CA系統,并發布和管理數字證書。
活動目錄?;顒幽夸浄兆鳛橐豁椇诵牡牟僮飨到y級服務,提供了查找網絡資源的唯一位置,在PKI中為證書和CRL等信息提供發布服務。
基于PKI的應用。Windows 本身提供了許多基于PKI的應用,如Internet Explorer、Microsoft Money、Internet Information Server、Outlook和Outlook Express等。另外,一些其它第三方PKI應用也同樣可以建立在Windows PKI基礎之上。
Exchange密鑰管理服務KMS(Exchange Key Management Service)。KMS是Microsoft Exchange提供的一項服務,允許應用存儲和獲取用于加密e-mail的密鑰。在將來版本的Windows系統中,KMS將作為Windows操作系統的一部分來提供企業級的KMS服務。
Windows中的集成PKI系統提供了證書服務功能,可以讓用戶通過Internet/ extranets/ intranets安全地交互敏感信息。證書服務驗證一個電子商務交易中參與各方的有效性和真實性,并使用智能卡等提供的額外安全措施來使域用戶登錄到某個域。
Windows通過創建一個證書機構CA來管理其公鑰基礎設施PKI,以提供證書服務。一個CA通過發布證書來確認用戶公鑰和其他屬性的綁定關系,以提供對用戶身份的證明。Windows證書服務創建的CA可以接收證書請求、驗證請求信息和請求者身份、發行和撤銷證書,以及發布證書廢除列表CRL(Certificate Revocation List)。證書服務是通過內置的證書管理單元來實現的。
現在越來越多的企業正在尋找各種方法來提高其網絡資源的安全性,智能卡(smart cards,或稱為靈巧卡)就是其中比較流行的一個。智能卡提供了讓非授權人更難獲取網絡存取權限的一種簡單方式,Windows對智能卡安全提供了內在支持。
智能卡同普通信用卡的大小差不多,并提供了抗修改能力,用于保護其中的用戶證書和私鑰。在這種方式下,智能卡提供了一種非常安全的方式以進行用戶認證、交互式登錄、代碼簽名和安全e-mail傳送等。每一個智能卡中都包含一個芯片,其中存儲有用戶的私鑰、登錄信息和用于不同目的的公鑰證書,如數字簽名證書和數據加密證書等。
使用智能卡比使用口令進行認證具有更高的安全性:
智能卡方式下需要使用物理對象(卡)來認證用戶。
智能卡的使用必須提供一個個人標識號PIN(Personal Identification Number),這樣可以保證只有經過授權的人才能使用該智能卡。
從物理形式上,密鑰不能從卡中導出,就消除了通過盜取用戶證書而對系統發起的攻擊和威脅。
沒有智能卡,攻擊者不能存取和使用經過卡保護的信息資源。
在網絡中,沒有口令或任何可重用信息的傳輸。
在存取和使用資源之前,智能卡通過要求用戶提供物理對象(卡)和卡使用信息(如卡的PIN)的方式來增強純軟件認證方案的安全性,這種認證方式稱為雙因素(two-factor)認證,比較適合應用于安全性要求較高的重要場合。
同口令認證方式不同,采用智能卡進行認證時,用戶把卡插入連接到計算機的讀寫器中,并輸入卡的PIN,Windows就可以使用卡中存儲的私鑰和證書來向Windows域控制器的KDC認證用戶。認證完用戶以后,KDC將返回一個許可票據。