微软 Windows 中的 PKI 和智能卡技术
文章出处:http://www.singbon.com 作者:李洋 人气: 发表时间:2011年10月09日
Windows对PKI做了全面支持。PKI在提供高强度安全性的同时,还与操作系统进行了紧密集成,并作为操作系统的一项基本服务而存在,避免了购买第三方PKI所带来的额外开销。Windows PKI的基本逻辑组件中最核心的为微软证书服务系统(Microsoft Certificate Services),它允许用户配置一个或多个企业CA,这些CA支持证书的发放和废除,并与活动目录和策略配合,共同完成证书和废除信息的发布。
Windows PKI并没有替换掉基于域控制器DC (domain controller)和Kerberos 密钥分配中心KDC的Windows NT 域信任和认证机制,相反,Windows PKI反而对这些服务进行了增强,适合于Extranet和Internet的不同应用,并可应用于具有可伸缩性和分布式环境下,提供身份识别、认证、完整性验证和机密性等安全服务。
Windows PKI建立在微软久经考验的PKI组件基础之上,其基本组件包括如下几种:
证书服务(Certificate Services)。证书服务作为一项核心的操作系统级服务,允许组织和企业建立自己的CA系统,并发布和管理数字证书。
活动目录。活动目录服务作为一项核心的操作系统级服务,提供了查找网络资源的唯一位置,在PKI中为证书和CRL等信息提供发布服务。
基于PKI的应用。Windows 本身提供了许多基于PKI的应用,如Internet Explorer、Microsoft Money、Internet Information Server、Outlook和Outlook Express等。另外,一些其它第三方PKI应用也同样可以建立在Windows PKI基础之上。
Exchange密钥管理服务KMS(Exchange Key Management Service)。KMS是Microsoft Exchange提供的一项服务,允许应用存储和获取用于加密e-mail的密钥。在将来版本的Windows系统中,KMS将作为Windows操作系统的一部分来提供企业级的KMS服务。
Windows中的集成PKI系统提供了证书服务功能,可以让用户通过Internet/ extranets/ intranets安全地交互敏感信息。证书服务验证一个电子商务交易中参与各方的有效性和真实性,并使用智能卡等提供的额外安全措施来使域用户登录到某个域。
Windows通过创建一个证书机构CA来管理其公钥基础设施PKI,以提供证书服务。一个CA通过发布证书来确认用户公钥和其他属性的绑定关系,以提供对用户身份的证明。Windows证书服务创建的CA可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书,以及发布证书废除列表CRL(Certificate Revocation List)。证书服务是通过内置的证书管理单元来实现的。
现在越来越多的企业正在寻找各种方法来提高其网络资源的安全性,智能卡(smart cards,或称为灵巧卡)就是其中比较流行的一个。智能卡提供了让非授权人更难获取网络存取权限的一种简单方式,Windows对智能卡安全提供了内在支持。
智能卡同普通信用卡的大小差不多,并提供了抗修改能力,用于保护其中的用户证书和私钥。在这种方式下,智能卡提供了一种非常安全的方式以进行用户认证、交互式登录、代码签名和安全e-mail传送等。每一个智能卡中都包含一个芯片,其中存储有用户的私钥、登录信息和用于不同目的的公钥证书,如数字签名证书和数据加密证书等。
使用智能卡比使用口令进行认证具有更高的安全性:
智能卡方式下需要使用物理对象(卡)来认证用户。
智能卡的使用必须提供一个个人标识号PIN(Personal Identification Number),这样可以保证只有经过授权的人才能使用该智能卡。
从物理形式上,密钥不能从卡中导出,就消除了通过盗取用户证书而对系统发起的攻击和威胁。
没有智能卡,攻击者不能存取和使用经过卡保护的信息资源。
在网络中,没有口令或任何可重用信息的传输。
在存取和使用资源之前,智能卡通过要求用户提供物理对象(卡)和卡使用信息(如卡的PIN)的方式来增强纯软件认证方案的安全性,这种认证方式称为双因素(two-factor)认证,比较适合应用于安全性要求较高的重要场合。
同口令认证方式不同,采用智能卡进行认证时,用户把卡插入连接到计算机的读写器中,并输入卡的PIN,Windows就可以使用卡中存储的私钥和证书来向Windows域控制器的KDC认证用户。认证完用户以后,KDC将返回一个许可票据。
