客戶(hù)端驗證
為了建立安全通信通道,客戶(hù)端認證涉及到客戶(hù)端到服務(wù)器的識別和驗證。安全協(xié)議(如安全套接字層)(SSL)或傳輸層的安全性(TLS))通常與客戶(hù)端提供的可信公鑰證書(shū)一起使用,將客戶(hù)端識別到服務(wù)器上。在Windows平臺上運行的Internet可以是客戶(hù)端 Explorer,Internet信息服務(wù)器(IIS)或支持SSL / 其它Web服務(wù)器TLS。
安全會(huì )話(huà)是通過(guò)使用密鑰交換的公共密鑰認證來(lái)建立的,以獲得***的會(huì )話(huà)密鑰,然后可以用來(lái)保證整個(gè)會(huì )話(huà)中數據的完整性和機密性。您可以通過(guò)將證書(shū)映射到具有先前建立的訪(fǎng)問(wèn)控制權的用戶(hù)或組帳戶(hù),以實(shí)現額外的身份驗證。該智能卡通過(guò)安全存儲作為私鑰材料和加密引擎進(jìn)行數字簽名或密鑰交換來(lái)增強公鑰認證過(guò)程。
智能卡登錄
在過(guò)去,交互式登錄意味著(zhù)用戶(hù)可以通過(guò)使用共享憑證(如散列密碼)將用戶(hù)認證到網(wǎng)絡(luò )。 Windows 2000支持公鑰交互登錄,并使用存儲在智能卡上的X.509版3證書(shū)和私鑰。代替密碼,用戶(hù)識別和認證圖形(GINA)PIN碼輸入模塊; PIN用于向用戶(hù)認證卡。
使用智能卡登錄網(wǎng)絡(luò )提供了一種強大的身份驗證形式,因為它使用基于密碼學(xué)的身份證明和擁有證書(shū)來(lái)識別用戶(hù)到域。
例如,如果惡意人員獲得用戶(hù)密碼,那么該人可以使用密碼來(lái)承擔用戶(hù)在互聯(lián)網(wǎng)上的身份。許多人選擇容易記住的密碼,這使得密碼本身非常弱,并且可以攻擊。
在智能卡的情況下,同樣惡意的人將不得不同時(shí)獲得用戶(hù)的智能卡和PIN來(lái)偽造用戶(hù)。由于需要額外的信息層來(lái)模擬用戶(hù),這種組合使得攻擊更加不可能。一個(gè)額外的好處是,在PIN碼連續輸入多次錯誤后,智能卡被鎖定,使得智能卡的字典攻擊非常困難。 (請注意,PIN不需要一系列數字,也可以使用其他字母數字字符)對智能卡的攻擊不會(huì )被檢測到,因為惡意人員必須擁有他或她擁有的智能卡的合法所有者會(huì )注意到它丟失了。
在智能卡登錄過(guò)程中,用戶(hù)的公共密鑰證書(shū)通過(guò)安全處理從卡中檢索,并將其驗證為有效,并從值得信賴(lài)的發(fā)行人那里獲得。在認證過(guò)程中,將包含在證書(shū)中的公鑰挑戰發(fā)布到卡上,以驗證卡確實(shí)擁有并能夠成功使用相應的私鑰。公鑰 - 私鑰驗證成功后,證書(shū)中包含的用戶(hù)身份將被引用并存儲在A(yíng)ctive中 Directory中的用戶(hù)對象構建令牌,并將授權票據返回客戶(hù)端(TGT)。Microsoft已經(jīng)登錄了公共密鑰 Internet Explorer 510Microsoft實(shí)施與Internet工程任務(wù)組(IETF)草案RFC 1510中指定的公鑰擴展兼容。