智能卡增強(qiáng)解決方案
2017-09-14
通過加強(qiáng)軟件解決方案(如客戶端身份驗(yàn)證和安全消息傳遞),智能卡可以使新一代的應(yīng)用程序能夠利用新興全球數(shù)字經(jīng)濟(jì)中的未來機(jī)會。智能卡為應(yīng)用程序開發(fā)人員提供了一種安全的機(jī)制來增強(qiáng)針對企業(yè)和消費(fèi)者的解決方案。
客戶端驗(yàn)證
客戶端認(rèn)證涉及客戶端到服務(wù)器的識別和驗(yàn)證,以建立安全通信信道。安全協(xié)議(例如安全套接字層(SSL)或傳輸層安全性(TLS))通常與客戶端提供的可信公鑰證書一起使用,該證書將客戶端標(biāo)識給服務(wù)器??蛻舳丝梢允窃赪indows平臺上運(yùn)行的Internet Explorer,服務(wù)器可以是Internet信息服務(wù)(IIS)或支持SSL / TLS的其他Web服務(wù)器。
通過使用密鑰交換的公共密鑰認(rèn)證來建立安全會話,以獲得唯一的會話密鑰,然后可以將其用于確保整個會話中的數(shù)據(jù)完整性和機(jī)密性。您可以通過將證書映射到具有先前建立的訪問控制權(quán)限的用戶或組帳戶來實(shí)現(xiàn)額外的身份驗(yàn)證。該智能卡通過作為私鑰材料的安全存儲以及用于執(zhí)行數(shù)字簽名或密鑰交換操作的加密引擎來增強(qiáng)公鑰認(rèn)證過程。
智能卡登錄
過去,交互式登錄意味著可以通過使用共享憑據(jù)的形式(如散列密碼)將用戶認(rèn)證到網(wǎng)絡(luò)。 Windows 2000支持公鑰交互式登錄,并使用存儲在智能卡上的X.509版本3證書以及私鑰。代替密碼,用戶向圖形識別和認(rèn)證(GINA)模塊輸入PIN碼; PIN用于向用戶認(rèn)證卡。
使用智能卡登錄到網(wǎng)絡(luò)提供了強(qiáng)大的身份驗(yàn)證形式,因?yàn)樗趯⒂脩粽J(rèn)證到域時使用基于密碼學(xué)的身份證明和擁有證明。
例如,如果惡意人員獲得用戶密碼,那么該人可以通過使用密碼來承擔(dān)用戶在網(wǎng)絡(luò)上的身份。許多人選擇可以輕易記住的密碼,這使得密碼本身就很弱并且可以進(jìn)行攻擊。
在智能卡的情況下,同樣惡意的人將不得不同時獲得用戶的智能卡和PIN來偽造用戶。這種組合使得攻擊更不可能,因?yàn)樾枰~外的信息層來模擬用戶。一個額外的好處是,在PIN碼連續(xù)輸入錯誤多次之后,智能卡被鎖定,使智能卡的字典攻擊變得非常困難。 (請注意,PIN不必是一系列數(shù)字,也可以使用其他字母數(shù)字字符)對智能卡的攻擊不會被檢測到,因?yàn)閻阂馊藛T必須擁有他或她擁有的智能卡智能卡的合法所有者會注意到它是丟失的。
在智能卡登錄期間,通過安全處理從卡中檢索用戶的公開密鑰證書,并將其驗(yàn)證為有效,并從受信任的發(fā)行者獲取。在認(rèn)證過程中,基于包含在證書中的公鑰的挑戰(zhàn)被發(fā)布到卡上以驗(yàn)證該卡確實(shí)擁有并且可以成功地使用相應(yīng)的私鑰。公鑰 - 私鑰對成功驗(yàn)證后,證書中包含的用戶身份將被用于引用存儲在Active Directory中的用戶對象,以構(gòu)建一個令牌,并向客戶端返回一個授權(quán)票據(jù)(TGT)。公共密鑰登錄已經(jīng)與Microsoft Internet Explorer 510的Microsoft實(shí)施與Internet工程任務(wù)組(IETF)草案RFC 1510中指定的公鑰擴(kuò)展兼容。
134 209 79610
QQ客服
E-mail