3 Windows 2000 公钥基础结构的证书服务
证书基本上是一个由权威发布的电子声明, 其作用在于担保证书持有者的身份 。证书将公用密码与持有相应私有密钥的个人、 机器或服务的身份绑定在一起 。证书由各种公用密钥安全服务和应用程序提供, 为非安全网(如 Internet )提供数据验证、 数据完整性和安全通讯 。
Windows 2000 基于证书的过程所使用的标准证书格式是 X.509 V3, X.509证书包括有关证书拥有的个人或实体的信息及证书颁发机构的可选信息 。实体信息包括实体名称、 公用密钥、 公用密钥运算法和可选的唯一主体 ID 。版本 3 证书的标准制定了以下规定: 密钥标识符、 密钥用法、 证书策略、 替换名称和属性、 证书路径约束以及对证书撤消原因和列表分区 。
Windows 2000 Server 证书服务是 Windows 2000 中的组件, 证书服务用于创建和管理证书颁发机构(CA) 。证书颁发机构负责建立和担保证书持有者的身份 。证书颁发机构还会在证书失效时, 将其撤消并发布证书撤消列表, 供证书检验机构使用 。最简单的公用密钥基本体系只有一个证书颁发机构 。事实上, 大多数配置公用密钥基本体系的组织使用多个证书颁发机构, 并将其有组织地形成证书分层结构 。
Windows 2000的证书服务按证书颁发机构类型分为:
(1)企业根CA,是企业中最受信任的证书颁发机构,应该在网络上的其它证书颁发机构之前安装,需要 Active Directory.
(2) 企业从属CA,是标准证书颁发机构可以给企业中的任何用户或机器颁发证书,必须从企业中的另一个证书颁发机构获取证书颁发机构证书,需要 Active Directory.
(3) 独立根CA,是证书颁发机构体系中最受信任的证书颁发机构,不需要 Active Directory.
(4)独立从属CA,是标准的证书颁发机构可以给任何用户或机器颁发证书;必须从另一个证书颁发机构获取证书颁发机构证书,不需要 Active Directory 。
证书服务的一个单独组件是证书颁发机构的Web注册页 。这些网页是在安装证书颁发机构时默认安装的, 它允许证书请求者使用Web浏览器提出证书请求 。此外, 证书颁发机构网页可以安装在未安装证书颁发机构的 Windows 2000 服务器上, 在这种情况下, 网页用于向不希望直接访问证书颁发机构的用户服务 。如果选择为组织创建定制网页访问 CA, 则 Windows 2000 提供的网页可作为示例 。
4 智能卡
智能卡是防止篡改的简便方法,它可以向诸如客户身份验证、登录到 Windows 2000 域、代码签名和保护电子邮件之类的任务提供安全性解决方案 。通过智能卡登录到网络提供了很强的身份验证方式,因为,在验证进入域的用户时,这种方式使用了基于加密的身份验证和所有权证据 。例如,如果某个不怀好意的人得到了用户的密码,就可以用该密码在网络上冒称用户的身份 。很多人都选择容易记忆的密码,这会使密码先天脆弱,易受攻击 。
在使用智能卡的情况下,那个不怀好意的人将必须获得用户的智能卡和个人识别码 (PIN) 才能假扮用户 。因为需要有另一层信息才能假扮用户,所以该组合明显不易遭受攻击 。另一个优点是,连续发生几次不成功的 PIN 输入后,智能卡会被锁定,使得对智能卡进行词典攻击非常困难 。(注意 PIN 不必是一列数字,它也可以使用其他字母数字字符 。)
对加密智能卡的支持是 Microsoft 集成到 Windows 2000 中的公钥基础结构 (PKI) 的关键功能 。智能卡提供以下功能:
(1)保护私钥和其他形式个人信息的防篡改存储区 。
(2)将安全性关键计算隔绝起来包含从不必"必须知道"的其它组织部门进行的身份验证、数字签名和密钥交换 。
推荐阅读
- Windows 2000 故障解决一览
- Windows 2000 虚拟内存优化设置
- Windows 2000 文件夹加密Easy
- Windows 2000 实现对共享文件的监控
- Windows 2000 Internet信息服务的安装
- Windows 2000系统选项设置
- Windows 2000 电子商务平台
- Windows 2000 网络环境部署
- Windows 2000 查看文件安全性
- Windows 2000 帮助文件的查看