Windows 2000 PKI并没有替换掉基于域控制器DC (Domain Controller)和Kerberos密钥分配中心KDC的Windows NT 域信任和认证机制 , 相反 , Windows 2000 PKI反而对这些服务进行了增强 , 适合于Extranet和Internet的不同应用 , 并可应用于具有可伸缩性和分布式环境下 , 提供身份识别、认证、完整性验证和机密性等安全服务 。
Windows 2000 PKI建立在微软久经考验的PKI组件基础之上 , 其基本组件包括如下几种:
?证书服务(Certificate Services) 。证书服务作为一项核心的操作系统级服务 , 允许组织和企业建立自己的CA系统 , 并发布和管理数字证书 。
?活动目录 。活动目录服务作为一项核心的操作系统级服务 , 提供了查找网络资源的唯一位置 , 在PKI中为证书和CRL等信息提供发布服务 。
?基于PKI的应用 。Windows 本身提供了许多基于PKI的应用 , 如Internet Explorer、Microsoft
Money、Internet Information Server、OutLook和Outlook
Express等 。另外 , 一些其它第三方PKI应用也同样可以建立在Windows 2000 PKI基础之上 。
【Windows 2000中的信息网络安全技术】?Exchange密钥管理服务KMS(Exchange Key Management Service) 。KMS是Microsoft Exchange提供的一项服务 , 允许应用存储和获取用于加密e-mail的密钥 。在将来版本的Windows系统中 , KMS将作为Windows操作系统的一部分来提供企业级的KMS服务 。
Windows 2000中的集成PKI系统提供了证书服务功能 , 可以让用户通过Internet/ extranets/intranets安全地交互敏感信息 。证书服务验证一个电子商务交易中参与各方的有效性和真实性 , 并使用智能卡等提供的额外安全措施来使域用户登录到某个域 。
Windows2000通过创建一个证书机构CA来管理其公钥基础设施PKI , 以提供证书服务 。一个CA通过发布证书来确认用户公钥和其他属性的绑定关系 , 以提供对用户身份的证明 。Windows2000证书服务创建的CA可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书 , 以及发布证书废除列表CRL(Certificate Revocation List) 。证书服务是通过内置的证书管理单元来实现的 。4 智能卡技术
现在越来越多的企业正在寻找各种方法来提高其网络资源的安全性 , 智能卡(smart cards , 或称为灵巧卡)就是其中比较流行的一个 。智能卡提供了让非授权人更难获取网络存取权限的一种简单方式 , Windows2000对智能卡安全提供了内在支持 。
智能卡同普通信用卡的大小差不多 , 并提供了抗修改能力 , 用于保护其中的用户证书和私钥 。在这种方式下 , 智能卡提供了一种非常安全的方式以进行用户认证、交互式登录、代码签名和安全e-mail传送等 。每一个智能卡中都包含一个芯片 , 其中存储有用户的私钥、登录信息和用于不同目的的公钥证书 , 如数字签名证书和数据加密证书等 。
使用智能卡比使用口令进行认证具有更高的安全性:
?智能卡方式下需要使用物理对象(卡)来认证用户 。
?智能卡的使用必须提供一个个人标识号PIN(Personal Identification Number) , 这样可以保证只有经过授权的人才能使用该智能卡 。
?从物理形式上 , 密钥不能从卡中导出 , 就消除了通过盗取用户证书而对系统发起的攻击和威胁 。
?没有智能卡 , 攻击者不能存取和使用经过卡保护的信息资源 。
?在网络中 , 没有口令或任何可重用信息的传输 。
在存取和使用资源之前 , 智能卡通过要求用户提供物理对象(卡)和卡使用信息(如卡的PIN)的方式来增强纯软件认证方案的安全性 , 这种认证方式称为双因素(two-factor)认证 , 比较适合应用于安全性要求较高的重要场合 。
推荐阅读
- Win2000优化技巧篇之:其他优化技巧
- Win2000优化技巧篇之:硬件及环境的优化
- Win2000优化技巧篇之:显示方面的优化技巧
- Win2000优化技巧篇之:为Win2000减肥
- 梦中的婚礼踏板怎么踩
- 让Windows 98/2000也拥有图片屏保
- 有始有终 替换法解决Win2000“关门”故障
- Windows 2000终端存在的问题及解决方案
- Win2000终端存在的问题及解决方案
- 去除掉Wind 2000系统的登录界面