为了安全地保管私钥和电子证书, 在Windows 2000中, 微软为用户还提供了一套智能卡的结构 。智能卡因其高安全性和轻便的可移动性, 势必将发展成为类似鼠标/键盘一般的计算机的标准外设 。微软还提供了一套基于32位Windows平台的Smart Card for Windows产品, 包括API和开发工具 。众多的智能卡厂家, 如Gemplus, 只要生产符合国际ISO工业标准的智能卡产品, 就可以在微软的Smart Card软件平台上操作 。
当用户用Internet Explorer向一个认证中心申请电子证书时, 就会有一对公钥和私钥自动产生出来; 私钥可以存储在智能卡中, 公钥和其他身份信息(比如姓名、电子邮件地址等)发给认证中心 。如果认证中心批准该申请, 那么包含公钥的电子证书就会被返回来, 存储在智能卡中 。这种电子证书的申请过程也可以由管理员设定的批处理方法来进行, 用户还可以通过LDAP来查询CA中通讯对方的公钥, 因为Windows 2000的认证服务器是可以与活动目录相结合的, 所以这方面的查询很方便 。
智能卡存储私钥和电子证书的做法, 给最终用户提供了对自己安全信息的最大的控制, 可以方便地从一台机器携带到另一台机器使用; 可以在任何一个地点使用 。一般来说, 智能卡还会用一个个人密码(PIN)保护起来, 在要求高安全性的场合, PIN可以是一些生物信息, 比如指纹等 。智能卡中存储的信息是加密的, 即使破坏了智能卡也得不到里面的内容 。智能卡的阅读器也越来越普遍, 有USB型的, 也有PC卡型的, 甚至Windows终端上也会有智能卡插槽 。智能卡正在逐渐走向大众化 。
如果企业实施了基于Windows 2000的智能卡体制, 由企业保安机构给每个员工颁发一个智能卡 。员工就可以用这个卡完成很多的工作, 比如打开公司的大门, 打开自己的抽屉, 登录到计算机和网络; 加密自己的邮件和文件, 这样即使管理员有完全控制的权限, 管理员也不能获知其中的内容; 员工还可以上网购物, 比如购买一张机票, 然后直接到飞机舱前划卡即可上飞机; 还可以作为电话卡、 信用卡使用; 作为市政交费卡使用, 支付水、电、煤气等费用; 作为电子钱包式的储值卡来使用, 支付小额的午餐费、 出租车费等等 。可以说智能卡的应用在Windows 2000推出之后, 会有一个长足的进步 。
"公用密钥基本体系"通常简称为PKI(Public Key Infrastructure), 是一个数字认证、 证书授权和其他注册授权系统 。使用公用密钥密码检验及检证电子商务中所涉及的每个机构的有效性 。公用密钥基本体系的标准仍处于发展阶段, 尽管它们作为电子商务的一个必要组成部分已得到广泛使用 。图1是Windows 2000 的公钥基础结构, 其核心是加密服务、 证书管理服务, 为应用程序的开发提供了加密API接口(CryptoAPI) 。Windows 2000 的公钥基础结构具有以下特点:
(1) 牢靠的安全性 。Windows 2000的公钥基础结构包括采用智能卡的牢靠验证, 保持公用网的保密性, 以及确保传输数据的完整性 。此外, 管理员可使用 Windows 2000 安全权限指派用户证书的使用 。
(2) 简易管理 。Windows 2000的公用密钥与活动目录和组策略的集成, 可以对管理企业内部的委托关系进行调整, 还提供将证书直接或经 Internet Information Services 映射到活动目录中用户帐户的能力 。
(3) 新机遇 。可以安全地交换诸如Internet等公用网上的文件和数据, 具有实现安全 E_mail(S/MIME)的能力 。此外, 作为电子商务的一个重要组成部分, 可以利用电子签名建立发送者的无法否认机制 。
图1 Windows 2000 的公钥基础结构
推荐阅读
- Windows 2000 故障解决一览
- Windows 2000 虚拟内存优化设置
- Windows 2000 文件夹加密Easy
- Windows 2000 实现对共享文件的监控
- Windows 2000 Internet信息服务的安装
- Windows 2000系统选项设置
- Windows 2000 电子商务平台
- Windows 2000 网络环境部署
- Windows 2000 查看文件安全性
- Windows 2000 帮助文件的查看