WINDOWS域智能卡認(rèn)證實(shí)施方案設(shè)計(jì).pdf

1、本文首先介紹了Windows 2000安全子系統(tǒng)的原理，模型和組件間的相互作用。重點(diǎn)描述了訪問控制原理和算法。接著，我們還介紹了Kerberos協(xié)議的原理和應(yīng)用。然后，我們詳細(xì)介紹了Windows 2000登錄流程和身份認(rèn)證的實(shí)現(xiàn)。我們注意到，Windows域服務(wù)還支持另一種域登錄的驗(yàn)證方式，這就是通過智能卡登錄。智能卡是一種具有微處理器及內(nèi)嵌操作系統(tǒng)的設(shè)備，作為支持Windows域登錄來說，它還需要支持微軟的標(biāo)準(zhǔn)PC/SC智能卡軟件標(biāo)

2、準(zhǔn)，并且必須提供微軟授權(quán)的CSP程序。另外，使用基于智能卡的域登錄往往是通過證書認(rèn)證方式實(shí)現(xiàn)域用戶的身份驗(yàn)證，因此，必須建立一套能與域控制器相結(jié)合的CA系統(tǒng)，并能通過智能卡頒發(fā)簽名證書，用戶利用這樣的智能卡就能成功的進(jìn)行基于智能卡的域登錄驗(yàn)證。然后，我們說明如何實(shí)現(xiàn)自定義的EpGina.dll模塊來提供了一種基于USB Key的身份認(rèn)證機(jī)制。這里我們將使用中鐵信安(北京)信息安全技術(shù)有限公司研制的CopLoak-Key-Key智能卡設(shè)備