客戶(hù)端驗(yàn)證

為了建立安全通信通道，客戶(hù)端認(rèn)證涉及到客戶(hù)端到服務(wù)器的識(shí)別和驗(yàn)證。安全協(xié)議(如安全套接字層)（SSL）或傳輸層的安全性（TLS））通常與客戶(hù)端提供的可信公鑰證書(shū)一起使用，將客戶(hù)端識(shí)別到服務(wù)器上。在Windows平臺(tái)上運(yùn)行的Internet可以是客戶(hù)端 Explorer，Internet信息服務(wù)器（IIS）或支持SSL / 其它Web服務(wù)器TLS。

安全會(huì)話是通過(guò)使用密鑰交換的公共密鑰認(rèn)證來(lái)建立的，以獲得唯一的會(huì)話密鑰，然后可以用來(lái)保證整個(gè)會(huì)話中數(shù)據(jù)的完整性和機(jī)密性。您可以通過(guò)將證書(shū)映射到具有先前建立的訪問(wèn)控制權(quán)的用戶(hù)或組帳戶(hù)，以實(shí)現(xiàn)額外的身份驗(yàn)證。該智能卡通過(guò)安全存儲(chǔ)作為私鑰材料和加密引擎進(jìn)行數(shù)字簽名或密鑰交換來(lái)增強(qiáng)公鑰認(rèn)證過(guò)程。

智能卡登錄

在過(guò)去，交互式登錄意味著用戶(hù)可以通過(guò)使用共享憑證（如散列密碼）將用戶(hù)認(rèn)證到網(wǎng)絡(luò)。 Windows 2000支持公鑰交互登錄，并使用存儲(chǔ)在智能卡上的X.509版3證書(shū)和私鑰。代替密碼，用戶(hù)識(shí)別和認(rèn)證圖形（GINA）PIN碼輸入模塊； PIN用于向用戶(hù)認(rèn)證卡。

使用智能卡登錄網(wǎng)絡(luò)提供了一種強(qiáng)大的身份驗(yàn)證形式，因?yàn)樗褂没诿艽a學(xué)的身份證明和擁有證書(shū)來(lái)識(shí)別用戶(hù)到域。

例如，如果惡意人員獲得用戶(hù)密碼，那么該人可以使用密碼來(lái)承擔(dān)用戶(hù)在互聯(lián)網(wǎng)上的身份。許多人選擇容易記住的密碼，這使得密碼本身非常弱，并且可以攻擊。

在智能卡的情況下，同樣惡意的人將不得不同時(shí)獲得用戶(hù)的智能卡和PIN來(lái)偽造用戶(hù)。由于需要額外的信息層來(lái)模擬用戶(hù)，這種組合使得攻擊更加不可能。一個(gè)額外的好處是，在PIN碼連續(xù)輸入多次錯(cuò)誤后，智能卡被鎖定，使得智能卡的字典攻擊非常困難。 (請(qǐng)注意，PIN不需要一系列數(shù)字，也可以使用其他字母數(shù)字字符)對(duì)智能卡的攻擊不會(huì)被檢測(cè)到，因?yàn)閻阂馊藛T必須擁有他或她擁有的智能卡的合法所有者會(huì)注意到它丟失了。

在智能卡登錄過(guò)程中，用戶(hù)的公共密鑰證書(shū)通過(guò)安全處理從卡中檢索，并將其驗(yàn)證為有效，并從值得信賴(lài)的發(fā)行人那里獲得。在認(rèn)證過(guò)程中，將包含在證書(shū)中的公鑰挑戰(zhàn)發(fā)布到卡上，以驗(yàn)證卡確實(shí)擁有并能夠成功使用相應(yīng)的私鑰。公鑰 - 私鑰驗(yàn)證成功后，證書(shū)中包含的用戶(hù)身份將被引用并存儲(chǔ)在Active中 Directory中的用戶(hù)對(duì)象構(gòu)建令牌，并將授權(quán)票據(jù)返回客戶(hù)端（TGT）。Microsoft已經(jīng)登錄了公共密鑰 Internet Explorer 510Microsoft實(shí)施與Internet工程任務(wù)組（IETF）草案RFC 1510中指定的公鑰擴(kuò)展兼容。