智能卡技术和身份认证
2024-05-20 21:08:36
VMware View中智能卡和证书身份验证 
2010-01-22 17:30:40
标签:证书 VMware View 身份 智能卡 [推送到技术圈]
|
智能卡通常用于受信的 Web 访问、××× 访问、Windows 登录和数字签名。智能卡是一种防篡改的小型计算机,它包含一个 CPU 和一定容量的非易失性存储,可用作公钥证书与关联密钥的结合点。实现智能卡身份验证需要的组件包括:
智能卡提供一种不同于一般密码的用户身份验证方式。采用智能卡身份验证方式时,您需要将智能卡插入智能卡读卡器中,然后输入一个 PIN 码(通常为四到八位)。客户端计算机使用证书来接受 Active Directory 的身份验证。这种类型的身份验证既验证用户持有的凭证(智能卡),又验证用户知晓的信息(智能卡 PIN 码),以此确认用户的身份。这种验证方式称作“二元身份验证”。
当您将智能卡插入到与 Windows 计算机连接的读卡器中时,智能卡中的证书便会注册到客户端计算机上的本地证书存储中。用户计算机上运行的所有应用程序(包括 View Client)均可使用该计算机上存储的所有证书。
若要查看证书列表,请转到“开始”>“设置”>“控制面板”>“Internet 选项”>“内容”>“证书”,然后查看“个人”选项卡下的内容。或者,在 Internet Explorer 中,转到“工具”>“Internet 选项”>“内容”>“证书”。这些证书具有很多复杂的属性。若要查看这些属性,请选择一个证书,然后单击“查看”。
智能卡概述
若要在任意一台 Windows 计算机上使用智能卡,您首先需要安装智能卡中间件,以使 Windows 能够与智能卡交互。这些模块会安装一些加密库,用作操作系统与智能卡之间的中介。
您需要为 Windows 安装一个修补程序,该修补程序用来提供 Microsoft Base Smart Card Cryptographic Service Provider (http://support.microsoft.com/kb/909520)。
有一个可选的软件组件通常会有所帮助,那就是 ActivIdentity 开发的 ActivClient 软件套件 (http://www.actividentity.com)。这是一款商业产品,提供一些有助于与智能卡交互的工具,以及用于 ActivIdentity 智能卡的另一种加密服务提供程序 (CSP)。
使用 CSP,您可以选择使用 Microsoft 或第三方加密提供程序来处理加密和证书管理工作。最常用的加密提供程序有:
智能卡芯片就如同嵌入在卡中的一个微型计算机一样,自身带有内存。这些加密卡实现了公钥基础架构 (PKI) 证书及密钥的安全存储。各家制造商共提供一千多种智能卡,每一种都有自己的中间件或应用程序。
使用智能卡接受 Windows 的身份验证
Windows 登录屏幕内置智能卡支持,不过,即使读卡器中已有智能卡存在,它也会等待用户重新插卡。Windows 会等待智能卡读卡器在发生特定事件时(即插入智能卡时)向它发出通知。插卡后,会显示一个要求输入 PIN 码的对话框。用户输入 PIN 码后,Windows 便让用户登录系统。
获取和管理证书
在将新证书存入智能卡之前,您可以检查该卡是否已有任何证书。例如,如果您有 Gemalto 读卡器和 Gemalto 智能卡,请转到 https://www.netsolutions.gemalto.com/CertManagement.aspx,使用这个基于 Web 的应用程序查看有关现有证书的信息。对于 ActivClient 支持的卡和读卡器,请使用 ActivClient 软件对卡进行检查。
搭建注册站
为了将证书安装到智能卡中,首先必须设置一台 Windows 计算机(或虚拟机)作为注册站。为此,您需要以管理员的身份授权此计算机为任意用户颁发智能卡。此计算机必须是作为证书颁发对象的域的成员。
Microsoft 证书注册
您需要满足以下前提条件才能将证书安装到智能卡中:
以上前提条件满足后,请按以下步骤进行注册。
如果“智能卡登录”模板没有列出,则说明您尚未将“智能卡登录”模板作为一个选项添加到您的 CA 中,或者您无权颁发“智能卡登录”证书。
在客户端计算机上测试和使用智能卡前,您必须先在此客户端上安装根证书和证书链的一份副本。您可以从以下地址下载根证书和证书链:https://<域_服务器_IP 地址>/certsrv。该步骤不需要使用智能卡。
请按以下步骤下载 CA 根证书和证书链。
下载根证书和证书链之后,您就可以开始使用智能卡了。
上述步骤的目的是使用 Microsoft CA 进行评估和测试。您可以使用其他 CA 实现同样目的,但具体步骤各异。有关其他证书注册步骤,请参见《VMware View Manager 管理指南》。
VMware View 中的证书身份验证
您可以不将根证书保存到 Microsoft 证书存储中,而是保存到一个文件中,之后可以使用 keytool 命令将该文件导入到 View Connection Server 中。keytool 命令是 Java runtime (JRE) 库的组成部分,为要在 View Connection Server 中使用的根证书创建信任存储区。
下一步是在 View Administrator(https://<View Manager 的 IP 地址>/admin)中启用智能卡身份验证。有关更多配置详细信息,请参见《VMware View Manager 管理指南》。
为启用智能卡身份验证,请在“View Servers”(View 服务器)区域中选择 View 服务器实例,并将“Smart card authentication”(智能卡身份验证)下拉菜单设置为“Required”(必需)或“Optional”(可选)。
客户端系统需要以下硬件和软件:
使用智能卡接受 View Connection Server 的身份验证之后,用户必须输入 View 桌面的用户名和密码登录凭据才能连接到该桌面。
将证书存储在本地系统中
将证书安装到本地计算机上要远比使用智能卡简单,但在安全性方面却不如后者。请按照第 3 页上的“Microsoft 证书注册”中的同样步骤,访问 https://<域_服务器_IP 地址>/certsrv 并申请一个证书。完成后,请单击“安装此证书”。证书随即便会安装到您的计算机上,并且您可以转到“开始”>“设置”>“控制面板”>“Internet 选项”>“内容”>“证书”,然后在“个人”选项卡下查看此证书。
View Client for Windows 中的证书身份验证行为
View Client 3.x for Windows 的默认行为是使用计算机上第一个有效的证书而不进行提示,即使存在多个有效证书也不例外。若要将 View Client for Windows 配置为提示用户选择证书,必须将 ShowCertificateSelectDialog 组策略对象设置为 True。不过,进行更改后,即使计算机上仅有一个证书,Windows 也会提示用户选择证书。
View 3.x 中的身份验证选项
您可以根据需要的安全性强度,在 VMware View 中以下各种身份验证方法之间进行选择:
密码身份验证
此默认登录方法使用标准的域用户名和密码。为登录 View Connection Server,用户需要在出现登录提示时输入 Microsoft Windows 凭据以验证身份,这样他们才能访问虚拟桌面。
证书身份验证
若要使用智能卡或采用 USB 密钥形式的智能卡令牌但客户端系统在默认情况下不支持此方法,则必须在客户端系统上安装相应的中间件。当用户使用 RDP 协议进行连接时,系统会将智能卡读卡器重定向到 View 桌面,但用户必须再次输入 PIN 码以接受 View 桌面的身份验证。
VMware View 3.x 与同 Windows PC/SC 兼容的智能卡读卡器兼容。View Client 检测到智能卡读卡器和卡后,会提示用户输入 PIN 码。
Connection Server 会列出用户有权使用的桌面。用户需单击“Connect” (连接),然后键入桌面凭据以登录相应桌面。
RSA Secure ID
RSA Secure ID 是一次性密码 (OTP) 令牌的一种形式。本文不提供有关使用 OTP 令牌的详细信息。有关如何配置 RSA 令牌的详细信息,请参见 RSA 网站上的《RSA SecurID Ready Implementation Guide for VMware View Manager 3》(适用于 VMware View Manager 3 的 RSA SecurID 快速实施指南)。
总结
本文出自 51CTO.COM技术博客 |
转载于:https://blog.51cto.com/lzozhuyk/270236
智能卡技术和身份认证相关推荐
- 干货 | 清华大学郑方:语音技术用于身份认证的理论与实践
本讲座选自清华大学语音和语言技术中心主任郑方教授近期于清华大数据"技术·前沿"系列讲座上所做的题为<语音技术用于身份认证的理论与实践>的演讲. 以下为演讲的主要内容: ...
- trs ids身份服务器系统实现统一身份认证与单点登录平台技术,统一身份认证系统设计与实现...
摘要: 2015年获得科技部批复,同意建设新疆国家农村信息化示范省建设工程.在工程设计开发过程中需要集成各项目组的大量应用系统,这些应用系统都需要对用户进行独立的身份认证,这样导致用户访问不同的系统, ...
- trs ids身份服务器系统实现统一身份认证与单点登录平台技术,统一身份认证和单点登录系统建设方案.pdf...
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关 "三大战役"社会管 理创新的重点项目之一: 目前平台目前已经涵盖了公安厅公安门户 ...
- 【网络安全】接入与身份认证技术概述
1 概述 随着信息化的快速发展,对国家.组织.公司或个人来说至关重要的信息越来越多的通过网络来进行存储.传输和处理,为获取这些关键信息的各种网络犯罪也相应急剧上升.当前,网络安全在某种意义上已经成为一 ...
- 网络安全第三讲 身份认证与访问控制
一 身份标识与鉴别 1.身份标识与鉴别概念 身份标识就是能够证明用户身份的用户独有的生物特征或行为特征,此特征要求具有唯一性,如用户的指纹.视网膜等生物特征及声音.笔迹.签名等行为特征:或他所能提供的 ...
- Kerberos 身份认证原理
Kerberos 身份认证原理 Kerberos 是一种基于对称密钥技术的身份认证协议,它作为一个独立的第三方的身份认证服务,可以为其它服务提供身份认证功能,且支持 SSO (即客户端身份认证后,可以 ...
- 字符串 hash 唯一数字_【数字课堂】酒妹带你了解“身份认证技术”
身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法.计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户 ...
- 计算机三级教材重点网络技术,2020年计算机三级网络技术知识点梳理:身份认证...
[导语]计算机三级考试备考模式已启动,目前这个阶段,该强化一下自己对于教材考点的记忆,及时查漏补缺.下面无忧考网为您精心整理了2020年计算机三级网络技术知识点梳理:身份认证,更多计算机三级考试的备考 ...
- 基于数字证书的UKEY安全登录 与身份认证技术研究
摘 要 本文在研究身份认证技术.uKey技术及Windows系统登录原理基础上,提出了基于数字证书的uKey身份认证与安全登录方案,设计了自定义登录模块,从而实现了使用uKey进行主机安全登录的功能 ...
最新文章
- java语言基础final_java语言中final的用法
- Spring Boot——自定义Web配置类后无法访问/static文件夹下静态资源
- 【PAT甲级 删除字符串中重复字母】1084 Broken Keyboard (20 分) Java 全部AC
- python删除txt指定内容_python删除文件中指定内容
- 新网 云服务器,云服务器的使用教程
- 现在人人都要准备的2020年六个事关职业生涯的技术趋势
- 垃圾模块清理工具小程序功能模块0.33
- Apache HttpClient POST数据(https)
- 【Ubuntu teamview 安装与卸载】
- C.I.刘易斯的学术之路--- 刘易斯逻辑之十二尾篇
- 【UE5】使用快捷键切换编辑器中英文设置
- 自动驾驶(四十五)---------汽车标定-XCP简述
- Juniper SRX NAT46/NAT64配置
- 如何时重启打印机服务bat命令,打印机重启服务脚本 Win7打印机服务怎么开启 Win7开启打印机服务的设置的两种方法
- cinnamon桌面_使用Cinnamon增强您的Linux桌面
- Java之父——詹姆斯·高斯林
- HTML5、CSS3进阶——字体图标、平面转换
- RiPro主题二级菜单添加小圆点图标
- 利用audio PreviewWidget在Scope中来播放音乐
- 不懂技术却能做到月入20万美元,差距在哪里