智能卡概述

智能卡是IC卡（集成電路卡）的一種，按所嵌的芯片類型的不同，IC卡可分為三類：

1.存儲器卡：卡內(nèi)的集成電路是可用電擦除的可編程只讀存儲器EEPROM，它僅具數(shù)據(jù)存儲功能，沒有數(shù)據(jù)處理能力；存儲卡本身無硬件加密功能，只在文件上加密，很容易被破解。

2.邏輯加密卡：卡內(nèi)的集成電路包括加密邏輯電路和可編程只讀存儲器EEPROM，加密邏輯電路可在一定程度上保護(hù)卡和卡中數(shù)據(jù)的安全，但只是低層次防護(hù)，無法防止惡意攻擊。

3.智能卡（CPU卡）。

從功能上來說，智能卡的用途可歸為如下四點：

1.身份識別：運用內(nèi)含微計算機系統(tǒng)對數(shù)據(jù)進(jìn)行數(shù)學(xué)計算，確認(rèn)其唯一性。

2.支付工具：內(nèi)置計數(shù)器（counter）替代成貨幣、紅利點數(shù)、等，數(shù)字體的數(shù)據(jù)。

3.加密/解密：網(wǎng)絡(luò)迅速發(fā)展的情況下，電子商務(wù)的使用率亦大幅成長，部分廠商表示，網(wǎng)絡(luò)消費最重要的在于身份的真實性、資料的完整性、交易的不可否認(rèn)以及合法性，藉由密碼機制如DES、RSA、MD5等，除可增加卡片的安全性外，還可采用離線作業(yè)，以降低網(wǎng)絡(luò)上的通訊成本。

4.信息：由于GSM行動電話的普及，SIM卡需求量大增，加速智能卡的技術(shù)發(fā)展，使得行動電話從原來單純的電話功能，延伸到今日的網(wǎng)絡(luò)聯(lián)機等功能。

使用智能卡身份驗證，是當(dāng)前包括銀行（網(wǎng)銀轉(zhuǎn)帳、在線支付）、廣電（電視機頂盒）、稅務(wù)系統(tǒng)廣泛采用的一種安全認(rèn)證體系。

智能卡的應(yīng)用非常廣泛，本文介紹智能卡在計算機網(wǎng)絡(luò)中的應(yīng)用，使用USB接口的智能卡結(jié)合了USB接口技術(shù)和智能卡技術(shù)、比傳統(tǒng)的智能卡設(shè)備更加方便、價格更加低廉、應(yīng)用也比較方便。

智能卡主要在以下四個方面具有廣泛的應(yīng)用：

1.網(wǎng)站身份驗證體系：對于一些放在Internet或局域網(wǎng)內(nèi)的網(wǎng)站，有時候需要限制用戶訪問。傳統(tǒng)的方式采用用戶名、密碼進(jìn)行身份驗證，但用戶名密碼很容易泄露。應(yīng)用之一是采用硬件智能卡代替?zhèn)鹘y(tǒng)的用戶名、密碼身份驗證體系。另外，有些網(wǎng)站后臺管理，仍然采用用戶名、密碼進(jìn)行身份驗證。對于安全性要求高的、必須發(fā)布到Internet的網(wǎng)站，可以將網(wǎng)站的前臺發(fā)布供Internet用戶訪問，而網(wǎng)站的后臺采用智能卡身份驗證體系，以提高安全性。

2.計算機登錄：傳統(tǒng)的計算機登錄使用用戶名密碼，現(xiàn)在許多筆記本集成指紋驗證也是智能卡的一種應(yīng)用。但對于大多數(shù)的辦公計算機來說，則沒有集成這一硬件功能，本文介紹將智能卡與Active Directory、證書結(jié)合，采用智能卡登錄計算機，提高系統(tǒng)的安全性。

3.VPN訪問企業(yè)內(nèi)網(wǎng)：傳統(tǒng)的VPN采用用戶名密碼。如果密碼泄露，則整個內(nèi)網(wǎng)可能就處于攻擊之下。為了提高安全性，可以用智能卡代替?zhèn)鹘y(tǒng)的用戶名密碼，并且智能卡再丟失后可以通過“吊銷”的方式，注銷丟失的智能卡，防止被盜用。

4.移動設(shè)備、計算機數(shù)據(jù)安全防護(hù)：人們在U盤、活動硬盤、筆記本計算機、臺式機硬盤保存了重要的數(shù)據(jù)，如果一旦遺失，在損失硬件的前提下，重要的數(shù)據(jù)（相片、財務(wù)數(shù)據(jù)、設(shè)計文檔、源代碼）可能一同丟失。黃金有價，數(shù)據(jù)無價。如果避免在硬件損失的前提下，避免數(shù)據(jù)的丟失及泄露呢?采用智能卡將硬盤加密是其中的一種選擇。

使用智能卡訪問受保護(hù)的網(wǎng)站

使用智能卡訪問受保護(hù)的網(wǎng)站，主要可以有兩種方式實現(xiàn)。一種是使用“證書”方式，即將證書寫入智能卡，而訪問網(wǎng)站必須要驗證與網(wǎng)站服務(wù)器由同一證書頒發(fā)機構(gòu)頒發(fā)的證書。如果是自己頒發(fā)證書或證書已過期，則不能訪問。二是修改網(wǎng)站代碼，在網(wǎng)站代碼中驗證智能卡硬件序列號，凡是不屬于或者不在訪問范圍之內(nèi)的硬件，則不允許訪問。本文介紹使用第一種方式來實現(xiàn)。其指導(dǎo)思想如下：

1.配置一臺證書服務(wù)器用于身份驗證：可以使用Windows Server 2003/2008/2012等服務(wù)器，Windows服務(wù)器不需要升級到Active Directory，安裝“獨立證書服務(wù)器”即可。

2.配置Web服務(wù)器：為網(wǎng)站服務(wù)器申請證書（使用本節(jié)提供的證書服務(wù)器），修改Web服務(wù)器配置，要求“安全通道”并“要求客戶端證書”。

3.為訪問網(wǎng)站客戶端頒發(fā)智能卡：登錄證書服務(wù)器，申請證書，在申請證書時，將證書“寫”到智能卡。

4.客戶端訪問：在客戶端計算機安裝智能卡驅(qū)動程序，插入智能卡，登錄要訪問的網(wǎng)站服務(wù)器，在訪問網(wǎng)站時提示選擇證書。如果沒有證書則不能訪問。

證書服務(wù)器的安裝我們不做過多介紹，下面介紹主要步驟：

1.在Web服務(wù)器上，使用瀏覽器，登錄證書申請頁面，為Web服務(wù)器申請證書。申請證書之后，打開“Internet信息服務(wù)管理器”，為Web服務(wù)器綁定申請的證書，并修改Web服務(wù)器的配置，在“目錄安全性→編輯”中，打開“安全通信”對話框，選擇“要求安全通道（SSL）”，并選中“要求客戶端證書”，如圖1所示。

2.管理員在管理工作站上，安裝智能卡驅(qū)動程序，打開證書申請網(wǎng)頁，申請證書并將證書寫到智能卡中。在“高級證書申請”對話框中，在“姓名”后面輸入智能卡的使用單位，在“需要的證書類型”下拉列表中選擇“客戶端身份驗證證書”，在“CSP”列表中選擇與你的智能卡對應(yīng)的選項，例如本例為“EnterSafe ePass2000Auto CSP v1.0”，然后單擊“提交”按鈕，提交申請，如圖2所示。

3.之后會彈出輸入智能卡的PIN碼，輸入設(shè)置的PIN碼，之后單擊“確定”按鈕。

4.在“證書己頒發(fā)”對話框，單擊“安裝此證書”鏈接，將證書寫入到智能卡。每次可以將證書寫入到一個“智能卡”，如果要為另一用戶準(zhǔn)備智能卡，請插入新的智能卡，為用戶重新申請證書并完成寫卡操作。

圖1 網(wǎng)站要求安全通道并要求客戶端證書

圖2 申請證書

5.客戶端使用。在客戶端計算機上，插入智能卡并安裝驅(qū)動程序，然后在瀏覽器以“https：//Web服 務(wù) 器 IP或域名”的方式，打開Web服務(wù)器，會彈出“選擇數(shù)字證書”的對話框，查看并單擊“確定”按鈕，選擇數(shù)字證書。

注意：此證書必須為第上一步頒發(fā)的證書（即與Web服務(wù)器與綁定的證書是同一“證書服務(wù)器”頒發(fā)的證書），使用其他證書無效。隨后彈出輸入PIN的對話框，輸入PIN之后，打開網(wǎng)站。

6.如果在選擇數(shù)字證書對話框后，在列表中為空白，則表示證書無效，或者沒有插入智能卡，或者智能卡證書損壞，都不能訪問網(wǎng)站。

組建采用智能卡進(jìn)行身份驗證的VPN網(wǎng)絡(luò)

組建使用“智能卡”進(jìn)行身份驗證的VPN網(wǎng)絡(luò)，其基礎(chǔ)是組建VPN網(wǎng)絡(luò)，但VPN客戶端身份驗證改為硬件“智能卡”。之所以不采用普通的用戶名、密碼，是因為普通的用戶名與密碼很容易泄漏。而采用智能卡進(jìn)行身份驗證，其基本則是使用儲存在智能卡中的“證書”進(jìn)行身份驗證。證書具有唯一性，并且可以與傳統(tǒng)身份驗證的用戶“綁定”，只是寫入到智能卡中的證書具有不可復(fù)制性。

如果要組建用“智能卡進(jìn)行身份驗證”的VPN網(wǎng)絡(luò)，設(shè)計思想如下：

1.身份驗證采用Windows服務(wù)器中的“Active Directory”，并且安裝“企業(yè)證書服務(wù)器”，頒發(fā)證書時，證書與Active Directory用戶一一對應(yīng)。

2.VPN服務(wù)器采用Windows Server集成的“路由和遠(yuǎn)程訪問服務(wù)”，或者M(jìn)icrosoft“自家”的產(chǎn)品，例如ISA Server或Forefront TMG Server，這兩款防火墻產(chǎn)品都可以做VPN服務(wù)器，并且可以很好的與Active Directory進(jìn)行集成。

3.在配置VPN服務(wù)器時（以 Forefront TMG 2010為例），選擇使用“可擴展的身份驗證協(xié)議（EAP），使用智能卡或其他證書”，取消其他選擇。

4.為了統(tǒng)一頒發(fā)證書，管理員使用證書申請Web頁中的“智能卡證書注冊站”，為每個用戶申請并頒發(fā)證書。

5.VPN客戶端，創(chuàng)建VPN客戶端連接，選擇“使用我的智能卡進(jìn)”，在撥號VPN時，插入智能卡，輸入智能卡的PIN，完成撥號。需要注意，VPN客戶端要“信任”根證書頒發(fā)機構(gòu)。

使用智能卡登錄計算機

使用智能卡登錄計算機，實際上，大多數(shù)的配置步驟，與上一節(jié)“組建采用智能卡進(jìn)行身份驗證的VPN網(wǎng)絡(luò)”是相同的，都需要Active Directory、企業(yè) 證書、使用智能卡證書注冊站為用戶注冊證書?？梢赃@樣說，只要采用上節(jié)的方法與步驟，將Active Directory用戶證書寫入到智能卡中，加入到Active Directory的計算機，在登錄界面中，插入智能卡，即自動跳轉(zhuǎn)到登錄頁面，提示輸入用戶的PIN，即可登錄系統(tǒng)（登錄的用戶名是智能卡中寫入的證書對應(yīng)的AD用戶名）。

計算機登錄采用Active Directory、企業(yè)證書服務(wù)器來實現(xiàn)。使用“智能卡注冊站”為每個用戶注冊證書（每個用戶對應(yīng)一個智能卡），通過修改計算機的策略，由原來的用戶名身份驗證改為智能卡驗證。達(dá)到插卡訪問、拔卡鎖定計算機的目的和功能。

使用智能卡加密系統(tǒng)與數(shù)據(jù)

智能卡數(shù)據(jù)加密是基于Windows Vista操作系統(tǒng)開始支持的BitLocker驅(qū)動器加密實現(xiàn)，以達(dá)到對計算機的操作系統(tǒng)盤及數(shù)據(jù)盤加密、解密。當(dāng)操作系統(tǒng)及硬件被非常侵入或修改時，必須要使用原加密的智能卡才能解密，達(dá)到保護(hù)數(shù)據(jù)的目的。

BitLocker驅(qū)動器加密是從Windows Vista操作系統(tǒng)開始提供的一個必不可少的安全功能，該功能幫助保護(hù)存儲在固定和可移動數(shù)據(jù)驅(qū)動器以及操作系統(tǒng)驅(qū)動器上的數(shù)據(jù)。BitLocker有助于防范“脫機攻擊”，即通過禁用或阻止已安裝的操作系統(tǒng)而展開的攻擊，或通過實際取走硬盤來單獨攻擊數(shù)據(jù)而展開的攻擊。對于固定和可移動數(shù)據(jù)驅(qū)動器，BitLocker幫助確保用戶只有在擁有所需密碼、智能卡憑據(jù)或者在擁有合適密鑰的計算機上使用受BitLocker保護(hù)的數(shù)據(jù)驅(qū)動器時才能夠在驅(qū)動器上讀取數(shù)據(jù)和將數(shù)據(jù)寫入到驅(qū)動器。

注意：BitLocker驅(qū)動器加密時，有多種方法可以驗證其身份，最簡單的是使用密碼，或者將解密密鑰保存于U盤中，或者將“智能卡”應(yīng)用于BitLocker驅(qū)動器加密。幾種方式加密的取得的安全效果相同。但將“智能卡”用于BitLocker驅(qū)動器加密，可以在企業(yè)網(wǎng)絡(luò)中部署。在采用這種方式時，可以將加密密鑰保存在Active Directory，萬一加密的智能卡丟失時，可以在Active Directory中查找BitLocker恢復(fù)密鑰，以恢復(fù)被加密的數(shù)據(jù)，如果是其他方式，如果加密密碼遺忘并且沒有保存恢復(fù)密鑰，則加密的數(shù)據(jù)將不能被查看。

在企業(yè)中，為網(wǎng)絡(luò)中的計算機部署，或采用“智能卡”進(jìn)行身份驗證，對用戶計算機采取BitLocker驅(qū)動器加密，保護(hù)數(shù)據(jù)的主要步驟如下。

1.配置Active Directory與企業(yè)證書服務(wù)器。

2.在企業(yè)證書服務(wù)器中，添加BitLocker驅(qū)動器加密功能，之后添加復(fù)制用于BitLocker模板，并修改證書模板用于BitLocker驅(qū)動器加密。

3.之后登錄證書申請頁面，為智能卡申請證書，證書模板選擇上一步中添加復(fù)制的模板，在“密鑰選項”中，選擇智能卡的CSP，之后申請證書，輸入智能卡PIN，將申請的證書安裝到智能卡中。

4.在要加密驅(qū)動器的計算機上，插入上一步寫入證書的智能卡，在“控制面板→所有控制面板項→BitLocker驅(qū)動器加密”中，選擇一個磁盤，例如E盤，單擊“啟用BitLocker”，在“BitLocker驅(qū)動器加密”對話框，選擇“使用智能卡解鎖驅(qū)動器”。

5.之后設(shè)置并保存恢復(fù)密鑰，最后開始加密選擇的驅(qū)動器。

6.當(dāng)驅(qū)動器加密后，如果要查看或使用被加密的驅(qū)動器，可以在“資源管理器”，中，右擊加密的驅(qū)動器，在彈出的對話框中選擇“解鎖驅(qū)動器”。

7.在彈出的“此驅(qū)動器由BitLocker驅(qū)動器加密保護(hù)”對話框中，插入智能卡，單擊“解鎖”按鈕。如果選中了“從現(xiàn)在開始在此計算機上自動解鎖”，只要解鎖成功，以后在重新開機后會自動解鎖，只有當(dāng)BitLocker驅(qū)動器加密檢測到硬件變動時，會自動鎖定此驅(qū)動器并需要再次解鎖。

8.在輸入智能卡的PIN后，開始解鎖。解鎖之后，顯示驅(qū)動器內(nèi)容，并能正常讀寫。