智能卡概述

智能卡是IC卡（集成電路卡）的一種，按所嵌的芯片類型的不同，IC卡可分為三類：

1.存儲(chǔ)器卡：卡內(nèi)的集成電路是可用電擦除的可編程只讀存儲(chǔ)器EEPROM，它僅具數(shù)據(jù)存儲(chǔ)功能，沒(méi)有數(shù)據(jù)處理能力；存儲(chǔ)卡本身無(wú)硬件加密功能，只在文件上加密，很容易被破解。

2.邏輯加密卡：卡內(nèi)的集成電路包括加密邏輯電路和可編程只讀存儲(chǔ)器EEPROM，加密邏輯電路可在一定程度上保護(hù)卡和卡中數(shù)據(jù)的安全，但只是低層次防護(hù)，無(wú)法防止惡意攻擊。

3.智能卡（CPU卡）。

從功能上來(lái)說(shuō)，智能卡的用途可歸為如下四點(diǎn)：

1.身份識(shí)別：運(yùn)用內(nèi)含微計(jì)算機(jī)系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行數(shù)學(xué)計(jì)算，確認(rèn)其唯一性。

2.支付工具：內(nèi)置計(jì)數(shù)器（counter）替代成貨幣、紅利點(diǎn)數(shù)、等，數(shù)字體的數(shù)據(jù)。

3.加密/解密：網(wǎng)絡(luò)迅速發(fā)展的情況下，電子商務(wù)的使用率亦大幅成長(zhǎng)，部分廠商表示，網(wǎng)絡(luò)消費(fèi)最重要的在于身份的真實(shí)性、資料的完整性、交易的不可否認(rèn)以及合法性，藉由密碼機(jī)制如DES、RSA、MD5等，除可增加卡片的安全性外，還可采用離線作業(yè)，以降低網(wǎng)絡(luò)上的通訊成本。

4.信息：由于GSM行動(dòng)電話的普及，SIM卡需求量大增，加速智能卡的技術(shù)發(fā)展，使得行動(dòng)電話從原來(lái)單純的電話功能，延伸到今日的網(wǎng)絡(luò)聯(lián)機(jī)等功能。

使用智能卡身份驗(yàn)證，是當(dāng)前包括銀行（網(wǎng)銀轉(zhuǎn)帳、在線支付）、廣電（電視機(jī)頂盒）、稅務(wù)系統(tǒng)廣泛采用的一種安全認(rèn)證體系。

智能卡的應(yīng)用非常廣泛，本文介紹智能卡在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用，使用USB接口的智能卡結(jié)合了USB接口技術(shù)和智能卡技術(shù)、比傳統(tǒng)的智能卡設(shè)備更加方便、價(jià)格更加低廉、應(yīng)用也比較方便。

智能卡主要在以下四個(gè)方面具有廣泛的應(yīng)用：

1.網(wǎng)站身份驗(yàn)證體系：對(duì)于一些放在Internet或局域網(wǎng)內(nèi)的網(wǎng)站，有時(shí)候需要限制用戶訪問(wèn)。傳統(tǒng)的方式采用用戶名、密碼進(jìn)行身份驗(yàn)證，但用戶名密碼很容易泄露。應(yīng)用之一是采用硬件智能卡代替?zhèn)鹘y(tǒng)的用戶名、密碼身份驗(yàn)證體系。另外，有些網(wǎng)站后臺(tái)管理，仍然采用用戶名、密碼進(jìn)行身份驗(yàn)證。對(duì)于安全性要求高的、必須發(fā)布到Internet的網(wǎng)站，可以將網(wǎng)站的前臺(tái)發(fā)布供Internet用戶訪問(wèn)，而網(wǎng)站的后臺(tái)采用智能卡身份驗(yàn)證體系，以提高安全性。

2.計(jì)算機(jī)登錄：傳統(tǒng)的計(jì)算機(jī)登錄使用用戶名密碼，現(xiàn)在許多筆記本集成指紋驗(yàn)證也是智能卡的一種應(yīng)用。但對(duì)于大多數(shù)的辦公計(jì)算機(jī)來(lái)說(shuō)，則沒(méi)有集成這一硬件功能，本文介紹將智能卡與Active Directory、證書結(jié)合，采用智能卡登錄計(jì)算機(jī)，提高系統(tǒng)的安全性。

3.VPN訪問(wèn)企業(yè)內(nèi)網(wǎng)：傳統(tǒng)的VPN采用用戶名密碼。如果密碼泄露，則整個(gè)內(nèi)網(wǎng)可能就處于攻擊之下。為了提高安全性，可以用智能卡代替?zhèn)鹘y(tǒng)的用戶名密碼，并且智能卡再丟失后可以通過(guò)“吊銷”的方式，注銷丟失的智能卡，防止被盜用。

4.移動(dòng)設(shè)備、計(jì)算機(jī)數(shù)據(jù)安全防護(hù)：人們?cè)赨盤、活動(dòng)硬盤、筆記本計(jì)算機(jī)、臺(tái)式機(jī)硬盤保存了重要的數(shù)據(jù)，如果一旦遺失，在損失硬件的前提下，重要的數(shù)據(jù)（相片、財(cái)務(wù)數(shù)據(jù)、設(shè)計(jì)文檔、源代碼）可能一同丟失。黃金有價(jià)，數(shù)據(jù)無(wú)價(jià)。如果避免在硬件損失的前提下，避免數(shù)據(jù)的丟失及泄露呢?采用智能卡將硬盤加密是其中的一種選擇。

使用智能卡訪問(wèn)受保護(hù)的網(wǎng)站

使用智能卡訪問(wèn)受保護(hù)的網(wǎng)站，主要可以有兩種方式實(shí)現(xiàn)。一種是使用“證書”方式，即將證書寫入智能卡，而訪問(wèn)網(wǎng)站必須要驗(yàn)證與網(wǎng)站服務(wù)器由同一證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書。如果是自己頒發(fā)證書或證書已過(guò)期，則不能訪問(wèn)。二是修改網(wǎng)站代碼，在網(wǎng)站代碼中驗(yàn)證智能卡硬件序列號(hào)，凡是不屬于或者不在訪問(wèn)范圍之內(nèi)的硬件，則不允許訪問(wèn)。本文介紹使用第一種方式來(lái)實(shí)現(xiàn)。其指導(dǎo)思想如下：

1.配置一臺(tái)證書服務(wù)器用于身份驗(yàn)證：可以使用Windows Server 2003/2008/2012等服務(wù)器，Windows服務(wù)器不需要升級(jí)到Active Directory，安裝“獨(dú)立證書服務(wù)器”即可。

2.配置Web服務(wù)器：為網(wǎng)站服務(wù)器申請(qǐng)證書（使用本節(jié)提供的證書服務(wù)器），修改Web服務(wù)器配置，要求“安全通道”并“要求客戶端證書”。

3.為訪問(wèn)網(wǎng)站客戶端頒發(fā)智能卡：登錄證書服務(wù)器，申請(qǐng)證書，在申請(qǐng)證書時(shí)，將證書“寫”到智能卡。

4.客戶端訪問(wèn)：在客戶端計(jì)算機(jī)安裝智能卡驅(qū)動(dòng)程序，插入智能卡，登錄要訪問(wèn)的網(wǎng)站服務(wù)器，在訪問(wèn)網(wǎng)站時(shí)提示選擇證書。如果沒(méi)有證書則不能訪問(wèn)。

證書服務(wù)器的安裝我們不做過(guò)多介紹，下面介紹主要步驟：

1.在Web服務(wù)器上，使用瀏覽器，登錄證書申請(qǐng)頁(yè)面，為Web服務(wù)器申請(qǐng)證書。申請(qǐng)證書之后，打開“Internet信息服務(wù)管理器”，為Web服務(wù)器綁定申請(qǐng)的證書，并修改Web服務(wù)器的配置，在“目錄安全性→編輯”中，打開“安全通信”對(duì)話框，選擇“要求安全通道（SSL）”，并選中“要求客戶端證書”，如圖1所示。

2.管理員在管理工作站上，安裝智能卡驅(qū)動(dòng)程序，打開證書申請(qǐng)網(wǎng)頁(yè)，申請(qǐng)證書并將證書寫到智能卡中。在“高級(jí)證書申請(qǐng)”對(duì)話框中，在“姓名”后面輸入智能卡的使用單位，在“需要的證書類型”下拉列表中選擇“客戶端身份驗(yàn)證證書”，在“CSP”列表中選擇與你的智能卡對(duì)應(yīng)的選項(xiàng)，例如本例為“EnterSafe ePass2000Auto CSP v1.0”，然后單擊“提交”按鈕，提交申請(qǐng)，如圖2所示。

3.之后會(huì)彈出輸入智能卡的PIN碼，輸入設(shè)置的PIN碼，之后單擊“確定”按鈕。

4.在“證書己頒發(fā)”對(duì)話框，單擊“安裝此證書”鏈接，將證書寫入到智能卡。每次可以將證書寫入到一個(gè)“智能卡”，如果要為另一用戶準(zhǔn)備智能卡，請(qǐng)插入新的智能卡，為用戶重新申請(qǐng)證書并完成寫卡操作。

圖1 網(wǎng)站要求安全通道并要求客戶端證書

圖2 申請(qǐng)證書

5.客戶端使用。在客戶端計(jì)算機(jī)上，插入智能卡并安裝驅(qū)動(dòng)程序，然后在瀏覽器以“https：//Web服 務(wù) 器 IP或域名”的方式，打開Web服務(wù)器，會(huì)彈出“選擇數(shù)字證書”的對(duì)話框，查看并單擊“確定”按鈕，選擇數(shù)字證書。

注意：此證書必須為第上一步頒發(fā)的證書（即與Web服務(wù)器與綁定的證書是同一“證書服務(wù)器”頒發(fā)的證書），使用其他證書無(wú)效。隨后彈出輸入PIN的對(duì)話框，輸入PIN之后，打開網(wǎng)站。

6.如果在選擇數(shù)字證書對(duì)話框后，在列表中為空白，則表示證書無(wú)效，或者沒(méi)有插入智能卡，或者智能卡證書損壞，都不能訪問(wèn)網(wǎng)站。

組建采用智能卡進(jìn)行身份驗(yàn)證的VPN網(wǎng)絡(luò)

組建使用“智能卡”進(jìn)行身份驗(yàn)證的VPN網(wǎng)絡(luò)，其基礎(chǔ)是組建VPN網(wǎng)絡(luò)，但VPN客戶端身份驗(yàn)證改為硬件“智能卡”。之所以不采用普通的用戶名、密碼，是因?yàn)槠胀ǖ挠脩裘c密碼很容易泄漏。而采用智能卡進(jìn)行身份驗(yàn)證，其基本則是使用儲(chǔ)存在智能卡中的“證書”進(jìn)行身份驗(yàn)證。證書具有唯一性，并且可以與傳統(tǒng)身份驗(yàn)證的用戶“綁定”，只是寫入到智能卡中的證書具有不可復(fù)制性。

如果要組建用“智能卡進(jìn)行身份驗(yàn)證”的VPN網(wǎng)絡(luò)，設(shè)計(jì)思想如下：

1.身份驗(yàn)證采用Windows服務(wù)器中的“Active Directory”，并且安裝“企業(yè)證書服務(wù)器”，頒發(fā)證書時(shí)，證書與Active Directory用戶一一對(duì)應(yīng)。

2.VPN服務(wù)器采用Windows Server集成的“路由和遠(yuǎn)程訪問(wèn)服務(wù)”，或者M(jìn)icrosoft“自家”的產(chǎn)品，例如ISA Server或Forefront TMG Server，這兩款防火墻產(chǎn)品都可以做VPN服務(wù)器，并且可以很好的與Active Directory進(jìn)行集成。

3.在配置VPN服務(wù)器時(shí)（以 Forefront TMG 2010為例），選擇使用“可擴(kuò)展的身份驗(yàn)證協(xié)議（EAP），使用智能卡或其他證書”，取消其他選擇。

4.為了統(tǒng)一頒發(fā)證書，管理員使用證書申請(qǐng)Web頁(yè)中的“智能卡證書注冊(cè)站”，為每個(gè)用戶申請(qǐng)并頒發(fā)證書。

5.VPN客戶端，創(chuàng)建VPN客戶端連接，選擇“使用我的智能卡進(jìn)”，在撥號(hào)VPN時(shí)，插入智能卡，輸入智能卡的PIN，完成撥號(hào)。需要注意，VPN客戶端要“信任”根證書頒發(fā)機(jī)構(gòu)。

使用智能卡登錄計(jì)算機(jī)

使用智能卡登錄計(jì)算機(jī)，實(shí)際上，大多數(shù)的配置步驟，與上一節(jié)“組建采用智能卡進(jìn)行身份驗(yàn)證的VPN網(wǎng)絡(luò)”是相同的，都需要Active Directory、企業(yè) 證書、使用智能卡證書注冊(cè)站為用戶注冊(cè)證書。可以這樣說(shuō)，只要采用上節(jié)的方法與步驟，將Active Directory用戶證書寫入到智能卡中，加入到Active Directory的計(jì)算機(jī)，在登錄界面中，插入智能卡，即自動(dòng)跳轉(zhuǎn)到登錄頁(yè)面，提示輸入用戶的PIN，即可登錄系統(tǒng)（登錄的用戶名是智能卡中寫入的證書對(duì)應(yīng)的AD用戶名）。

計(jì)算機(jī)登錄采用Active Directory、企業(yè)證書服務(wù)器來(lái)實(shí)現(xiàn)。使用“智能卡注冊(cè)站”為每個(gè)用戶注冊(cè)證書（每個(gè)用戶對(duì)應(yīng)一個(gè)智能卡），通過(guò)修改計(jì)算機(jī)的策略，由原來(lái)的用戶名身份驗(yàn)證改為智能卡驗(yàn)證。達(dá)到插卡訪問(wèn)、拔卡鎖定計(jì)算機(jī)的目的和功能。

使用智能卡加密系統(tǒng)與數(shù)據(jù)

智能卡數(shù)據(jù)加密是基于Windows Vista操作系統(tǒng)開始支持的BitLocker驅(qū)動(dòng)器加密實(shí)現(xiàn)，以達(dá)到對(duì)計(jì)算機(jī)的操作系統(tǒng)盤及數(shù)據(jù)盤加密、解密。當(dāng)操作系統(tǒng)及硬件被非常侵入或修改時(shí)，必須要使用原加密的智能卡才能解密，達(dá)到保護(hù)數(shù)據(jù)的目的。

BitLocker驅(qū)動(dòng)器加密是從Windows Vista操作系統(tǒng)開始提供的一個(gè)必不可少的安全功能，該功能幫助保護(hù)存儲(chǔ)在固定和可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器以及操作系統(tǒng)驅(qū)動(dòng)器上的數(shù)據(jù)。BitLocker有助于防范“脫機(jī)攻擊”，即通過(guò)禁用或阻止已安裝的操作系統(tǒng)而展開的攻擊，或通過(guò)實(shí)際取走硬盤來(lái)單獨(dú)攻擊數(shù)據(jù)而展開的攻擊。對(duì)于固定和可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器，BitLocker幫助確保用戶只有在擁有所需密碼、智能卡憑據(jù)或者在擁有合適密鑰的計(jì)算機(jī)上使用受BitLocker保護(hù)的數(shù)據(jù)驅(qū)動(dòng)器時(shí)才能夠在驅(qū)動(dòng)器上讀取數(shù)據(jù)和將數(shù)據(jù)寫入到驅(qū)動(dòng)器。

注意：BitLocker驅(qū)動(dòng)器加密時(shí)，有多種方法可以驗(yàn)證其身份，最簡(jiǎn)單的是使用密碼，或者將解密密鑰保存于U盤中，或者將“智能卡”應(yīng)用于BitLocker驅(qū)動(dòng)器加密。幾種方式加密的取得的安全效果相同。但將“智能卡”用于BitLocker驅(qū)動(dòng)器加密，可以在企業(yè)網(wǎng)絡(luò)中部署。在采用這種方式時(shí)，可以將加密密鑰保存在Active Directory，萬(wàn)一加密的智能卡丟失時(shí)，可以在Active Directory中查找BitLocker恢復(fù)密鑰，以恢復(fù)被加密的數(shù)據(jù)，如果是其他方式，如果加密密碼遺忘并且沒(méi)有保存恢復(fù)密鑰，則加密的數(shù)據(jù)將不能被查看。

在企業(yè)中，為網(wǎng)絡(luò)中的計(jì)算機(jī)部署，或采用“智能卡”進(jìn)行身份驗(yàn)證，對(duì)用戶計(jì)算機(jī)采取BitLocker驅(qū)動(dòng)器加密，保護(hù)數(shù)據(jù)的主要步驟如下。

1.配置Active Directory與企業(yè)證書服務(wù)器。

2.在企業(yè)證書服務(wù)器中，添加BitLocker驅(qū)動(dòng)器加密功能，之后添加復(fù)制用于BitLocker模板，并修改證書模板用于BitLocker驅(qū)動(dòng)器加密。

3.之后登錄證書申請(qǐng)頁(yè)面，為智能卡申請(qǐng)證書，證書模板選擇上一步中添加復(fù)制的模板，在“密鑰選項(xiàng)”中，選擇智能卡的CSP，之后申請(qǐng)證書，輸入智能卡PIN，將申請(qǐng)的證書安裝到智能卡中。

4.在要加密驅(qū)動(dòng)器的計(jì)算機(jī)上，插入上一步寫入證書的智能卡，在“控制面板→所有控制面板項(xiàng)→BitLocker驅(qū)動(dòng)器加密”中，選擇一個(gè)磁盤，例如E盤，單擊“啟用BitLocker”，在“BitLocker驅(qū)動(dòng)器加密”對(duì)話框，選擇“使用智能卡解鎖驅(qū)動(dòng)器”。

5.之后設(shè)置并保存恢復(fù)密鑰，最后開始加密選擇的驅(qū)動(dòng)器。

6.當(dāng)驅(qū)動(dòng)器加密后，如果要查看或使用被加密的驅(qū)動(dòng)器，可以在“資源管理器”，中，右擊加密的驅(qū)動(dòng)器，在彈出的對(duì)話框中選擇“解鎖驅(qū)動(dòng)器”。

7.在彈出的“此驅(qū)動(dòng)器由BitLocker驅(qū)動(dòng)器加密保護(hù)”對(duì)話框中，插入智能卡，單擊“解鎖”按鈕。如果選中了“從現(xiàn)在開始在此計(jì)算機(jī)上自動(dòng)解鎖”，只要解鎖成功，以后在重新開機(jī)后會(huì)自動(dòng)解鎖，只有當(dāng)BitLocker驅(qū)動(dòng)器加密檢測(cè)到硬件變動(dòng)時(shí)，會(huì)自動(dòng)鎖定此驅(qū)動(dòng)器并需要再次解鎖。

8.在輸入智能卡的PIN后，開始解鎖。解鎖之后，顯示驅(qū)動(dòng)器內(nèi)容，并能正常讀寫。