双因素身份验证,特别是采用智能卡形式的双因素身份验证,是增强计算机安全性的下一个合乎逻辑的步骤。不过,由于缺乏操作系统的支持,在大多数计算机上采用双因素身份验证一直止步不前。有了Windows 7,使用智能卡大为简便。
通常所述的双因素身份验证含“你拥有的东西和你知道的东西”。为了能够访问资源,用户必须两者兼有。
双因素身份验证的最常见形式之一是银行的ATM卡。使用自动柜员机时,你插入你的ATM卡,并输入一个用作密码的个人身份识别号(PIN)。你同时需要卡和密码才能进行交易。
虽然智能卡作为通信证的使用已有数年之久,并且在计算机上的使用也有差不多时间的历史,但是它们有若干缺点,无法更广泛地应用在计算机上的身份验证上。
在计算机上采用智能卡进行身份验证的一个主要绊脚石是因为在计算机上安装智能卡系统会牵涉到很多方面。要处理智能卡,计算机必须要有中间件来提供智能卡服务,需要有人(IT 部门或者也许是可怜的用户本人)来安装中间件并在那台计算机上激活用户的智能卡。 这一过程(也适用生物识别验证)的繁琐使得双因素身份验证没有吸引力,除了用在高安全要求的应用程序上。你可以采用,许多机构也采用了,但是非常麻烦。
Windows 7对双因素身份验证的主要创新是增加了即插即用功能,使智能卡和生物识别验证与计算机使用的集成天衣无缝。
中间件的困扰
硬件支持并不是智能卡特有的问题。从打印机到硬盘到显示器,一切都需要用中间件与计算机连接。然而,智能卡的问题远远不是对这些标准设备的设备支持 – 或者至少自早期计算机运作以来还不曾是如此。 那是因为大多数与这些外部设备有关的中间件已集成在操作系统内了。用户需要的只是将设备与已在操作系统里的服务连接起来所需的特定设备的编码。
第二个创新是即插即用功能。操作系统包括了一般设备的驱动器;或者是提供的设备在CD 上有驱动器,系统自动加载正确的驱动器,安装人员绝对只需做最少的配置。这两项创新使外部设备的安装和运行几乎不费吹灰之力。
几乎。 你试图安装的若是像智能卡读卡器这样的不同寻常的外部设备,情况就不是这样了。
微型驱动器登场
为了解决这些问题,微软在Windows Vista中推出了一个智能卡微型驱动器。从实质上讲,微软把中间件作为操作系统的一部分一起提供。开发商只需编写微型驱动程序,使他们的特定智能卡能与系统配合。
微型驱动器减轻了IT 机构的担子,使它们不必安装和维护中间件 ,否则对机构使用的每种智能卡常常需要不同的中间件应用程序。这极大地方便了智能卡的使用和部署。不过,IT人员依然需要安装智能卡微型驱动器,厂商依然需要为驱动器提供读卡器。
Windows 7 进一步发挥了这个理念,自动提供微型驱动器使智能卡与计算机配合运作。 Windows 7 发货时就附上一些微型驱动器,并且如果其操作系统没有某个特别的智能卡的驱动器,就会从Windows Update那里自动下载驱动器。
智能卡厂商Gemalto的资深技术经理James McLaughlin说,“这意味着智能卡微型驱动器已上升为与硬盘或显示器相等的地位。”“当你插入智能卡时,驱动器即自动下载。这让用户感觉很好,因为他们不必为安装驱动器烦恼。如果驱动器还不在机器上,Windows 7会进行查找。”
除了提供计算机访问之外,同一张智能卡还可用来完成其他需要身份辨别和验证的任务。 比如,使用Windows 7,智能卡身份凭据可用来在文件和电子邮件上签字、登录上互联网或公司网络,以及访问那些使用Cryptography Next Generation 或 CryptoAPI 证书认证控制访问的应用程序。 Windows 7 允许高粒度,因此不同的用户可以有由他们的智能卡控制的不同的特权捆绑。
Windows 7 还支持密码和智能卡读卡器结合,以增加安全性。 在这些设备的帮助下,“密码被送往读卡器,而不是通过运行在Windows上的软件,”McLaughlin解释说。 这样会更安全,因为读卡器基本上只回答是或不是,而不会向计算机(以及运行在个人计算机上的任何其他应用程序)暴露密码或卡上的信息。
将智能卡应用在计算机以外的领域
当然,在计算机上登录并不是唯一使用智能卡的地方。 越来越多的企业机构用智能卡来进入大楼和取用设备。然而,使用过程中通常每一种应用需要一张不同的智能卡。这种状况正在开始改变。
在九幺幺之后,联邦政府实行了一个称为FIPS 201的有关身份核准的标准( FIPS 的意思是“联邦信息处理标准。”)。该标准规定了联邦政府执行分支机构对大楼以及个人计算机等的出入和使用进行身份验证的方式。
Verisign公司的公开密钥基础设施组产品经理 Michael Yatsko说,“政府试图要做的是促进使用一张卡进入大楼,但是也使用同一张卡在计算机上登录。”Verisign公司是智能卡和公开密钥加密系统的制造商。
FIPS 201使标准一卡通的趋势不仅仅只在政府机构开始走强,而且也在其他机构开始走强。
“因为政府有这个规定,我们有客户进来说,‘我们希望能与美国政府交互操作。”Yatsko 说,“到目前为止,有兴趣的客户基本上是系统集成商和州政府及地方政府机构。” 但是一卡通的优势显而易见,这一理念正在飞速传播。
总的来讲,Windows 7 在将智能卡集成到日常的计算机安全方面代表了一大进步,将激起极为广泛的采用。
“我觉得它将使机构更容易地看清使用智能卡的途径。”McLaughlin说,“它会改善他们的投资回报率,因为他们不必为中间件开支, [从而] 减少了使用智能卡所需的中间环节。”
