Microsoft Internet 安全框架

1、Microsoft Internet 安全框架: 用于通信安全、訪問控制和商業(yè)的技術(shù)Microsoft Corporation介紹Microsoft® Internet安全框架(MISF，Microsoft® Internet Security Framework)提供了一套全面的公共關(guān)鍵性安全技術(shù)，滿足商業(yè)、開發(fā)人員和用戶對(duì)公共網(wǎng)絡(luò)的安全信息交換、對(duì)資源和信息的訪問控制以及電子商務(wù)的需要。MISF技術(shù)支持Internet標(biāo)準(zhǔn)，確保了與平臺(tái)和瀏覽器的交互操作能力，以滿足用戶對(duì)Internet安全的要求。在這個(gè)方面，MISF技術(shù)通過Windows和Windows NT操作系統(tǒng)

2、以及諸如Microsoft Internet Explorer和Microsoft Internet Information Server等應(yīng)用程序分布到全球成百萬的用戶中。在Microsoft Win32®和ActiveX SDKs中使用MISF工具，開發(fā)人員能夠擴(kuò)展他們的應(yīng)用程序或網(wǎng)絡(luò)安全使用公共密鑰安全而不必重新創(chuàng)建他們的程序，這樣就擴(kuò)大了已有投資的效益。MISF建立于一個(gè)靈活的體系之上，使得開發(fā)人員在保護(hù)原有應(yīng)用程序投資的同時(shí)能夠支持密碼領(lǐng)域新的標(biāo)準(zhǔn)和改變。除此之外，Microsoft正致力于使關(guān)鍵的MISF接口能夠跨平臺(tái)使用。全面的安全MISF引入了一套全面的安全技術(shù)確保公

3、司能夠建立安全的商務(wù)應(yīng)用，從而安全的使用Internet或他們的Intranet。確保私人通信安全.當(dāng)Internet上的商務(wù)發(fā)展時(shí)，確保通信的機(jī)密性和完整性非常重要。MISF處理了這些問題，它支持安全套接層(SSL，Secure Sockets Layer) 3.0版和私人通訊技術(shù)(PCT，Private Communications Technology)1.0版以應(yīng)用于Microsoft Internet Explorer和Microsoft Internet Information Server的點(diǎn)對(duì)點(diǎn)私人通信。Microsoft的SSL和PCT的實(shí)現(xiàn)方案與其它開發(fā)商的主要瀏覽器和服務(wù)

4、器具有互操作能力。為了確保安全的Internet點(diǎn)對(duì)點(diǎn)私人e-mail傳送，Microsoft在1997年發(fā)布的Microsoft Exchange客戶端、Microsoft Outlook和Microsoft Internet Mail中支持S/MIME協(xié)議。Internet身份確認(rèn). MISF通過基于標(biāo)準(zhǔn)的公共密鑰認(rèn)證技術(shù)使得公司能夠安全地對(duì)用戶、雇員、供應(yīng)商和合作伙伴進(jìn)行身份確認(rèn)和驗(yàn)證。Internet Explorer3.0版和Internet Information Server 3.0版在驗(yàn)證服務(wù)器和客戶端時(shí)分別使用SSL和PCT以及數(shù)字認(rèn)證，比如由VeriSign和其它CA（Ce

5、rtificate Authorities，認(rèn)證權(quán)威機(jī)構(gòu)）發(fā)布的數(shù)字認(rèn)證。Microsoft Certificate Server允許公司發(fā)布和管理認(rèn)證書，并作為他們自己的CA進(jìn)行工作。通過Microsoft的對(duì)諸如smart card和Fortezza等硬件技術(shù)的支持，各公司可根據(jù)商務(wù)需要選擇驗(yàn)證安全級(jí)別。Microsoft即將發(fā)布的對(duì)S/MIME的支持提供了數(shù)字簽名的e-mail以對(duì)e-mail信息進(jìn)行身份確認(rèn)和驗(yàn)證。對(duì)信息和資源的訪問控制. Microsoft將基于認(rèn)證的驗(yàn)證方式集成到Windows NT®安全模型中。各公司將能夠使用認(rèn)證控制對(duì)Internet或他們的Intra

6、net上的信息和資源的訪問，同時(shí)仍使用與當(dāng)前相同的Windows NT管理模型和工具。管理員將通過映射認(rèn)證信息到已有的Windows NT帳戶而將單獨(dú)登錄方式擴(kuò)展到基于認(rèn)證的驗(yàn)證模型。除此之外，認(rèn)證將被集成到Windows NT目錄服務(wù)（Windows NT Directory Service）中。安全的事務(wù)傳送.各公司需要確保通過Internet接收的消費(fèi)者信息(比如信用卡號(hào))保持安全性和秘密性。當(dāng)前的商務(wù)中依靠SSL和PCT進(jìn)行安全的事務(wù)傳送。未來，銷售商將能夠使用安全電子事務(wù)處理(SET，Secure Electronic Transaction)協(xié)議實(shí)現(xiàn)方案進(jìn)行安全的信用卡事務(wù)處理。M

7、icrosoft還正在與工業(yè)界合作提供集成的付費(fèi)方案;VeriFone公司現(xiàn)已交付其vPOS集成付費(fèi)處理軟件以用于使用Microsoft Merchant Server的銷售商。使用Microsoft Wallet，用戶將能夠安全的存儲(chǔ)和管理他們所需要的私人信息（比如認(rèn)證書和私人密鑰），以及安全地在Internet上購(gòu)物。通過Microsoft對(duì)PFX (Personal Information Exchange，個(gè)人信息交換)的支持，用戶還將能夠在計(jì)算機(jī)間安全傳送他們的Wallets中的內(nèi)容。確保軟件可靠性和完整性. Internet上可下載內(nèi)容的增加對(duì)家庭用戶和機(jī)構(gòu)性Web用戶帶來了安全風(fēng)

8、險(xiǎn)。Microsoft通過基于標(biāo)準(zhǔn)的技術(shù)開發(fā)了Authenticode（代碼驗(yàn)證）技術(shù)以對(duì)簽名軟件(包括ActiveX控件、Java applets或Netscape插件)的發(fā)布商進(jìn)行肯定的身份確認(rèn)，并檢查軟件的完整性。Authenticode技術(shù)所使用的數(shù)字簽名技術(shù)也可通過Win32 API中的Windows Trust Verification（Windows信任檢驗(yàn)）服務(wù)而被開發(fā)人員所用。提供一個(gè)牢固的安全基礎(chǔ). MISF技術(shù)建立于CryptoAPI之上, CryptoAPI是一個(gè)當(dāng)前可用于全球的Internet Explorer、Windows 95和Windows NT的Win32

9、API。CryptoAPI通過將加密處理的復(fù)雜性與開發(fā)人員分離，而使得開發(fā)人員能夠輕而易舉地將密碼處理集成到他們的應(yīng)用程序之中。建立于Cryptographic Service Provider (CSP，密碼服務(wù)供應(yīng)器)模型頂層的CryptoAPI體系使得安全可被更新以滿足商務(wù)和消費(fèi)者的不斷發(fā)展的需求。當(dāng)輸出策略改變后，開發(fā)人員能夠利用可更新的CSP所允許的最強(qiáng)加密能力而不必更改他們的應(yīng)用程序。與業(yè)界的合作Microsoft正在積極地與業(yè)界合作以幫助建立安全的商務(wù)和商業(yè)應(yīng)用程序所必需的公共密鑰底層技術(shù)基礎(chǔ): ·       

10、; Microsoft正在緊密與RSA協(xié)作以使業(yè)界領(lǐng)先的加密技術(shù)被使全球的Windows和Windows NT用戶使用。Microsoft 已經(jīng)將CryptoAPI包含于所支持平臺(tái)上的RSA加密工具包中使其可被RSA使用。 ·        Microsoft在Internet Explorer和Internet Information Server中完全支持VeriSign的Digital ID（數(shù)字識(shí)別）技術(shù)。除此之外，Microsoft與VeriSign攜手通過Authenticode（代碼驗(yàn)證）技術(shù)向工業(yè)界提供了第一

11、個(gè)代碼簽名的實(shí)現(xiàn)方案。·        Hewlett Packard正使用CryptoAPI作為接口供開發(fā)人員使用編寫HP的International Cryptographic Framework（國(guó)際加密框架）技術(shù)。·        Microsoft和VeriFone已通過使用VeriFone的vPOS付費(fèi)方案提交了一個(gè)用于Windows NT和Merchant Server的集成付費(fèi)方案。·    

12、0;   Microsoft正在通過PC/SC Workgroup與Groupe Bull、Hewlett-Packard、Schlumberger和Siemens Nixdorf合作將smart card集成到個(gè)人計(jì)算機(jī)之中。·        Microsoft于1996年九月主持了安全性設(shè)計(jì)評(píng)論大會(huì)（Security Design Review），超過150個(gè)主要的Internet安全供應(yīng)商和眾多開發(fā)人員參加了這個(gè)有關(guān)Internet安全的開放性技術(shù)論壇。·   

13、0;    Microsoft正在建立公共密鑰加密標(biāo)準(zhǔn)(PKCS，Public-Key Cryptography Standards)陣營(yíng)并成為其中的一員，該陣營(yíng)的成員還包括Apple、IBM、Lotus、Nortel、Silicon Graphics、Sun以及其它公司。 開放性Microsoft負(fù)責(zé)支持Internet標(biāo)準(zhǔn)，并在Internet標(biāo)準(zhǔn)的建立過程中表現(xiàn)得非常積極，以確保我們的用戶繼續(xù)從最新的基于標(biāo)準(zhǔn)的安全技術(shù)中得益: ·        所有的MISF技術(shù)都基于基礎(chǔ)性的標(biāo)準(zhǔn)，比如X

14、.509v3認(rèn)證格式、PKCS #7數(shù)字簽名格式、PKCS #10認(rèn)證封裝以及SSL和PCT等協(xié)議。·        Microsoft正在與IETF實(shí)現(xiàn)一個(gè)統(tǒng)一了SSL和PCT的安全通信協(xié)議。由IETF的傳輸層安全工作組定義的該協(xié)議對(duì)安全性、可伸縮性、性能和功能方面具有改進(jìn)。·        Microsoft已經(jīng)向W3C提交了PFX協(xié)議和Authenticode所使用的數(shù)字簽名技術(shù)以供討論考慮作為Internet標(biāo)準(zhǔn)的一個(gè)工業(yè)界兼容技術(shù)。 MISF體系

15、根據(jù)下面的體系中的描述，CryptoAPI是MISF的基礎(chǔ)。更高級(jí)的協(xié)議和服務(wù)建立在基礎(chǔ)級(jí)加密技術(shù)和CryptoAPI所提供的認(rèn)證管理功能以及CryptoAPI相關(guān)的加密服務(wù)提供程序之上。通過建立于MISF頂層應(yīng)用程序可以為其添加安全功能。本章節(jié)對(duì)于包含于MISF中的技術(shù)進(jìn)行了更為深入的探討，并提供了對(duì)詳細(xì)信息的鏈接。附錄A總結(jié)了MISF技術(shù)和它們的用途。MISF技術(shù)Microsoft CryptoAPICryptoAPI作為MISF的基礎(chǔ)技術(shù)，向開發(fā)人員提供了利用基于標(biāo)準(zhǔn)、核心加密功能的能力。CryptoAPI 1.0版支持公共密鑰和對(duì)稱密鑰的操作，比如密鑰生成、密鑰管理、密鑰交換、加密、解

16、密、散列、數(shù)字簽名和簽名驗(yàn)證。CryptoAPI 2.0包含了核心加密功能和基于認(rèn)證的功能以便開發(fā)人員能夠通過這些公共密鑰操作使用認(rèn)證并進(jìn)行必要封裝和編碼以將認(rèn)證應(yīng)用于他們的應(yīng)用程序。CryptoAPI使用了一種服務(wù)供應(yīng)程序模型，在該模型中加密由加密服務(wù)供應(yīng)程序CSPs提供。該模型使得開發(fā)人員易于使他們的應(yīng)用程序適應(yīng)不斷發(fā)展的加密技術(shù)和政府的技術(shù)輸出規(guī)定(請(qǐng)參閱"Microsoft Policy on Export Controls on Encryption"。通過不同的CSPs，開發(fā)人員能夠使用具有更高輸出性的加密系統(tǒng)，新的加密算法，或一些基于硬件的設(shè)備而不必改變他們的

17、應(yīng)用程序代碼。由于CryptoAPI已經(jīng)得到技術(shù)輸出的許可，開發(fā)人員可以確信一個(gè)程序只需編寫一次程序就可以進(jìn)行全球發(fā)布。如今，CryptoAPI 通過Microsoft RSA的默認(rèn)CSP可在全球使用。該默認(rèn)CSP支持的算法包括：40-位RC2和RC4;512位RSA; MD2和MD5;160位SHA-1。Microsoft當(dāng)前正在與除RSA之外的六個(gè)公司合作提供CSPs: Atalla(一個(gè)Tandem公司)、BBN Corp.、Cylink、Northern Telecom Inc. (Nortel Secure Networks)、Spyrus和Trusted Information S

18、ystems。除此之外，Hewlett Packard最近已聲明其International Cryptography Framework將使用CryptoAPI接口訪問ICF。CryptoAPI支持X.509 v3認(rèn)證格式和ASN.1編碼，以及用于封裝的PKCS #7和PKCS #10。這將使利用CryptoAPI的應(yīng)用程序能夠與其它依賴上述標(biāo)準(zhǔn)的基于認(rèn)證的系統(tǒng)進(jìn)行互操作。Microsoft還正在致力于使CryptoAPI成為一個(gè)跨平臺(tái)的API。由于CryptoAPI已經(jīng)應(yīng)用于RSA，RSA將能夠通過它的BSAFE®和所支持平臺(tái)上的其它安全工具產(chǎn)品使用CryptoAPI。Crypt

19、oAPI 1.0當(dāng)前已可被成百萬的Windows NT 4.0、Microsoft Internet Explorer 3.0和Windows 95 OSR2用戶所使用。Microsoft于九月交付了一個(gè)CryptoAPI 2.0的開發(fā)人員beta版，預(yù)計(jì)將隨下一版本的Internet Explorer和Windows與Windows NT的更新發(fā)布。開發(fā)人員信息有關(guān)CryptoAPI 1.0的詳細(xì)信息，請(qǐng)參閱CryptoAPI 1.0 Application Programmers Guide。在MISF的Web站點(diǎn)( Basic開發(fā)人員還能夠通過CryptoAPI 1.0類型庫(kù)和OLE A

20、utomation服務(wù)器使用CryptoAPI 1.0的功能。其包含了一個(gè)Visual Basic示例程序例示了加密/解密和簽名功能。CryptoAPI 2.0 (庫(kù)、頭文件和DLLs)的開發(fā)人員beta版包括了COM接口(cryptcom.dll)，可生成的使用C語言編寫的示例應(yīng)用程序，以及使用VBScript和Java創(chuàng)建的示例HTML頁(yè)面。該軟件當(dāng)前可在Security Web站點(diǎn)。CryptoAPI 2.0 Beta Programmers Guide 和Beta Reference也可在該Web站點(diǎn)瀏覽得到。(美國(guó)和加拿大的加密技術(shù)開發(fā)人員，如果對(duì)創(chuàng)建自己的CSPs感興趣可訪問MIS

21、F的Web站點(diǎn) 上的CSP Developers Kit) 希望對(duì)使用CryptoAPI編程有更多了解的開發(fā)人員可加入Microsoft的CryptoAPI郵件列表組CryptoAPILISTSERV.MSN.COM.。要了解如何加入，請(qǐng)?jiān)L問Site Builder Web站點(diǎn)( List區(qū)。安全通道服務(wù)(SSL和PCT)SSL和PCT是基于公共密鑰的安全協(xié)議，由MISF的安全通道安全產(chǎn)生器實(shí)現(xiàn)。SSL和PCT如今被用于Internet瀏覽器和服務(wù)器，包括Internet Explorer和Internet Information Server，以實(shí)現(xiàn)通信的完整性和機(jī)密性，并可選擇用于相互驗(yàn)證

22、。通過SSL和PCT，使用Internet的人員能夠確信他們的通信是私人性的，并沒有被干擾或改變。位于TCP/IP（Transmission Control Protocol/Internet Protocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議）和應(yīng)用協(xié)議（例如，超文本傳輸協(xié)議HTTP、文件傳輸協(xié)議FTP或Telnet）之間的SSL和PCT要進(jìn)行一個(gè)加密算法和對(duì)稱會(huì)話密鑰的對(duì)話。在該初始對(duì)話中，一個(gè)客戶端和服務(wù)器可以互相驗(yàn)證。當(dāng)完成握手和開始傳輸應(yīng)用程序數(shù)據(jù)時(shí)，所有的數(shù)據(jù)使用對(duì)話的會(huì)話密鑰進(jìn)行了加密。Microsoft Internet Explorer 3.0和Internet Information

23、 Server (IIS) 3.0支持SSL 3.0和PCT 1.0。Microsoft對(duì)SSL的實(shí)現(xiàn)方案與其它開發(fā)商提供的運(yùn)行于不同平臺(tái)的瀏覽器和服務(wù)器具有完全的交互操作性。Web主管只需要在IIS的Internet服務(wù)管理器（Internet Service Manager）中簡(jiǎn)單地選擇一個(gè)選項(xiàng)框就可以在他們的Web站點(diǎn)中使用安全通道服務(wù)。當(dāng)安全通道服務(wù)特別應(yīng)用于基于Web的應(yīng)用程序時(shí)，這些服務(wù)對(duì)于運(yùn)行在Internet或Intranet上的非HTTP的客戶/服務(wù)器程序也具有潛在的價(jià)值。Microsoft已通過Win32 WinInet APIs和一個(gè)WinSock 2.0供應(yīng)程序使所有的

24、開發(fā)人員可以使用這些安全通道服務(wù)，使用SSL或PCT并不需要任何附加的許可費(fèi)用。開發(fā)人員的信息開發(fā)人員可以使用Win32 WinInet APIs，ActiveX SDK的一部分，快速而簡(jiǎn)單地為他們的客戶端應(yīng)用程序添加對(duì)安全通道服務(wù)的支持。WinInet APIs是多線程并具有處理緩沖，能夠自動(dòng)處理客戶端的信任申請(qǐng)。通過直接寫入Winsock2層，當(dāng)前使用Winsock的開發(fā)人員也能夠輕而易舉地為他們的Winsock應(yīng)用程序中添加安全通道服務(wù)。這是一種更為麻煩和需要較多協(xié)議基礎(chǔ)知識(shí)的方式。Winsock 2可用于客戶端和服務(wù)器端應(yīng)用程序。詳細(xì)信息，請(qǐng)參閱MISF Web 站點(diǎn)上的SSL/Win

25、sock 2 Layered Service Provider Specification?？蛻襞c服務(wù)器的驗(yàn)證使用SSL和PCT的客戶與服務(wù)器的驗(yàn)證使Web站點(diǎn)和用戶的相互確定驗(yàn)證成為可能。諸如Microsoft Internet Explorer 3.0的客戶端與諸如Microsoft Internet Information Server 3.0的服務(wù)器在Internet上使用數(shù)字認(rèn)證進(jìn)行身份確認(rèn)，以便他們能夠安全的通信或獲得對(duì)一個(gè)Web站點(diǎn)特定區(qū)域的訪問。這提供了一種比當(dāng)前使用用戶ID和密碼的方式更為直接了當(dāng)?shù)纳矸荽_認(rèn)與訪問控制的方法。使用數(shù)字認(rèn)證時(shí)，最終用戶只需要登錄到Internet

26、一次，而且并不需要記錄大量Web站點(diǎn)的相應(yīng)密碼。對(duì)于Web站點(diǎn)，數(shù)字認(rèn)證提供了一種新的方法控制對(duì)站點(diǎn)的訪問，實(shí)現(xiàn)站點(diǎn)設(shè)定，或?qū)τ脩魧?shí)施特定的商務(wù)規(guī)則（例如，戰(zhàn)略開發(fā)商訪問共同的服務(wù)器）。Web站點(diǎn)登記和接收由一個(gè)信任的CA（Certificate Authority，認(rèn)證權(quán)威）機(jī)構(gòu)簽名的服務(wù)器認(rèn)證書。與此相似，最終用戶也請(qǐng)求和接收一個(gè)CA的認(rèn)證書。(有關(guān)如何在Internet Explorer和Internet Information Server中安裝認(rèn)證書的信息位于MISF的Web站點(diǎn))在發(fā)放認(rèn)證書之前，CA進(jìn)行背景檢查以確保該Web站點(diǎn)和最終用戶是合法的。客戶端和服務(wù)器驗(yàn)證在SSL 3.

27、0的上下文中完成，并在Internet Explorer 3.0和Internet Information Server (IIS) 3.0中被支持。IE 3 和IIS 3使用工業(yè)標(biāo)準(zhǔn)X.509 v3認(rèn)證，并與支持SSL 3協(xié)議和工業(yè)標(biāo)準(zhǔn)認(rèn)證書的任何Web瀏覽器或服務(wù)器具有交互操作性。IIS 3的客戶端驗(yàn)證已超出了純粹的驗(yàn)證和訪問控制。開發(fā)人員能夠使用IIS 3的Active Server Page腳本功能輕松地訪問客戶端認(rèn)證的詳細(xì)信息以提供個(gè)人化的內(nèi)容、控制訪問或查詢后臺(tái)數(shù)據(jù)庫(kù)。Windows NT集成的基于SSL的客戶驗(yàn)證Microsoft正在利用Windows NT靈活的安全體系將基于認(rèn)

28、證的驗(yàn)證集成到Windows NT安全模型之中。Windows NT的下一個(gè)版本將使用Windows NT目錄服務(wù)（Windows NT Directory Service）使認(rèn)證信息映射到已有的Windows NT帳戶，從而擴(kuò)展了認(rèn)證的個(gè)人登錄，同時(shí)將對(duì)基于認(rèn)證的驗(yàn)證的管理集成到了使用Windows NT所提供的管理工具的一個(gè)單模式中。使用SSL的服務(wù)器對(duì)客戶進(jìn)行驗(yàn)證的過程與對(duì)服務(wù)器驗(yàn)證的相同。服務(wù)器檢查客戶認(rèn)證中的加密簽名和一連串的中間CA認(rèn)證直到一個(gè)已知或信任的基本CA。但是，一旦當(dāng)客戶身份通過認(rèn)證檢查（客戶驗(yàn)證），應(yīng)用服務(wù)器需要建立一個(gè)具有為該用戶定義的適當(dāng)訪問權(quán)的安全上下文。訪問控制

29、信息決定了該服務(wù)器上允許客戶使用的資源。在Windows NT安全體系中，訪問控制通過安全訪問令牌中中的組成員資格和特權(quán)所定義。使用公共密鑰的客戶驗(yàn)證使用客戶認(rèn)證中的信息映射本地訪問控制信息。這種映射確定了客戶對(duì)服務(wù)器系統(tǒng)資源的訪問授權(quán)。可通過管理一個(gè)授權(quán)數(shù)據(jù)庫(kù)以映射認(rèn)證對(duì)象或已有的Windows NT帳戶的發(fā)布者信息可初步實(shí)現(xiàn)Microsoft Internet Information Server (IIS)對(duì)客戶驗(yàn)證的支持。授權(quán)數(shù)據(jù)庫(kù)的簡(jiǎn)單或復(fù)雜程度將以滿足應(yīng)用程序的需要而定。Windows NT的下一個(gè)發(fā)布版本將通過實(shí)現(xiàn)一種安全服務(wù)對(duì)客戶驗(yàn)證提供更廣泛的支持，該安全服務(wù)使用Window

30、s NT目錄服務(wù)映射認(rèn)證信息到已有的Windows NT帳戶。映射可以通過在Windows NT Directory中查詢認(rèn)證對(duì)象名或搜尋確認(rèn)客戶認(rèn)證的目錄屬性來實(shí)現(xiàn)。Windows NT支持客戶驗(yàn)證與Windows NT安全體系集成的公共密鑰認(rèn)證。不需要單獨(dú)的數(shù)據(jù)庫(kù)來定義公共密鑰認(rèn)證相關(guān)的訪問權(quán)。訪問控制信息由存儲(chǔ)在Windows NT Directory中的組成員資格維護(hù)。Common Windows NT Directory Service（公共Windows NT目錄服務(wù)）管理工具可通過向組中添加Windows NT用戶來授予訪問權(quán)限。Windows NT中對(duì)公共密鑰認(rèn)證驗(yàn)證方式的支持

31、允許客戶應(yīng)用程序聯(lián)接代表不具有Windows NT域帳號(hào)的用戶的安全服務(wù)。能夠通過一個(gè)由信任的CA發(fā)放的公共密鑰而被驗(yàn)證的用戶能夠被賦予對(duì)Windows NT資源的訪問權(quán)。目錄服務(wù)管理工具允許管理員或委托的授權(quán)人員能夠?qū)σ粋€(gè)存在的Windows NT帳戶關(guān)聯(lián)一個(gè)或多個(gè)外部用戶以控制訪問。X.509 3 認(rèn)證中的對(duì)象名用于確認(rèn)與該帳戶關(guān)聯(lián)的外部用戶。商業(yè)人員能夠以一種安全的方式共享信息，他們可以從其它組織的用戶帳戶中選擇一個(gè)而不需要?jiǎng)?chuàng)建許多單獨(dú)的Windows NT帳戶。對(duì)Windows NT用戶對(duì)象認(rèn)證中的多對(duì)一映射提供了基于公共密鑰認(rèn)證的強(qiáng)健驗(yàn)證方法和公共訪問控制許可權(quán)。外部用戶的客戶驗(yàn)證仍

32、然要求系統(tǒng)管理員配置Certificate Authority成為外部用戶的認(rèn)證中所信任的CA。這避免了某個(gè)具有由不知名權(quán)威機(jī)構(gòu)發(fā)放的認(rèn)證的人員能夠像其它人一樣通過驗(yàn)證。Microsoft Certificate ServerMicrosoft Certificate Server將成為一種通用、高可定制性、基于Windows NT的服務(wù)器產(chǎn)品，用于對(duì)數(shù)字認(rèn)證的發(fā)放、收回和更新進(jìn)行管理。Microsoft Certificate Server將于1997年上半年發(fā)布。該Certificate Server用于需要身份確認(rèn)和使用SSL協(xié)議進(jìn)行安全通信的基于Web的應(yīng)用程序。不過，它也可用于其他基

33、于認(rèn)證的應(yīng)用，比如安全的e-mail (例如S/MIME),安全付費(fèi)(例如SET)以及數(shù)字簽名(例如Authenticode)。在利用SSL時(shí)，一個(gè)機(jī)構(gòu)可使用Certificate Server發(fā)放標(biāo)準(zhǔn)X.509 v3格式的服務(wù)器認(rèn)證書和客戶認(rèn)證書。該機(jī)構(gòu)可以選擇使用一個(gè)或通過一個(gè)CA層次鏈接的多個(gè)Certificate Server發(fā)放他們所有的認(rèn)證書。在最基本的情況下，Microsoft Certificate Server的作用是接收一個(gè)PKCS #10認(rèn)證請(qǐng)求、檢驗(yàn)該請(qǐng)求中的信息，并以PKCS #7格式發(fā)送響應(yīng)的X.509認(rèn)證書 (或者可能是認(rèn)證鏈)。如果一個(gè)最終用戶希望為Web瀏覽器

34、獲得認(rèn)證，典型情況是通過訪問一個(gè)Web站點(diǎn)并進(jìn)行認(rèn)證的登記以產(chǎn)生一個(gè)認(rèn)證請(qǐng)求。進(jìn)行登記時(shí)，用戶在一個(gè)HTML表單中輸入身份信息(例如姓名、地址、e-mail等等)，然后產(chǎn)生一個(gè)密鑰對(duì)，公共密鑰按照一個(gè)PKCS #10被發(fā)送到CA。如果所有的身份信息滿足該CA授予認(rèn)證的標(biāo)準(zhǔn)，該CA將產(chǎn)生認(rèn)證書并使用戶瀏覽器下載該認(rèn)證。功能Microsoft Certificate Server的主要特性如下：可定義的策略. Certificate Server將具有一個(gè)用于認(rèn)證發(fā)放、管理和回收的自定義策略模塊。例如，一個(gè)機(jī)構(gòu)可能希望對(duì)個(gè)人請(qǐng)求發(fā)放認(rèn)證，而則另一個(gè)可能選擇自動(dòng)對(duì)e-mail請(qǐng)求授予認(rèn)證。密鑰管理.

35、 Microsoft Certificate Server將使用CryptoAPI 2.0進(jìn)行密鑰管理。因此，該Certificate Server的私有密鑰可以存儲(chǔ)于軟件，以及低端的工業(yè)級(jí)硬件設(shè)備(smart cards)。除此之外，Certificate Server還允許機(jī)構(gòu)建立一個(gè)可用于分散式CA管理的CA層次并確保單個(gè)CA密鑰的性能折衷不會(huì)影響層次中的其它CA。傳輸獨(dú)立性.機(jī)構(gòu)將能夠以多種方法發(fā)布和請(qǐng)求認(rèn)證，包括自定義的傳輸方式。服務(wù)器將能夠通過HTTP、e-mail、一種基于目錄服務(wù)的Light Directory Access Protocol (LDAP)或其它任何機(jī)制將認(rèn)證發(fā)

36、送回用戶。易于使用和管理. Certificate Server擴(kuò)大了NT Server的管理、監(jiān)控和可靠性的能力，通過相似的工具和界面可簡(jiǎn)單地進(jìn)行管理?；诠I(yè)標(biāo)準(zhǔn). Microsoft Certificate server將發(fā)放工業(yè)標(biāo)準(zhǔn)X509 v3認(rèn)證，包括認(rèn)證請(qǐng)求的PKCS #10標(biāo)準(zhǔn)和認(rèn)證發(fā)布的PKCS #7標(biāo)準(zhǔn)。它能夠通過標(biāo)準(zhǔn)HTTP、e-mail和RPC，以及寫入任何兼容LDAP的目錄或一個(gè)ODBC數(shù)據(jù)庫(kù)接收和發(fā)布認(rèn)證。集成性與擴(kuò)展能力. Microsoft Certificate Server與Windows NT緊密集成并使用了CryptoAPI。因此，Certificate

37、 Server將能夠使用各種加密服務(wù)供應(yīng)程序，從基于RSA的供應(yīng)程序到smart card和硬件設(shè)備。另外，Certificate Server將提供能夠用于自定義的APIs和COM接口;開發(fā)人員將能夠自定義發(fā)布的認(rèn)證以及入口、出口和策略模塊。Microsoft Wallet用于未來的Internet Explorer的Microsoft Wallet將成為一個(gè)物理錢夾的數(shù)字化版本。一個(gè)物理上的錢夾包括了一套身份證明的可信物品（身份證），許可證（駕駛執(zhí)照），訪問控制（雇員身份卡）以及支付物品（信用卡、借貸卡和現(xiàn)金）。對(duì)于個(gè)人計(jì)算機(jī)，數(shù)字化錢夾提供了相同的功能。Microsoft Wallet將

38、安全地存儲(chǔ)私人信息，包括用于身份確認(rèn)和付費(fèi)的數(shù)字認(rèn)證、密鑰、密碼和信用卡號(hào)等。此外，Wallet還能使用戶對(duì)這些私人信息進(jìn)行管理。通過一組發(fā)布的APIs，可以利用這些信息。其被利用的程度根據(jù)該用戶定義和管理的一個(gè)訪問控制規(guī)則而定。為了防止密鑰和密碼等信息的安全性被降低，這些私人信息不能直接被應(yīng)用程序所用；該應(yīng)用程序可使用這些信息進(jìn)行用戶允許的特定操作。初了他們的瀏覽器之外，該安全Wallet還應(yīng)被眾多應(yīng)用程序所用。例如，用戶將能輕易地提供他們的信用卡信息以便通過一個(gè)Internet購(gòu)物應(yīng)用程序完成購(gòu)物活動(dòng)。該Wallet將便于攜帶，以便用戶能夠以一種安全的方式將其攜帶到其它計(jì)算機(jī)或位置上。例如

39、，一個(gè)經(jīng)紀(jì)人在辦公室中使用一臺(tái)計(jì)算機(jī)工作，而在家中則使用另一臺(tái)計(jì)算機(jī)，這樣他就需要一種方法在辦公室與家之間“攜帶”錢夾。Microsoft開發(fā)出了一個(gè)跨平臺(tái)協(xié)議使用戶安全而簡(jiǎn)便地在不同計(jì)算機(jī)間傳遞的他們的Wallet信息，在這一領(lǐng)域處于領(lǐng)導(dǎo)地位。個(gè)人信息交換(PFX ，Personal Information Exchange)協(xié)議將使應(yīng)用程序能夠從一臺(tái)計(jì)算機(jī)將認(rèn)證和其它個(gè)人信息傳送到另一臺(tái)計(jì)算機(jī)、軟盤驅(qū)動(dòng)器或smart card。Microsoft已向W3C提交了該協(xié)議以供討論，其規(guī)范說明當(dāng)前可下載得到。Smart CardSmart card為機(jī)構(gòu)和用戶提供了一種具有高度的安全性和效費(fèi)比的

40、方式實(shí)現(xiàn)電子商務(wù)（electronic commerce）和安全通信。不過，在smart card被廣泛部署使用于計(jì)算機(jī)之前，還需要開發(fā)標(biāo)準(zhǔn)接口將smart card和smart card讀取器與計(jì)算機(jī)集成。作為PC/SC工作集團(tuán)（PC/SC Workgroup）的一個(gè)創(chuàng)建成員，Microsoft在解決這個(gè)基本問題方面處于工業(yè)界的領(lǐng)導(dǎo)地位。于1996年九月宣布成立的該集團(tuán)包含了最主要的PC和smart card制造商，包括Bull CP8、Hewlett-Packard、Schlumberger Electronic Transactions和Siemens Nixdorf Informati

41、onssysteme AG。PC/SC Workgroup將通過開發(fā)一個(gè)規(guī)范以促進(jìn)用于PC的基于smart card的應(yīng)用開發(fā)，該規(guī)范定義了一個(gè)能夠確保不同制造商的smart card、smart card讀寫器和計(jì)算機(jī)之間具有交互操作能力的體系。建立于已有的工業(yè)標(biāo)準(zhǔn)之上的這些規(guī)范將是開放、與平臺(tái)無關(guān)、與程序無關(guān)的，向OEMs、軟件開發(fā)人員和最終用戶提供了一個(gè)全面的解決方案。該規(guī)范當(dāng)前可在PC/SC Workgroup的Web站點(diǎn)PC/SC Workgroup的成員將共同工作開發(fā)實(shí)現(xiàn)集團(tuán)規(guī)范的必要軟硬件技術(shù)。Microsoft計(jì)劃通過CryptoAPI和一個(gè)smart card加密服務(wù)供應(yīng)程序

42、（Cryptographic Service Provider）將smart card和smart card讀取器集成到Windows和Windows NT中。這將使得當(dāng)前使用CryptoAPI創(chuàng)建安全應(yīng)用的開發(fā)人員能夠簡(jiǎn)便地?cái)U(kuò)展這些應(yīng)用以利用基于標(biāo)準(zhǔn)的smart card技術(shù)。Microsoft的Internet產(chǎn)品，比如IE 3.0，所具有的支持基于smart card的用戶驗(yàn)證能力已經(jīng)得到了證明。Microsoft期望在1997年的早期提供基于Windows的關(guān)鍵性組件和工具的最初版本。安全的付費(fèi)Microsoft的目標(biāo)是為Microsoft Windows和Windows NT中的安全

43、付費(fèi)提供可伸縮的、擴(kuò)展性的支持。如今，用戶可使用Internet Information Server 3.0和Internet Explorer 3.0建立使用SSL和PCT安全通信協(xié)議的安全事務(wù)處理。在服務(wù)器端，公司可使用Microsoft Merchant Server和 Verifone vPOS模塊建立與他們的付費(fèi)處理器網(wǎng)關(guān)或銀行的接口，從而使付費(fèi)過程自動(dòng)化。Microsoft還正在與Visa和MasterCard緊密合作為在線信用卡事務(wù)處理提供更高級(jí)別的安全。Visa和MasterCard，加上Microsoft、IBM、GTE、Netscape和其它廠商的貢獻(xiàn)，開發(fā)了SET協(xié)議。

44、SET設(shè)計(jì)用于處理通過Internet使用加密和數(shù)字認(rèn)證的銀行信用卡安全付費(fèi)活動(dòng)。SET協(xié)議將確保實(shí)現(xiàn)一個(gè)標(biāo)準(zhǔn)的Internet安全付費(fèi)事務(wù)處理。已有系統(tǒng)上的SET的主要優(yōu)點(diǎn)在于增加了數(shù)字認(rèn)證，數(shù)字認(rèn)證將持卡人和銷售商與一個(gè)金融機(jī)構(gòu)和Visa或MasterCard付費(fèi)系統(tǒng)聯(lián)系在一起。認(rèn)證在一定程度防止了當(dāng)前的系統(tǒng)所不能解決的欺騙行為，并向持卡人和銷售商提供了更高級(jí)別的事務(wù)處理秘密性。SET在設(shè)計(jì)時(shí)考慮了出口和進(jìn)口許可問題。Visa和MasterCard正與政府官員討論有關(guān)SET所使用的加密技術(shù)所可能帶來的任何問題。其目標(biāo)是使所有兼容SET的軟件能夠容易得到出口和進(jìn)口許可。SET規(guī)范可在Visa

45、和MasterCard的Web站點(diǎn)得到。Authenticode技術(shù)Microsoft的Authenticode技術(shù)，作為Microsoft Internet Explorer 3.0中的一個(gè)安全特性，用于確保Internet上的軟件組件的責(zé)任能力和確定性。Authenticode在用戶從Web站點(diǎn)下載可執(zhí)行文件到他們的計(jì)算機(jī)之前會(huì)對(duì)用戶發(fā)出警告。然后Authenticode檢驗(yàn)代碼是否被篡改和確認(rèn)代碼發(fā)布者的身份。根據(jù)用戶的經(jīng)驗(yàn)和對(duì)軟件發(fā)布者的信任度，用戶可以一件件的決定下載的代碼。通過對(duì)他們的代碼進(jìn)行簽名，開發(fā)人員與用戶可建立一種信任關(guān)系，用戶可以信賴地從發(fā)布者或Web站點(diǎn)下載軟件。利用M

46、icrosoft的Authenticode，開發(fā)人員可以使用簽名的ActiveX控件、簽名的Java applets和其它簽名的可執(zhí)行文件創(chuàng)建令人感興趣的Web頁(yè)面。而且用戶能夠?qū)ο螺d的軟件作出更理智的決定，并能夠知道軟件的發(fā)布者和軟件是否已被篡改。Microsoft的Authenticode基于Microsoft提交給W3C (World Wide Web Consortium)的被廣泛支持的代碼簽名提議。Authenticode技術(shù)依賴工業(yè)標(biāo)準(zhǔn)加密技術(shù)，比如X.509 v3認(rèn)證和PKCS #7和#10簽名標(biāo)準(zhǔn)等。這些是經(jīng)過很好驗(yàn)證的加密技術(shù)，能夠確保實(shí)現(xiàn)充滿活力的代碼簽名技術(shù)。此外，Mic

47、rosoft的代碼簽名規(guī)范即將出現(xiàn)于MISF Web站點(diǎn)。開發(fā)人員信息要對(duì)代碼簽名，開發(fā)人員需要得到來自一個(gè)CA（比如VeriSign）的認(rèn)證并使用ActiveX SDK中的代碼簽名工具。有關(guān)代碼簽名詳細(xì)信息可參閱Signing Code with Microsoft Authenticode和Six Steps for Signing Code。希望了解對(duì)他們的代碼進(jìn)行簽名的開發(fā)人員請(qǐng)?jiān)L問并加入Microsoft的Authenticode郵件組AuthenticodeLISTSERV.MSN.COM.Windows信任檢驗(yàn)服務(wù)（Trust Verification Service）Micro

48、soft Authenticode建立于Microsoft的WinVerifyTrust API之上，這些API組成的信任供應(yīng)程序（Trust Provider）用于確定是否一個(gè)特定的實(shí)體可被信任。對(duì)于Authenticode，它使用WinVerifyTrust的軟件信任供應(yīng)程序（Software Trust Provider）檢查軟件組件數(shù)字簽名的有效性，并由此決定用戶是否信任該組件的真實(shí)性和完整性。該API在Windows NT 4.0和Windows 95 OSR2中可以使用。因此，任何程序都能使用WinVerifyTrust的軟件信任供應(yīng)程序（Software Trust Provid

49、er）檢查軟件組件數(shù)字簽名的有效性，并由此決定該組件的真實(shí)性和完整性。例如，TIS Gauntlet防火墻依靠WinVerifyTrust確保只有機(jī)構(gòu)認(rèn)可的開發(fā)商的軟件組件能夠下載到機(jī)構(gòu)的網(wǎng)絡(luò)中。當(dāng)前，WinVerifyTrust支持32位.exe、.cab、.ocx和類文件類型?？梢酝ㄟ^目標(biāo)接口包(SIP，Subject Interface Packet)向WinVerifyTrust添加其它支持的文件類型，比如可被數(shù)字簽名和檢驗(yàn)的文檔、宏或壓縮文件。開發(fā)人員信息Platform SDK含有有關(guān)開發(fā)人員如何使用WinVerifyTrust的詳細(xì)信息。其它信息可以在我們的Windows Tru

50、st Verification Services 規(guī)范中得到。有關(guān)處理SIPs的更新文檔預(yù)計(jì)在1997年早期推出。附錄A: MISF概述牢固、靈活的安全基礎(chǔ)技術(shù)功能應(yīng)用的用戶系統(tǒng)開發(fā)人員可用工具CryptoAPI 1.0基本加密服務(wù);可擴(kuò)展、可更新的安全Windows NT 4.0、Microsoft Internet Explorer 3.0、Windows 95 OEM Service Release 2Platform SDK、Typelib接口和創(chuàng)建Cryptographic Service Providers的開發(fā)人員工具位于CryptoAPI Web站點(diǎn)(CryptoAPI 2.0

51、認(rèn)證管理和高級(jí)加密功能Internet Explorer的未來版本開發(fā)人員beta版和接口(COM, VBScript, Java)位于CryptoAPI Web站點(diǎn)PC/SC Workgroup基于Smart card的安全Windows和Windows NT的未來版本規(guī)范說明位于私人通信技術(shù)功能應(yīng)用的用戶系統(tǒng)開發(fā)人員可用工具SSL 2.0/3.0, PCT 1.0當(dāng)前的安全通道服務(wù);安全事務(wù)處理Internet Explorer 3.0 和Internet Information Server 3.0Win32 WinInet APIs; SSL/Winsock 2 Layered Ser