指紋證書雙因子認(rèn)證域登錄解決方案教程文件

1、“指紋+數(shù)字證書”雙因子認(rèn)證系統(tǒng)安全解決方案中天一維科技有限公司Ewaytek Co.,Ltd“指紋+數(shù)字證書”雙因子認(rèn)證系統(tǒng)安全解決方案卷與分冊方案資料版本2006V1.0出版狀態(tài)標(biāo)準(zhǔn)BOM編碼M版權(quán)聲明中天一維科技有限公司2006版權(quán)所有？，保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復(fù)制本書的部分或全部,并不得以任何形式傳播。Copyright? 2005 by Ewaytek Co., Ltd.All Rights Reserved.No part of this document may be reproduced or transmitted in any for

2、m or by any means without prior written consent of Shanghai Ewaytek Co., Ltd TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 術(shù)語5指紋 KEY 5 HYPERLINK l bookmark8 o Current Document 雙因子認(rèn)證5 HYPERLINK l bookmark10 o Current Document 企業(yè)內(nèi)部網(wǎng)絡(luò)5PKI 5 HYPERLINK l bookmark12 o Current Document CA證書頒發(fā)機構(gòu) 5

3、HYPERLINK l bookmark14 o Current Document 數(shù)字證書6注冊機構(gòu)RA 6PC/SC 6CSP 6SDK二次開發(fā)工具 6 HYPERLINK l bookmark16 o Current Document 方案簡介7 HYPERLINK l bookmark18 o Current Document 方案特點及優(yōu)勢8不可抵賴性8安全性8 HYPERLINK l bookmark20 o Current Document 可靠性9 HYPERLINK l bookmark22 o Current Document 安全可靠的指紋 KEY硬件結(jié)構(gòu) 9 HYPER

4、LINK l bookmark24 o Current Document 穩(wěn)健的系統(tǒng)體系結(jié)構(gòu) 9 HYPERLINK l bookmark26 o Current Document 自動系統(tǒng)故障恢復(fù) 9 HYPERLINK l bookmark28 o Current Document 完善的診斷工具10 HYPERLINK l bookmark30 o Current Document 易用性10 HYPERLINK l bookmark32 o Current Document 簡單的指紋身份驗證操作 11 HYPERLINK l bookmark34 o Current Document

5、 用戶狀態(tài)遷移工具 11 HYPERLINK l bookmark36 o Current Document 緊急管理服務(wù)11 HYPERLINK l bookmark38 o Current Document 存儲區(qū)域網(wǎng)絡(luò)和網(wǎng)絡(luò)訪問服務(wù)器支持 11 HYPERLINK l bookmark40 o Current Document 網(wǎng)絡(luò)負(fù)載平衡增強功能 11 HYPERLINK l bookmark42 o Current Document 可擴展性12 HYPERLINK l bookmark44 o Current Document 雙因子認(rèn)證的域登錄解決方案 13 HYPERLINK

6、l bookmark46 o Current Document 系統(tǒng)結(jié)構(gòu)設(shè)計13 HYPERLINK l bookmark48 o Current Document 系統(tǒng)設(shè)置及應(yīng)用13 HYPERLINK l bookmark50 o Current Document 配置域控制器14配置IIS服務(wù)器15配置 CA 服務(wù)器 16 HYPERLINK l bookmark52 o Current Document 申請注冊代理證書 20 HYPERLINK l bookmark54 o Current Document 安裝指紋 KEY驅(qū)動程序及硬件 23初始化指紋KEY 24 HYPERLIN

7、K l bookmark56 o Current Document 申請智能卡證書24 HYPERLINK l bookmark58 o Current Document 使用指紋 KEY進(jìn)行域登錄 27 HYPERLINK l bookmark60 o Current Document 域安全策略設(shè)置 28 HYPERLINK l bookmark62 o Current Document 核心產(chǎn)品技術(shù)簡介 30 HYPERLINK l bookmark64 o Current Document 產(chǎn)品特點及優(yōu)勢30高安全性30使用方便30易于集成30高性價比30 HYPERLINK l bo

8、okmark66 o Current Document 產(chǎn)品外觀 31 HYPERLINK l bookmark68 o Current Document 詳細(xì)規(guī)格31 HYPERLINK l bookmark70 o Current Document 系統(tǒng)實施及成本構(gòu)成 311術(shù)語指紋KEY指紋KEY是將傳統(tǒng)的USB KEY與指紋識別技術(shù)相結(jié)合，利用指紋識別代替密碼 識別的方法驗證 USB KEY的用戶身份的一種特殊的 USB KEY。指紋KEY內(nèi)容存儲用 戶指紋特征數(shù)據(jù)，內(nèi)部完成指紋驗證比對(脫機認(rèn)證)，利用指紋識別技術(shù)獨立完成用戶身份驗證。指紋 KEY是具有極高安全性的網(wǎng)絡(luò)身份認(rèn)證工具。

9、指紋KEY是中天一維科技有限公司具有發(fā)明性專利的安全認(rèn)證產(chǎn)品，它具有高安 全性、高可靠性、安裝使用方便、體積小巧方便攜帶等特點。雙因子認(rèn)證本方案中的雙因子認(rèn)證是指“指紋身份認(rèn)證”+ “數(shù)字證書認(rèn)證”。數(shù)字證書被存儲在有條件訪問的指紋 KEY設(shè)備中。數(shù)字證書由可信任的 CA中心發(fā)放，指紋KEY由 可信任的安全管理機構(gòu)發(fā)放。發(fā)放指紋KEY的同時將數(shù)字證書下載到指紋KEY中，并且采集用戶指紋。在進(jìn)行網(wǎng)絡(luò)操作系統(tǒng)登錄(如：域登錄)及應(yīng)用系統(tǒng)登錄時，首先插入指紋KEY并且進(jìn)行指紋身份認(rèn)證，指紋身份認(rèn)證通過后進(jìn)行“數(shù)字證書”的電子簽名認(rèn)證。企業(yè)內(nèi)部網(wǎng)絡(luò)企業(yè)內(nèi)部網(wǎng)絡(luò)可以是企業(yè) OA系統(tǒng)，銀行綜合業(yè)務(wù)系統(tǒng)或是

10、證券綜合業(yè)務(wù)系統(tǒng)， 此 方案適合于WINDOWS網(wǎng)絡(luò)系統(tǒng)也適合于 UNIX網(wǎng)絡(luò)系統(tǒng)，可以支持 B/S系統(tǒng)結(jié)構(gòu)也 可以支持C/S網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)。PKI公鑰基礎(chǔ)結(jié)構(gòu)(PKI)是通過使用公鑰加密對參與電子交易的每一方的有效性進(jìn)行 驗證和身份驗證的數(shù)字證書、證書頒發(fā)機構(gòu)(CA)和其他注冊機構(gòu) (RA)。CA證書頒發(fā)機構(gòu)負(fù)責(zé)建立并保證屬于對象 (通常是用戶或計算機)或其他證書頒發(fā)機構(gòu)的公鑰的真實性的實體。證書頒發(fā)機構(gòu)的活動可以包括通過已簽名的證書將公鑰綁定到可分辨的名 稱上、管理證書序列號以及證書吊銷。數(shù)字證書通常用于身份驗證及保證公開網(wǎng)絡(luò)上信息安全性的數(shù)字文檔。證書將公鑰安全地綁定到持有相應(yīng)私鑰的實體中

11、。證書由證書頒發(fā)機構(gòu)（CA）數(shù)字簽名，并且可以頒發(fā)給用戶、計算機或服務(wù)。注冊機構(gòu)RA為管理員配置的計算機，用于代表其他用戶請求并檢索已頒發(fā)的證書。RA不需要在同一個計算機上安裝證書頒發(fā)機構(gòu)。PC/SCpc/sc 即個人計算機 （personal computer）/智能卡 （smart card）, 它是為智能卡訪問 windows平臺（包括windows2000 ）而定義的一種標(biāo)準(zhǔn)結(jié)構(gòu)。 pc/sc的體系結(jié)構(gòu)為智能卡（或指紋KEY）與個人計算機系統(tǒng)設(shè)計的交互規(guī)范，已經(jīng)讓智能卡進(jìn)入pc機世界的問題變得容易了。 pc/sc的主要優(yōu)點就是讓應(yīng)用程序不必為了與智能卡（或指紋KEY）通信而去了解智能卡

12、（或指紋KEY）的細(xì)節(jié)。而且，該應(yīng)用程序還能適用于任何遵從pc/sc標(biāo)準(zhǔn)的讀卡器（或指紋KEY ）。CSP加密服務(wù)提供程序 （CSP）,執(zhí)行身份驗證、編碼和加密服務(wù)的代碼，基于Windows 的應(yīng)用程序通過 CryptoAPI訪問這些服務(wù)。CSP負(fù)責(zé)創(chuàng)建密鑰、吊銷密鑰以及使用密 鑰執(zhí)行各種加密操作。每個CSP都提供了不同的 CryptoAPI實現(xiàn)。某些提供了更強大的加密算法，而另一些則使用硬件組件，例如指紋KEY ,智能卡。SDK二次開發(fā)工具為方便用戶基于“指紋+數(shù)字證書”的雙因子認(rèn)證系統(tǒng)開發(fā)高安全的應(yīng)用系統(tǒng)，本 方案提供了豐富的二次應(yīng)用開發(fā)接口。其中包括PC/SC及指紋采集、指紋圖像顯示等接

13、口，同時還可以為用戶提供后臺的“統(tǒng)一生物認(rèn)證平臺（ UNIBAP ）”系統(tǒng)。2方案簡介隨著政府、企業(yè)信息化建設(shè)的深化，越來越多的單位建立了自己的辦公自動化系統(tǒng)， 這些系統(tǒng)在提高企業(yè)效率和管理水平等方面發(fā)揮了很大的作用，由于OA系統(tǒng)管理著許多企事業(yè)單位重要的信息，因而對安全要求較高。 然而早期開發(fā)的 OA系統(tǒng)中存在安全隱患，其中身份認(rèn)證部分是最薄弱環(huán)節(jié)。早期開發(fā)的辦公自動化系統(tǒng)，大多是利用“ID+PASSWORD ”，“IC卡+PASSWORD”或是“USBKEY+PASSWORD ”的方式進(jìn)行網(wǎng)絡(luò)身份驗證。 在這些系統(tǒng)中網(wǎng)絡(luò)傳輸及網(wǎng) 絡(luò)數(shù)據(jù)存儲在利用防火墻、IPSec、VPN、AES、3DES

14、等技術(shù)之后都得到了良好的安全 保障。然而網(wǎng)絡(luò)資源的授權(quán)使用及網(wǎng)絡(luò)用戶的真實身份驗證仍然是最薄弱的環(huán)節(jié)。具調(diào)查顯示目前在企業(yè)機密信息被竊取、銀行帳戶被濫用、證券帳戶的盜用等各種網(wǎng)絡(luò)安全問題中，80%來自于內(nèi)部犯罪。造成網(wǎng)絡(luò)安全問題內(nèi)部犯罪的直接原因是：? 網(wǎng)絡(luò)計算機被非法使用? 網(wǎng)絡(luò)用戶被盜用? 文件的真實性完整性和不可抵賴性得不到保障現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中針對使用者的身份認(rèn)證方式依舊停留在“密碼”驗證的水平上，從而“密碼”成為網(wǎng)絡(luò)安全系統(tǒng)的一個“弱因子”。密碼存在如下問題：? 用戶以最常用編碼作為密碼很容易被功破（生日、電話號碼等）? 用戶在使用復(fù)雜密碼時十分不方便（容易忘記、將密碼記錄在易泄密的介質(zhì)

15、上）? 計算機的鍵盤輸入很容易被跟蹤（木馬程序）? 密碼如果泄露可以被任何非法用戶所使用計算機只認(rèn)“密碼”不認(rèn)“人”? 密碼認(rèn)證不具有“不可抵賴性”任何人都可以使用一個密碼針對這種情況，我公司開發(fā)了新一代“指紋+數(shù)字證書”的雙因子認(rèn)證系統(tǒng)，該系統(tǒng)能夠有效地解決企業(yè)網(wǎng)絡(luò)系統(tǒng)的用戶身份安全認(rèn)證及網(wǎng)絡(luò)的安全傳輸?！爸讣y+數(shù)字證書”的雙因子認(rèn)證系統(tǒng)是將指紋認(rèn)證與數(shù)字證書認(rèn)證有機結(jié)合，利 用指紋對用戶進(jìn)行身份認(rèn)證，同時基于PKI技術(shù)，將數(shù)字簽名、身份認(rèn)證和證書管理等信息安全技術(shù)植入現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)內(nèi)，以此保證企業(yè)網(wǎng)絡(luò)系統(tǒng)對于用戶身份的可靠認(rèn)證和信息的可靠傳輸。從而達(dá)到網(wǎng)絡(luò)數(shù)據(jù)的“機密性”、“真實性

16、”、“完整性”和“不可抵賴”。PKI體系在解決信息的安全傳輸方面已經(jīng)被證明是非常有效的，但是在身份認(rèn)證 方面，如果數(shù)字證書保管不善，則仍然存在身份假冒的可能性。眾所周知，指紋具有唯一性、不變性、便攜性的優(yōu)點，利用指紋則可以唯一的鑒別一個人的身份。本方案是將指紋身份驗證技術(shù)與 PKI體系有機的結(jié)合起來，最大限度的保證的企業(yè)網(wǎng)絡(luò)系統(tǒng)的安 全。利用“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案可以建設(shè)高安全性的域登錄系統(tǒng)以 及VPN系統(tǒng)。3方案特點及優(yōu)勢不可抵賴性信息的不可抵賴性是指發(fā)送信息的一方不能對自己的發(fā)送的信息進(jìn)行抵賴，不能否認(rèn)自己發(fā)送信息的行為。由于信息的傳輸是通過開放的互聯(lián)網(wǎng)，經(jīng)常會由于對發(fā)送的

17、信息進(jìn)行抵賴而引起不必要的糾紛和問題，給交易的雙方帶來巨大的影響和損失。網(wǎng)上交易行為一旦被進(jìn)行交易的一方所否認(rèn)，另一方?jīng)]有已簽名的記錄來作為仲裁的依據(jù)。因此，需要提供一種有效的機制，來保證業(yè)務(wù)系統(tǒng)中傳遞信息的不可抵賴性。指紋識別技術(shù)是公認(rèn)的可確認(rèn)唯一性的身份識別手段，“指紋+數(shù)字證書”的雙因子認(rèn)證系統(tǒng)是綜合了密碼技術(shù)、數(shù)字摘要技術(shù)、數(shù)字簽名等多項安全技術(shù)以及一套成熟 的安全管理機制來提供有效的信息安全服務(wù)，通過建設(shè)CA認(rèn)證中心為用戶簽發(fā)數(shù)字證書，用戶在業(yè)務(wù)系統(tǒng)中使用證書，完成用戶的身份認(rèn)證、 訪問控制以及信息傳輸?shù)臋C密性、完整性和不可抵賴性。PKI技術(shù)已經(jīng)被廣泛應(yīng)用于電子政務(wù)和電子商務(wù)，被證明

18、是保證基于互聯(lián)網(wǎng)的電 子政務(wù)和電子商務(wù)安全的最佳解決方案。將指紋識別技術(shù)與PKI技術(shù)相結(jié)合利用指紋識別技術(shù)驗證用戶身份，通過指紋身份驗證后方可訪問數(shù)字證書，進(jìn)行數(shù)字簽名等應(yīng)用。因此將指紋識別技術(shù)與 PKI技術(shù)相結(jié)合，建立“指紋 +數(shù)字證書”的雙因子認(rèn)證系 統(tǒng)是實現(xiàn)“不可抵賴性”的最可靠保障。安全性“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案利用了目前具有極高安全性的指紋識別 技術(shù)、PKI技術(shù)和 Windows 2003網(wǎng)絡(luò)系統(tǒng)平臺。指紋識別技術(shù)是一種成熟的模式識別技術(shù)，指紋識別技術(shù)可以作到在1,000,000人的基數(shù)內(nèi)作到不“認(rèn)假”，即一百萬人中沒有相同的兩枚指紋。也就是說如果確認(rèn)了指 紋身份驗證的

19、合法性的正確性便可以斷定是該指紋所有者的身份。在“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案中保證系統(tǒng)整體安全性的第一步就是 保證指紋識別過程的“獨立性”、“公正性”。為保證指紋識別過程的“獨立性”和“公 正性”本方案采用嵌入式指紋識別算法，將指紋圖像采集、圖像處理、特征提取及指紋驗證過程全部放在一個高安全芯片內(nèi)完成。指紋識別的全過程不會被任何應(yīng)用程序所干擾，可以做到最大程度的“獨立性”和“公正性”。在“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案中保證系統(tǒng)整體安全性的第二步是單 獨高安全芯片的指紋 KEY。指紋識別算法與 RSA算法、DES算法、TDES算法以及 HASH算法等共同存放在同一個高安全芯片內(nèi)

20、，指紋圖像的采集和處理全面由同一顆芯片完成。數(shù)字證書也存放在這個芯片中，電子簽名及數(shù)據(jù)加解密都在同一顆芯片中完成。因此“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案是利用基于單獨的高安全芯片指紋KEY進(jìn)行指紋身份認(rèn)證和數(shù)字證書存儲的，指紋身份認(rèn)證在指紋KEY中完成，然后再讀取數(shù)字證書進(jìn)行電子簽名，從而最終確認(rèn)用戶的網(wǎng)絡(luò)真實身份。在“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案中保證系統(tǒng)整體安全性的第三個層面是系統(tǒng)登錄、網(wǎng)絡(luò)鏈接和網(wǎng)絡(luò)管理的安全性。本方案選擇WINDOWS網(wǎng)絡(luò)系統(tǒng)作為首選網(wǎng)絡(luò)操作系統(tǒng)。利用 WINDOWS網(wǎng)絡(luò)操作系統(tǒng)的“域策略”、“域安全策略”、“組策 略”、“CA服務(wù)器”、“VPN服務(wù)器”等多

21、層次的安全保障機制作為整體解決方案的安全 運行載體，為組織和搭建整個系統(tǒng)的安全打下良好基礎(chǔ)。綜上所述，“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案是將“指紋KEY ”與Windows網(wǎng)絡(luò)操作系統(tǒng)下的 PKI系統(tǒng)技術(shù)相結(jié)合，建設(shè)一套從用戶指紋身份驗證開始、到域登 錄、到VPN網(wǎng)絡(luò)建立、再到域用戶權(quán)限管理等多層次多級別的綜合性安全保障體系?？煽啃灾讣y+數(shù)字證書的雙因子認(rèn)證解決方案選擇Windows Server 2003網(wǎng)絡(luò)操作系統(tǒng)作為系統(tǒng)運行基礎(chǔ)，很好的繼承了Windows Server 2003系統(tǒng)的可靠性特點。安全可靠的指紋 KEY硬件結(jié)構(gòu)本方案中所應(yīng)用的指紋 KEY具有高計算能力、高安全性、多種

22、應(yīng)用接口、低功耗 等特點。? 指紋KEY內(nèi)完成全部指紋身份驗證過程? 指紋KEY內(nèi)密鑰管理（密鑰生成、密鑰存儲、密鑰更新等）? 指紋KEY內(nèi)簽名及身份認(rèn)證（可以支持RSA、ECC （p域）等公鑰算法）? 專用算法下載執(zhí)行及高速率數(shù)據(jù)加解密（支持 DES/3DES算法和各種專用密 碼算法）? 通過豐富的應(yīng)用程序接口可以支持多種上層應(yīng)用（ PC/SC、PKCS #11、 MS CAPI、 X.509 v3 ）穩(wěn)健的系統(tǒng)體系結(jié)構(gòu)系統(tǒng)越穩(wěn)健，其可靠性就越大，即使一個應(yīng)用程序或服務(wù)遇到了問題，也是如此。“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案選擇Windows Server 2003網(wǎng)絡(luò)操作系統(tǒng)作為系統(tǒng)運

23、行基礎(chǔ)， Windows Server 2003是穩(wěn)健的系統(tǒng)體系結(jié)構(gòu)。Windows Server 2003可以通過對沒有響應(yīng)的應(yīng)用程序進(jìn)行了更好的處理，可以移動、最小化、關(guān)閉沒有響應(yīng)的應(yīng)用程序的窗口，并可調(diào)整其大小。此外，在更新的驅(qū)動程序不能正常運行的情況下， 還可以還原舊的驅(qū)動程序。系統(tǒng)的支持結(jié)構(gòu)可以確保在早期Windows操作系統(tǒng)上正常運行的應(yīng)用程序能夠繼續(xù)在Windows Server 2003家族產(chǎn)品上運行。自動系統(tǒng)故障恢復(fù)Windows Server 2003系統(tǒng)通過自動系統(tǒng)故障恢復(fù)（ASR）,可以定期創(chuàng)建 ASR集作為系統(tǒng)出現(xiàn)故障時整個系統(tǒng)恢復(fù)方案的一部分。只有在使用其他方式，如

24、“安全模式”和“最后一次正確的配置” 等啟動選項無效的情況下， 才可以將 ASR作為系統(tǒng)恢復(fù)的 最后手段。有關(guān)以上選項和其他恢復(fù)選項的詳細(xì)信息，請參閱啟動選項。ASR恢復(fù)選項由兩部分構(gòu)成：ASR備份和ASR還原。您可以通過“備份”實用程序中的“自動系統(tǒng)故障恢復(fù)準(zhǔn)備向?qū)А眮硎褂脗浞莨δ??！白詣酉到y(tǒng)故障恢復(fù)準(zhǔn)備向?qū)А蹦軌騻浞菹到y(tǒng)狀態(tài)數(shù)據(jù)、系統(tǒng)服務(wù)、以及所有與操作系統(tǒng)組件相關(guān)的磁盤。同時向?qū)н€會創(chuàng)建一張軟盤，其中包含有關(guān)備份、磁盤配置（包含基本卷和動態(tài)卷）以及如何 執(zhí)行還原的信息。在啟動過程中的文本模式下出現(xiàn)提示時，您可以按F2使用ASR的還原功能。ASR將從軟盤中讀取磁盤配置，并至少還原用于啟動計

25、算機的磁盤上的所有磁盤簽名、 卷和分區(qū)。（ASR將嘗試還原所有磁盤配置，但在某些情況下，ASR不可能還原全部磁盤配置。）在這之后 ASR將安裝 Windows的基本組件，并使用由“自動系統(tǒng)故障 恢復(fù)準(zhǔn)備向?qū)А彼鶆?chuàng)建的ASR備份集自動開始還原。完善的診斷工具Windows Server 2003系統(tǒng)利用診斷工具來監(jiān)視系統(tǒng)狀態(tài)并防止發(fā)生問題。診斷工 具包括了以下多種診斷手?jǐn)啵? 任務(wù)管理器概述? 使用網(wǎng)絡(luò)診斷? 系統(tǒng)信息? 系統(tǒng)屬性? 服務(wù)? 事件查看器? 網(wǎng)絡(luò)監(jiān)視器? 監(jiān)視性能?關(guān)閉事件跟蹤程序? SNMP? 設(shè)備管理器? Windows Management Instrumentation 控

26、制易用性指紋+數(shù)字證書的雙因子認(rèn)證解決方案選擇Windows Server 2003網(wǎng)絡(luò)操作系統(tǒng)作為系統(tǒng)運行基礎(chǔ)，很好的繼承了Windows Server 2003系統(tǒng)的易用性特點。簡單的指紋身份驗證操作“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案中所應(yīng)用的指紋KEY是將傳統(tǒng)的USBKEY的PIN碼替換成了指紋，將原有的PIN碼驗證替換成了指紋身份驗證，指紋KEY上集成了指紋傳感器，指紋采集及驗證直接在指紋KEY上完成。用戶狀態(tài)遷移工具用戶狀態(tài)遷移工具 （USMT）通過捕獲和還原用戶設(shè)置、文件和文檔有助于進(jìn)行部 署。用戶不必為諸如電子郵件服務(wù)器、代理服務(wù)器、桌面配色方案和桌面墻紙等重新配置桌面設(shè)置。

27、緊急管理服務(wù)通過緊急管理服務(wù)， 并與相應(yīng)的硬件結(jié)合， 即使在無法通過標(biāo)準(zhǔn)遠(yuǎn)程管理工具和機 制訪問服務(wù)器時，也可以完成遠(yuǎn)程管理和系統(tǒng)恢復(fù)任務(wù)。詳細(xì)信息，請參閱緊急管理服務(wù)。存儲區(qū)域網(wǎng)絡(luò)和網(wǎng)絡(luò)訪問服務(wù)器支持Windows Server 2003家族中的存儲區(qū)域網(wǎng)絡(luò)（SAN）和網(wǎng)絡(luò)訪問服務(wù)器 （NAS）支持具有許多新的系統(tǒng)增強功能， 以提高服務(wù)器的可用性。 這些改進(jìn)功能包括容錯、 網(wǎng) 絡(luò)連接方案，如連接到 SAN和NAS服務(wù)器。連接到 SAN 時，Windows Server 2003 家族支持多路徑故障轉(zhuǎn)移，即從主服務(wù)器（運行 Windows 2000 Server、Windows 2000 Ad

28、vanced Server Windows 2000 Datacenter Server 或 Windows Server 2003 家族中的任 何產(chǎn)品）至iJ SAN卷啟用冗余路徑。 Windows Server 2003 家族還支持連接到 NAS以 及用作NAS。網(wǎng)絡(luò)負(fù)載平衡增強功能網(wǎng)絡(luò)負(fù)載平衡現(xiàn)在可以綁定到多個網(wǎng)絡(luò)適配器，以便可以在每一臺主機上配置多個獨立的群集。有關(guān)虛擬群集的詳細(xì)信息，請參閱虛擬群集。網(wǎng)絡(luò)負(fù)載平衡使用Internet組管理協(xié)議（IGMP）支持限制交換流，以使流向網(wǎng)絡(luò)負(fù)載平衡群集的流量只經(jīng)過那些 用于群集主機的端口， 而不經(jīng)過所有交換端口。雙向相似性通過使用Microso

29、ft InternetSecurity and Acceleration （ISA） Server 2000 增強了網(wǎng)絡(luò)負(fù)載平衡在防火墻或代理服務(wù)器 兩側(cè)進(jìn)行負(fù)載平衡的能力。雙向相似性可確保經(jīng)過ISA服務(wù)器陣列中的特定服務(wù)器路由的客戶端連接回到同一ISA服務(wù)器上進(jìn)行負(fù)載平衡。這使得可以使用新的方案進(jìn)行網(wǎng)絡(luò)負(fù)載平衡，而這在早期版本中是無法使用的。詳細(xì)信息，請參閱網(wǎng)絡(luò)負(fù)載平衡和狀態(tài)可控的連接。通過網(wǎng)絡(luò)負(fù)載平衡管理器，可以創(chuàng)建新的網(wǎng)絡(luò)負(fù)載平衡群集，并可以從一臺遠(yuǎn)程或本地計算機對群集和群集中的所有主機進(jìn)行配置和管理?？蓴U展性指紋+數(shù)字證書的雙因子認(rèn)證解決方案選擇Windows Server 2003網(wǎng)

30、絡(luò)操作系統(tǒng)作為系統(tǒng)運行基礎(chǔ)，很好的繼承了Windows Server 2003系統(tǒng)的可擴展性特點。4雙因子認(rèn)證的域登錄解決方案系統(tǒng)結(jié)構(gòu)設(shè)計指紋+數(shù)字證書的雙因子認(rèn)證系統(tǒng)是建立在Windows Server網(wǎng)絡(luò)操作系統(tǒng)之上的，可以采用 Windows 2003 Server 或 Windows 2000 Server o本系統(tǒng)中需要部屬 DNS服務(wù)器、主域控制器、IIS服務(wù)器、CA服務(wù)器，網(wǎng)絡(luò)接入 可以支持以太網(wǎng)也可以支持撥號鏈接。網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下:圖1 :網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D某些方面系統(tǒng)設(shè)置及應(yīng)用利用指紋KEY在Windows Server 2003上實現(xiàn)雙因子認(rèn)證的域登錄不需要進(jìn)行程序 的開發(fā)，

31、只需配置系統(tǒng)就可以了，我們分八個步驟來設(shè)置“指紋+數(shù)字證書”的雙因子域登錄系統(tǒng)：一、配置域控制器二、配置IIS服務(wù)器三、配置CA服務(wù)器四、申請注冊代理證書五、安裝指紋 KEY的驅(qū)動程序及硬件六、初始化指紋KEY 七、申請智能卡證書八、使用指紋KEY進(jìn)行域登錄配置域控制器由于“指紋+數(shù)字證書”的雙因子認(rèn)證解決方案是基于PKI體系的，而 PKI體系的核心是 CA中心，而要建立 CA中心頒發(fā)智能卡證書，需要安裝企業(yè)根CA,而安裝企業(yè)CA中心，要求必須安裝域控制器( Active Directory )，下面我們來配置域控制 器。從管理您的服務(wù)器界面上選擇“添加或刪除角色”選項，進(jìn)入到選擇服務(wù)角色，如

32、圖2。配置您的眼務(wù)器向?qū)l備器角色您可以破獸此股勢翡擔(dān)任一個或多個桂定角色.如果您想在出版箔器上添加一個以上的角 色,熔可以再次運行此向?qū)?抗擇一個角色.如果用色沒有瓶加j您男以忝加如果它已愛被添加盤可以刪除它.口嚷爆 樓添加或刪除的角色卷有列出話打開旗加或刪除程序.服品器角色已配置域控制器(Actire DiTectory)立伴服黑黑打印做普器應(yīng)用程序服寥嘉(I工以ASP NET)郵件服務(wù)器ffOP3j SMTP)終端服招盤遠(yuǎn)程訪問，V?H服務(wù)器否否否否否否域控制器存儲目錄數(shù)據(jù)并管理用p登錄處理和目錄搜索.,ctive Dirtctory)DHCP服各器 濡式媒體服務(wù)善 W工盛服務(wù)器閱謨百H

33、t或七相器的雇息”按鈕，按界面操作來 配置域控制器，設(shè)置服務(wù)器類型，DNS,NetBIOS等，完成域控制器的配置。配置IIS服務(wù)器因為我們從web上來申請智能卡證書，而 需要通過IIS來發(fā)布證書，因此我們需要安裝 所以我們必須配置 active server page為允許，windows 2003 Server自帶的證書系統(tǒng)IIS服務(wù)器，其服務(wù)器程序是基我們下面來配置IIS服務(wù)器。asp,，后進(jìn)入配置服務(wù)器角色的從管理您的服務(wù)器界面上選擇“添加或刪除角色”選項 界面，如圖3。盤務(wù)器角色您可以遍置此服務(wù)器擔(dān)掛一個或睪個特定角色口如果您想在此服務(wù)器上添加一個以上的角 色，愈尋以再噓第E商導(dǎo)口選擇

34、一個角色.如果角色沒有雅加，您可以添加它.如果它已較被忝加，您可以刪除它,如果您 相添加或機除的角色強有斑出，唇桿開添力口或刪除程序口座用程序量多零arsASF. BET）杳者“配置您的服務(wù)器向?qū)罩綛應(yīng)用程序服務(wù)器提供刊建、部署匕 艮運行XML Web眼基，Web應(yīng)用程 序和分布式應(yīng)用程序，所必須的核心 技術(shù).應(yīng)用程序明算器支術(shù)包括塔 F. NET CDM+ 和 Internet 信息服 蘇艇）.陶傕有關(guān)應(yīng)用程序膈曇據(jù)的信息上一步I下一步幽）:幫助I選擇“應(yīng)用程序服務(wù)器（供完成IIS的其它配置。啟動圖3:配置IIS服務(wù)器IIS,ASP.NET）”，選擇“下一步（N） ”按鈕，按系統(tǒng)提IIS,

35、出現(xiàn)Web服務(wù)擴展界面（圖 4）。圖4:配置IIS服務(wù)器將Active Server Pages服務(wù)設(shè)置為允許完成Internet信息服務(wù)（IIS）管理器的配置。配置CA服務(wù)器要頒發(fā)智能卡證書，必須要配置證書服務(wù)器，我們下面來配置證書服務(wù)器。選擇“添 加/刪除Windows組件，出現(xiàn)添加刪除 windows組件的界面，如圖 5、圖6。圖5:配置CA服務(wù)器選擇“證書服務(wù)”選項后出現(xiàn)，選擇“下一步（ N） ”按鈕,根據(jù)系統(tǒng)提示進(jìn)行操 作，出現(xiàn)選擇 CA類型界面（圖6）。圖6:配置CA服務(wù)器要頒發(fā)智能卡登錄證書，必須選擇“企業(yè)根 CA”才可以使用，選擇“企業(yè)根CA(E)”后，選擇“下一步(N) ”按

36、鈕，根據(jù)系統(tǒng)提示填寫 CA識別信息、證書數(shù)據(jù) 庫設(shè)置等信息后完成證書頒發(fā)機構(gòu)的安裝注：企業(yè)根CA和獨立根CA都是證書頒發(fā)體系中最受信任的證書頒發(fā)機構(gòu)，可以獨立地頒發(fā)證書。企業(yè)根 CA需要Active Directory 支持，而獨立根 CA不需要。從屬 級的CA由于只能從另一證書頒發(fā)機構(gòu)獲取證書，所以一般不被選擇。 而創(chuàng)立根主要用于外部網(wǎng)的CA,在安裝后不能增加證書模板，不能頒發(fā)智能卡證書， 所以我們這里不選擇獨立根CA。啟動“證書頒發(fā)機構(gòu)”,啟動證書模板對話框（圖 7）圖7:配置CA服務(wù)器圖8:配置CA服務(wù)器選擇智能卡用戶，智能卡登錄，注冊代理，注冊代理（計算機）等策略，后選擇“確 定”按鈕

37、，返回到證書頒發(fā)機構(gòu)（圖 9）。H件（D除作加苫專m科助M口 回函國球西目異于壯機的建Hi曼邦微映的回智匏K.盲臬客黑胎正智能F理杲_|用犧郭江書“哥昧用戶良至里子部#,富尸結(jié)54足芍gE書季,_|例土的江恰溟注冊歸理計皙機）中話K59_|并組的叩清L9注冊十連iiB鼻申請代建口欠的的0漕“目錄電子郵片型制目神坐電孑郵葉復(fù)ml應(yīng)缸戈利蚌耳他驪江至本1FS 腦博理河崗的計算出用戶用從號匕倒妄機杓 惚|泥萩州匹客贏比工姐國步必打，智能十窘制 范件時際單又BEN井三蔚客戶通冊金,版懸靛證服工匹骯證客戶拓船正t（e文件手小.安寶木子郵件.害戶若i有期 et信任訴至名，如密K件-一圖9:配置CA服務(wù)器我

38、們看到我們新增加的證書模板，已經(jīng)位于證書模板中了，完成 CA中心的配置。注：智能卡登錄功能有客戶端驗證，智能卡登錄。智能卡用戶比智能卡登錄多了安全電子郵件的功能， 注冊代理是以用戶的帳號來申請注冊代理證書，而注冊代理（計算機）是以用戶的計算機來申請注冊代理證書。申請注冊代理證書Windows Server 2003為了安全起見，要求頒發(fā)智能卡證書必須通過注冊代理站來 頒發(fā)，不允許隨意頒發(fā)智能卡證書，注冊代理站需要使用注冊代理證書，所以必須先申請注冊代理證書，我們下面來申請注冊代理證書運行mmc程序進(jìn)入控制臺管理，啟動添加獨立管理單元對話對話框（圖 10、11）文心型操作篦者吞齒吐御苦世定口居1

39、景物第M7圖9:配置CA服務(wù)器圖10:配置CA服務(wù)器選擇“證書”，選擇“添加（A）”按鈕后，根據(jù)系統(tǒng)提示完成證書管理單元選擇。在控制臺管理界面，選擇“證書-當(dāng)前用戶”，選擇“個人”，點擊鼠標(biāo)右鍵，選擇“所有證書（K）”，選擇“申請新證書”，進(jìn)行證書類別選擇（圖 11、12、13）口w：產(chǎn)舊褥慘古音帝品h也I至m出吳司u正果告金單元漫巖裂單元將贛探為下丸幡尸司如書:行武的用戶於三i仃X；.疑 洎 黃寶 I 拜1學(xué)林他布小中書M*用 盟無|!江仃江江第葡電 一-醫(yī)可0電總至患&取晶帳戶r itHO?”按鈕，根據(jù)系統(tǒng)提示填寫出現(xiàn)證書的名 稱和描述等信息完成注冊代理證書的申請安裝指紋KEY驅(qū)動程序及硬

40、件要在計算機上使用指紋 KEY,必須要安裝指紋的驅(qū)動程序， 才可以訪問指紋 KEY, 下面我們來安裝指紋 KEY的驅(qū)動程序。運行指紋KEY驅(qū)動安裝程序，根據(jù)系統(tǒng)提示完成驅(qū)動程序的安裝。注意：在安裝驅(qū)動時不要將指紋KEY插在計算機的USB接口上。驅(qū)動安裝完成后需要重新啟動計算機。在計算機重新啟動后，將指紋 KEY插入到 計算機的USB接口，出現(xiàn)找到新硬件根據(jù)系統(tǒng)提示完成指紋KEY硬件的安裝。用戶營理工具完成指紋KEY的安裝后，桌面將出現(xiàn)用戶管理工具，利用用戶管理工 具可以完成指紋 KEY的初始化，同時狀態(tài)欄會出現(xiàn)指紋KEY的監(jiān)視器出。初始化指紋KEY要利用指紋KEY進(jìn)行“指紋+數(shù)字證書”雙因子認(rèn)

41、證域登錄，首先要在指紋 KEY 中存放證書，必須先對指紋KEY進(jìn)行初始化后，才能存儲證書，我們下面就對指紋 KEY 進(jìn)行初始化。選擇“指紋管理”,出現(xiàn)指紋管理初始化界面（圖14)運行利用“登記指紋”進(jìn)行用戶指紋采集，完成初始化設(shè)置。申請智能卡證書運行Internet Explorer ,在地址中輸入 HYPERLINK http:/IPADDS/certsrv http:/IPADDS/certsrv ,出現(xiàn)證書服務(wù)頁面 （圖15、16)X圖15:巾請智能卡證書x i=z-d 3.C! 11 ljLL*r er文件內(nèi) 編轉(zhuǎn)P 查若w 蚊寤兇 工具8 融財切Q廚1 * ）,目面心| : Hi毒3

42、H跖朗既壯陽|W配4./九班抬*, ,1M幾a/ &3wT El smu福槌附fjicroifri* ll韋屬當(dāng) 一 siJirl: elrCA王良ml歡迎使用此應(yīng)站的您的Web崗覽器，池子部件客戶器或其他程序申請一個證書.通過使用證書.先間以向評討 值匕通信的人翎認(rèn)您的身份，簽署并加室郵件，并且，根將您申請的泣弓險相，執(zhí)行其他箕全曲.恩也可以使用此網(wǎng)站載證書或物L(fēng)何C城證書，葩書鏈.或證書咕名則表（CELL玉查看桂起的申請的狀 怒口育美t工書艇張附件用信息，請蓼閱理書臟作文檔.球祥一個在勢：申請一個任書查看欄超附證書3清的狀忐下卦，一不飛證力.羊方或ELZ11II 廠I 1。宿疳咕點二圖16

43、:申請智能卡證書選擇申請一個證書，選擇選擇“高級證書申請”，進(jìn)行高級證書申請（圖17）圖17:申請智能卡證書選擇“通過使用智能卡證書注冊站來為另一個用戶申請一個智能卡證書”，出現(xiàn)智能卡證書注冊站（圖 18）圖18:申請智能卡證書選擇證書模板為“智能卡用戶,選擇加密服務(wù)提供程序為：“IdeaBank CryptographicService Provider V1.0 ，選擇用戶后，選擇“注冊”按鈕，出現(xiàn)輸入用戶指紋的對話框 用于驗證用戶身份。此時在指紋KEY上采集剛才初始化時采集的指紋。致此完成智能卡證書申請，可以進(jìn)行“指紋+數(shù)字證書”雙因子認(rèn)證的域登錄。使用指紋KEY進(jìn)行域登錄現(xiàn)在我們已經(jīng)將數(shù)字證書存儲在指紋KEY中了，我們開始使用指紋KEY來進(jìn)行“指紋+數(shù)字證書”雙因子認(rèn)證域登錄。錄出現(xiàn)系統(tǒng)登錄窗口時插入指紋KEY （圖19）。圖19:系統(tǒng)登錄窗口插入指紋KEY后出現(xiàn)PIN碼輸入窗口，此時不需要輸入任何數(shù)據(jù)直接按回車鍵, 會出現(xiàn)指紋采集窗口，然后根據(jù)指紋KEY上面的指示燈提示采集指紋。指紋驗證通過后系統(tǒng)完成“指紋 +數(shù)字證書”的雙因子認(rèn)證域登錄。域安全策略設(shè)置Windows Server 2003 提供了對于智能卡移除的策略，您可以在“域安全策略設(shè)置”（圖20）當(dāng)中選擇當(dāng)智能卡移除時“鎖定計算機”或“強制注銷” ，這樣來達(dá)到當(dāng)您臨時離開計算機