智能卡增强解决方案

客户端验证

为了建立安全通信通道，客户端认证涉及到客户端到服务器的识别和验证。安全协议(如安全套接字层)（SSL）或传输层的安全性（TLS））通常与客户端提供的可信公钥证书一起使用，将客户端识别到服务器上。在Windows平台上运行的Internet可以是客户端 Explorer，Internet信息服务器（IIS）或支持SSL / 其它Web服务器TLS。

安全会话是通过使用密钥交换的公共密钥认证来建立的，以获得唯一的会话密钥，然后可以用来保证整个会话中数据的完整性和机密性。您可以通过将证书映射到具有先前建立的访问控制权的用户或组帐户，以实现额外的身份验证。该智能卡通过安全存储作为私钥材料和加密引擎进行数字签名或密钥交换来增强公钥认证过程。

智能卡登录

在过去，交互式登录意味着用户可以通过使用共享凭证（如散列密码）将用户认证到网络。 Windows 2000支持公钥交互登录，并使用存储在智能卡上的X.509版3证书和私钥。代替密码，用户识别和认证图形（GINA）PIN码输入模块； PIN用于向用户认证卡。

使用智能卡登录网络提供了一种强大的身份验证形式，因为它使用基于密码学的身份证明和拥有证书来识别用户到域。

例如，如果恶意人员获得用户密码，那么该人可以使用密码来承担用户在互联网上的身份。许多人选择容易记住的密码，这使得密码本身非常弱，并且可以攻击。

在智能卡的情况下，同样恶意的人将不得不同时获得用户的智能卡和PIN来伪造用户。由于需要额外的信息层来模拟用户，这种组合使得攻击更加不可能。一个额外的好处是，在PIN码连续输入多次错误后，智能卡被锁定，使得智能卡的字典攻击非常困难。 (请注意，PIN不需要一系列数字，也可以使用其他字母数字字符)对智能卡的攻击不会被检测到，因为恶意人员必须拥有他或她拥有的智能卡的合法所有者会注意到它丢失了。

在智能卡登录过程中，用户的公共密钥证书通过安全处理从卡中检索，并将其验证为有效，并从值得信赖的发行人那里获得。在认证过程中，将包含在证书中的公钥挑战发布到卡上，以验证卡确实拥有并能够成功使用相应的私钥。公钥 - 私钥验证成功后，证书中包含的用户身份将被引用并存储在Active中 Directory中的用户对象构建令牌，并将授权票据返回客户端（TGT）。Microsoft已经登录了公共密钥 Internet Explorer 510Microsoft实施与Internet工程任务组（IETF）草案RFC 1510中指定的公钥扩展兼容。