《实验1智能卡登录.doc》由会员分享,可在线阅读,更多相关《实验1智能卡登录.doc(40页珍藏版)》请在金锄头文库上搜索。
1、实验1 智能卡登录一、实验目的 掌握智能卡登录的原理; 掌握智能卡登录的操作方法。二、实验原理智能卡(SmartCard)是一个带有微处理器和存储器等微型集成电路芯片、具有标准规格的卡片。ISO 7816标准规定了智能卡的外形、厚度、触点位置、电信号、协议等。一般应用于PKI的智能卡都带有硬件真随机数发生器、RSA协处理器,可以硬件实现RSA的运算。另外,还具有DES和SHA-1等密码算法,保证在硬件内部产生密钥对,并在硬件内部完成加、解密运算。因此,智能卡不仅是个存储设备,它更接近于一台计算机。智能卡对加密、解密可以提供很好的硬件支持,而且本身的抗攻击能力也很强,例如可通过总线分层、芯片平坦
2、化、平衡能耗、随机指令冗余等技术抗拒时钟抖动、物理篡改等攻击方法。基于智能卡可以设计一种新的身份验证思路:用户验证时不再使用用户名和口令,而是利用用户证书来进行验证。为了保证证书的安全,可把证书集成到智能卡中。用户在进行身份验证时只要插入自己的智能卡,然后输入智能卡的PIN码就可以了。由于不需要输入用户名和口令,大大减少了泄密的可能性。即使智能卡丢了也问题不大,因为智能卡有PIN码保护,一旦输错规定次数的PIN码,智能卡就将被锁定,而且丢失了智能卡后还可以及时通知管理员作废卡上的证书,这样就可以更好地防止有人利用非授权的智能卡闯过身份验证这一关。三、实验环境本实验将设计图1所示的场景来验证上述
3、设想。Denver是的域控制器、DNS服务器、CA服务器和Radius服务器,Beijing是ISA2006服务器,而且处在工作组环境,Istanbul是外网的一台客户机。我们在实验中使用装载了数字证书的U盘替代智能卡(也可使用专业厂家的产品,如飞天诚信公司出品的Epass1000,USB接口,这种智能卡由于使用了标准的USB接口,因此可以在驱动程序的支持下,把计算机的USB接口当成是智能卡的读卡器,直接把智能卡插入计算机的USB口就可以了。而传统的智能卡是由一个读卡器加上一张智能卡组成的,显然不如这样产品方便)图1 实验场景目前的环境中,我们已经可以具备了下列条件: Denver上安装了企业
4、根CA服务器。注意,这个实验必须要求有企业类型的CA。 所有的实验计算机都信任Denver上的CA服务器。 Beijing上已经配置成了VPN服务器,支持用户用PPTP或L2TP拨入。 Beijing可以利用Denver上的Radius服务器对域用户进行身份验证。四、实验步骤 接下来要做的就是利用CA服务器为一个测试用户颁发证书,再把证书集成到智能卡上,然后利用智能卡在外网的客户机上进行VPN身份验证,具体步骤如下。 Step 1 添加证书模板首先对CA服务器进行配置,让CA服务器可以对智能卡所需要的证书提供支持。需要做的是在证书模板中添加智能卡验证所需要的模板(如图2所示),在Denver的
5、管理工具中打开证书颁发机构,选择新建“要颁发的证书模板”。图2 在证书模板中添加智能卡验证所需要的模板如图3所示,我们添加了四个证书模板,分别是“智能卡用户”、“智能卡登录”、“注册代理”、“注册代理(计算机)”,点击“确定”结束证书模板的添加。图3 添加了四个证书模板Step 2 申请注册代理证书在Windows Server 2003的CA服务器中,如果要为智能卡用户申请证书,那么智能卡管理员必须先拥有一个注册代理证书。有了这个注册代理证书后,才有资格为其他用户申请智能卡证书,显然这是为了防止随意颁发智能卡证书而导致安全隐患。要申请注册代理证书,确保在Denver上是以域管理员身份登录,然
6、后运行MMC(如图4所示),添加一个证书管理单元。图4 添加一个证书管理单元选择使用定制的证书管理单元管理用户账号中的证书,如图5所示。图5 选择证书管理单元如图6所示,在用户证书管理工具中切换到个人证书,选择“申请新证书”。图6 用户证书管理工具出现证书申请向导,选择“下一步”。申请的证书类型选择“注册代理”。如下图所示,为申请的注册代理证书取个名字以及进行简单描述。点击“完成”结束申请。如下图所示,administrator已经获得了CA颁发的注册代理证书,接下来administrator就有资格为智能卡用户颁发证书了。Step3 为智能卡用户申请证书接下来,就可以为智能卡用户申请证书了。
7、我们创建了一个智能卡测试用户vpnuser,下面就来看看如何为这个用户申请智能卡证书。在Denver的浏览器中输入http:/denver/certsrv,如下图所示,选择“申请一个证书”。选择提交一个高级证书申请。选择“通过使用智能卡注册站来为另一用户申请一个智能卡证书”。如下图所示,我们在证书模板中选择“智能卡登录”。注意,模板中的“智能卡用户”一般用于配合Outlook 2003实现邮件加密。加密程序选择使用Epass1000智能卡上集成的加密芯片完成,显然是要利用智 能卡中的硬件芯片生成配对的公钥私钥。点击“选择用户”,选择vpnuser作为智能卡证书的颁发对象。完成了所有申请参数后,
8、插入智能卡,点击“申请”。如下图所示,申请证书时智能卡需要输入PIN码验证,输入正确的PIN码后点击“登录”。为用户vpnuser所申请的智能卡登录证书已经成功地存储在智能卡上了。Step4 配置ISA服务器ISA服务器需要配置身份验证协议,ISA服务器默认使用的身份验证协议是MS-CHAPV2,但使用智能卡登录需要使用可扩展的身份验证协议(EAP),如下图所示。在ISA管理器中展开到虚拟专用网络,在右侧的任务面板中点击“选择身份验证方法”。我们选择使用EAP协议对VPN用户进行身份验证,点击“确定”后完成了对VPN服务器的身份验证配置。Step5 配置Radius服务器ISA服务器收到VPN
9、用户发来的身份验证请求后,会把验证请求转到Radius服务器,因此我们接下来需要在Radius服务器上进行配置。一方面要配置Radius服务器支持EAP协议,另一方面要在Radius服务器上申请服务器证书,以便VPN客户机对Radius服务器进行身份验证。1)安装RADIUS服务器首先我们让域控制器做Radius服务器,在域控制器上打开控制面板选择“网络服务”中的“Interent验证服务”,来安装Radius服务器二、配置Radius服务器安装完成后我们来配置一下Radius服务器,如图在Florence上打开Interent验证服务右击“新建Radius客户端”输入一个名称以及客户端的IP
10、地址,因为我们以ISA服务器为客户端,所以这输入ISA服务器内网网卡的IP地址。因为这是微软的软件,所以供应商选择“Microsoft”。设置Radius服务器和客户端的共享密码。Radius服务器和客户端依靠这个密码进行身份验证。就是Radius服务器生成一个随机字符串,然后用这个共享口令加密,接着Radius服务器会把加密后的密文传给客户端,要求客户端对密文解密后再回传给服务器,如果客户端回送的内容和原始的随机字符串一样,那客户端就通过了身份验证。输入完毕后点击“完成”完成客户端的创建。接下来我们启用Radius服务器的远程访问记录,来看看客户端是怎么连接到Radius服务器的,点击“远程
11、访问记录”中的“本地文件”属性勾选“身份验证请求”接着切换到日至选项卡下,日至的存放路径是“c:windowssystem32LogFiles”文件中,创建新日志文件默认的是“每月”,我们改为“每天”。点击确定三、创建ISA访问规则与配置ISA服务器接下来要进行的是创建一条ISA服务器的访问规则。右击“防火墙策略”,选择“访问规则”输入访问规则名称选择“允许”这里我们选择所有的出站通讯点击右上角的“添加”,选择“VPN客户端”,这是访问源地址接下来内部地址我们选择“内部”所有用户点击“完成”,完成ISA服务器访问规则的创建下面我们来配置ISA中的VPN网络,点击VPN选项卡中的“指定RADIU
12、S配置”勾选“使用Radius进行省份验证”和“使用Radius记录”,在选择“RADIUS服务器”选择“添加”来添加一台Radius服务器输入Radius服务器的完全合格域名,接着选择“更改”输入在Radius服务器中预设的密钥,点解确定退出选择地址分配,输入一个IP地址范围,供VPN客户端使用,我们定义为192.168.100.1192.168.100.200在“常规”选项卡中,我们勾选“启用VPN客户端访问”,同时设置允许最大的VPN客户端数量为默认的“100”.,大家注意的是VPN客户端的最大数量不能超过地址池中的地址数。最后应用一下ISA服务器2)申请服务器证书我们在Radius服务
13、器上申请一个服务器证书,这样VPN客户机使用智能卡登录时可以利用这个证书验证Radius服务器的身份,避免登录到了错误的服务器上,提高整体安全性。我们在Denver的浏览器中输入urlhttp:/denver/certsrv /url,如下图所示,选择“申请一个证书“。选择提交一个高级证书申请。选择“创建并向此CA提交一个申请”。选择申请一个Web服务器证书,证书姓名输入,选择把证书保存在计算机存储中。参数填写完毕后,点击“申请”。如下图所示,申请的证书已经颁发,选择安装此证书。2)配置Radius远程访问策略我们在Radius服务器中创建一个新的远程访问策略,在这个策略中配置使用EAP协议验
14、证用户请求。在Denver的管理工具中打开Internet验证服务,如下图所示,选择“新建远程访问策略”。如下图所示,出现远程访问策略创建向导,选择下一步。选择使用向导完成远程访问策略的设置,为策略命名为VPN。远程访问的类型是VPN。授予域中的Domain users组远程访问权限。勾选使用EAP协议,类型选择“智能卡或其他证书”,点击“配置”按钮。点击“配置”按钮后,选择使用刚才申请的证书来证明自己的身份。接下来选择远程访问策略支持的加密级别,我们使用默认设置选择支持所有加密级别即可。点击完成结束新建远程访问策略的创建。Step6 配置VPN拨号连接配置完ISA服务器和Radius服务器后
15、,最后我们来配置VPN客户机Istanbul,让Istanbul在进行VPN访问时使用智能卡验证自己的身份。如下图所示,在Istanbul上双击事先创建好的VPN连接,点击“属性”。在VPN连接的属性中切换到“安全”标签,如下图所示,选择“高级(自定义设置)”,点击“设置”。如下图所示,在高级安全设置中选择使用EAP协议,点击“智能卡或其他证书(启用加密)”的属性。在智能卡或其他证书的属性中选择使用智能卡进行身份验证,勾选“验证服务器证书”,勾选“连接到这些服务器”并输入Denver的IP地址10.1.1.5。在被信任的证书颁发机构中选择Denver创建的CA服务器“ITETCA”。至此终于完成了所有的前期工作,接下来可在Istanbul上测试(如下图所示),双击VPN连接后,Istanbul提示我们插入智能卡。插入智能卡后,可以看到Istanbul已经识别出智能卡上的证书是颁发给vpnu
