用智能卡构建身份验证的马其诺防线：ISA2006系列之二十三

核心提示：在前面的博文中我们已经介绍了如何用ISA2006构建VPN服务器，以及如何利用Radius服务器负责处理VPN的身份验证，用智能卡构建身份验证的马其诺防线：ISA2006系列之二十三，今天我们要更进一步，用智能卡实现更安全的用户身份验证，智能卡就将被锁定，而且丢失了智能卡后还可以及时通知管理员作废智能卡上的证书，我们知

在前面的博文中我们已经介绍了如何用ISA2006构建VPN服务器，以及如何利用Radius服务器负责处理VPN的身份验证，今天我们要更进一步，用智能卡实现更安全的用户身份验证。我们知道，传统的用户名/口令的身份验证方法不够安全，存在被人窃听的危险，尤其是公司的VPN用户从外网进行访问，安全环境更不容易得到保证。如果我们在VPN客户机上使用智能卡进行身份验证，就可以很好地解决这个安全问题。

智能卡(SmartCard)是一个带有微处理器和存储器等微型集成电路芯片、具有标准规格的卡片。智能卡遵循的ISO7816标准规定了智能卡的外形、厚度、触点位置、电信号、协议等。一般应用于PKI的智能卡，都带有硬件真随机数发生器、RSA协处理器，可以硬件实现RSA的运算。另外，还具有DES和SHA-1等密码算法，保证在硬件内部产生密钥对，并在硬件内部完成加、解密运算。

因此，从上面的介绍来看，智能卡不仅是个存储设备，智能卡更接近于一台计算机。智能卡对加密解密可以进行很好的硬件支持，而且本身的抗攻击能力也很强，例如可通过总线分层、芯片平坦化、平衡能耗、随机指令冗余等技术抗拒时钟抖动，物理篡改等攻击方法。

这样我们就有了一种新的身份验证思路，用户验证时不再使用用户名和口令，而是利用用户证书来进行验证。为了保证证书的安全，我们再把证书集成到智能卡中！这样用户在进行身份验证时只要插入自己的智能卡然后输入智能卡的PIN码就可以了，由于不需要输入用户名和口令，大大减少了泄密的可能性。即使智能卡丢了也问题不大，因为智能卡有PIN码保护，一旦输错规定次数的PIN码，智能卡就将被锁定，而且丢失了智能卡后还可以及时通知管理员作废智能卡上的证书，这样就可以更好地防止有人利用非授权的智能卡闯过身份验证这一关。