Windows的公鑰基礎結構(PKI)增強功能

Windows 從 Windows 2000 版本起即開始為公鑰基礎結構 (PKI) 提供強健的、平臺范圍的支持。該版本包含第一個本機證書頒發(fā)機構功能，引入了自動注冊，并為智能卡身份驗證提供支持。在 Windows XP 和 Windows Server 2003 中，這些功能已得到擴展，可通過版本 2 證書模板提供更靈活的注冊選項，并支持自動注冊用戶證書。在 Windows Vista® 和 Windows Server® 2008(以前的代號為“Longhorn”)中，Windows® PKI 平臺又向前邁了一步，支持高級算法、實時有效性檢查，可管理性也更好。本專欄將討論 Windows Vista 和 Windows Server 2008 中新增的 PKI 功能，以及企業(yè)如何利用這些功能來降低成本和增加安全性。
    Windows Vista 和 Windows Server 2008 中的 PKI 圍繞四個主要核心方面進行了改進：加密、注冊、可管理性和吊銷。除了這些特定功能的改進外，Windows PKI 平臺還受益于其他的操作系統(tǒng)改進(如角色管理器)，這些改進使得創(chuàng)建和部署新的證書頒發(fā)機構 (CA) 更加輕松。另外，Windows 的其他許多部分都能夠利用 PKI 平臺中的改進，如在 Windows Vista 中支持使用智能卡存儲加密文件系統(tǒng) (EFS) 密鑰。
    加密
    對加密服務核心的改進體現(xiàn)在兩方面。首先，通過引進下一代加密技術 (CNG)，Windows 現(xiàn)在提供一種可插入的、協(xié)議不可知的加密功能，此功能使得以編程方式開發(fā)和訪問獨立算法更加輕松。其次，CNG 還新增了對 Suite B 算法的支持，該算法在 2005 年由 National Security Agency (NSA) 引入。
    CNG 是 Microsoft 的一個新型核心加密界面，也是針對將來基于 Windows 和支持加密的應用程序建議使用的 API。CNG 提供了大量的以開發(fā)人員為目標對象的功能，其中包括更方便的算法發(fā)現(xiàn)和替換、可替換的隨機數(shù)生成器和一個內核模式加密 API。提供這些新功能的同時，CNG 還與其處理器 CryptoAPI 1.0 中提供的算法集完全向后兼容。目前，CNG 正在接受通過聯(lián)邦信息處理標準 (FIPS) 140-2 級別 2 認證以及成為所選平臺的通用準則所需的評估。
    CNG Suite B 支持包括所需的所有算法：AES(所有密鑰大小)、SHA-2 系列(SHA-256、SHA-384 和 SHA-512)哈希算法、橢圓曲線 Diffie-Hellman (ECDH) 以及以美國國家標準與技術研究院 (NIST) 標準原始曲線 P-256、P-384 和 P-521 為標準的橢圓曲線數(shù)字簽名算法 (ECDSA)。NSA 已表明，經過認證的 Suite B 實現(xiàn)將用于保護以下類別的信息：Top Secret、Secret 以及過去被描述為 Sensitive-But-Unclassified 的隱私信息。所有 Suite B 算法的開發(fā)都采取公開形式，其他一些政府也在探索嘗試采用 Suite B 算法作為國家標準。
    對 Windows PKI 平臺的這些低級別改進為開發(fā)人員保護數(shù)據提供了更安全的方法，同時還創(chuàng)建了易于維護和隨時間改進的子系統(tǒng)。由于 CNG 是可插入的體系結構，所以可根據需要添加新算法，CNG 會從應用程序層抽象出這些提供程序。最終結果是，Windows Vista 和 Windows Server 2008 的設計旨在為開發(fā)支持 PKI 的應用程序和服務提供高級的可發(fā)展平臺。
    注冊
    Windows 中的證書注冊體驗得到了顯著改善，提供新的基于向導的注冊工具、更佳的證書過期處理、新 API、“代表注冊”功能以及憑據漫游等功能。這些增強功能通過集中管理的方式更加輕松地在企業(yè)范圍內部署證書，降低對用戶的影響，從而降低了 PKI 的總體擁有成本。
    從注冊的角度來看，最顯著的變化就是如圖 1 和 2 中所示的新證書注冊用戶界面。此用戶界面取代了舊的、受限制的用戶界面，舊界面不具備在注冊過程中接受來自用戶的數(shù)據的功能。新界面允許用戶在注冊過程中輸入數(shù)據(如果管理員將證書模板配置為要求在注冊過程中輸入數(shù)據)。該界面還針對用戶可能無法對特定模板注冊的原因進行了清楚的說明。