要支持智能卡登录以实现远程访问 VPN,您的计算机系统需要特定的硬件和软件组件。
有关智能卡部署的规范和要求的更多信息,请参阅 Microsoft TechNet 中的使用智能卡安全访问规划指南(可能为英文),网址为 www.microsoft.com/technet/security/topics/networksecurity/securesmartcards/default.mspx。
智能卡客户端硬件要求
要支持智能卡 VPN 解决方案,要求用户拥有能够运行 Windows XP 的客户端计算机。
此外,用户还需要有智能卡读卡器连接到标准外围接口,如 RS-232 串口、PS/2、PC 卡或通用串行总线 (USB)。
智能卡客户端软件要求
您的远程访问客户端需安装 Windows XP 以支持智能卡 VPN 解决方案。 此外,还建议他们安装 Service Pack 2 (SP2)。
每个客户端计算机需安装支持所选智能卡的加密服务提供程序 (CSP)。 Windows XP 包括支持多个智能卡解决方案的 CSP。 或者,智能卡解决方案供应商将提供 CSP。 CSP 实现以下功能:
•加密功能,包括数字签名
•私钥管理
•客户端计算机的智能卡读卡器与智能卡之间的安全通信
每个客户端计算机都需安装特定智能卡读卡器的设备驱动程序。 设备驱动程序将读卡器的功能映射到 Windows XP 和智能卡基础结构提供的本机服务。 智能卡读卡器设备驱动程序传递卡的插入和取出事件,并提供进出卡的数据通信能力。
连接管理器是 Windows XP 的一个标准功能,用于简化和管理网络、拨号和 VPN 连接。 此外,您还可使用连接管理器管理工具包 (CMAK) 自定义连接管理器配置文件并创建自动配置分发给客户端的 VPN 连接的安装文件。
智能卡部署包括客户端的卡管理软件。 该软件包括智能卡管理、连接和使您能够查看智能卡内容、重置 PIN 和添加附加证书的安全工具。
VPN 服务器硬件要求
VPN 连接在远程访问服务器上放置额外的处理器负载。 而智能卡保护的登录不会明显增加该负载。 处理大量入站连接的 VPN 远程访问服务器需要快速的处理器,最好是配置多处理器,支持高网络吞吐量除外。 使用 IPSec 保护的 VPN 的组织可实施网卡将 IPSec 加密过程卸载到位于网卡上的单独处理器上。
VPN 服务器软件要求
用于智能卡访问的 VPN 服务器软件要求相对简单。 远程访问服务器必须运行 Windows 2000 服务器或更高版本,启用路由和远程访问,且必须支持可扩展身份验证协议-传输层安全 (EAP-TLS)。
EAP-TLS 是一种相互身份验证机制,开发成与安全设备一起使用,如智能卡和硬件令牌。 EAP-TLS 支持点对点协议 (PPP) 和 VPN 连接,并使得能够交换 MPPE 的共享机密密钥,除 IPSec 之外。
EAP-TLS 的主要好处在于其对强力攻击的抵抗和对相互身份验证的支持。 使用相互身份验证,客户端和服务器都必须相互证明它们的身份。 如果客户端或服务器不发送证书来验证其身份,则终止连接。
