智能卡技术参考

智能卡技术参考介绍了物理智能卡的 Windows 智能卡基础结构,以及与智能卡相关的组件在 Windows 中的工作方式。 本文档还包含信息技术 (IT) 开发人员和管理员可用于在企业中排查、调试和部署基于智能卡强身份验证的工具的信息。

受众

本文档介绍 Windows 智能卡基础结构的工作原理。 若要了解此信息,应基本了解公钥基础结构 (PKI) 和智能卡概念。 本文档适用于:

  • 计划在其组织中部署或使用智能卡的企业 IT 开发人员、经理和员工。
  • 编写智能卡微型驱动程序或凭据提供程序的智能卡供应商。

什么是智能卡?

智能卡是防篡改的便携式存储设备,可增强客户端身份验证、签名代码、保护电子邮件以及使用 Windows 域帐户登录等任务的安全性。

智能卡提供:

  • 防篡改存储,用于保护私钥和其他形式的个人信息
  • 从计算机的其他部分隔离涉及身份验证、数字签名和密钥交换的安全关键型计算。 这些计算是在智能卡
  • 在工作、家庭或路上的计算机之间可移植凭据和其他私人信息

智能卡只能用于登录到域帐户,不能登录到本地帐户。 当你使用密码以交互方式登录到域帐户时,Windows 使用 Kerberos 版本 5 (v5) 协议进行身份验证。 如果使用智能卡,则操作系统使用带有 X.509 v3 证书的 Kerberos v5 身份验证。

引入虚拟智能卡是为了缓解对物理智能卡、智能卡读取器以及该硬件的相关管理的需求。

警告

Windows Hello 企业版和 FIDO2 安全密钥是适用于 Windows 的新式双因素身份验证方法。 建议使用虚拟智能卡的客户迁移到 Windows Hello 企业版 或 FIDO2。 对于新的 Windows 安装,建议Windows Hello 企业版或 FIDO2 安全密钥。

此技术参考

此参考包含以下主题: