Chứng thực đa hệ số trong Windows - Phần 2: Chuẩn bị các thiết bị cho XP
và Windows 2003
Ngu
ồn : quantrimang.com 
Martin Kiae
r
Tại sao bạn cần một CSP client

Trong bài báo trước, chúng tôi đã bảo đảm rằng chip OS trên thẻ thông minh là
hoàn toàn tương thích với CSP mà bạn muốn sử dụng. Trước khi bắt đầu với
một ví dụ về triển khai, chúng tôi sẽ giới thiệu cho các bạn CSP là gì và tại sao
nó lại là một thành phần quan trọng đến vậy khi làm việc với việc chứng thực đa
hệ số trong Windows.

Cơ bản mà nói, Cryptographic Service Provider (CSP) là mộ
t bộ phận phần mềm
nằm ở giữa thiết bị bảo mật và hệ điều hành Windows. Hình 1 bên dưới thể hiện
nó trong Windows XP và Windows Server 2003:

Hình 1: Role của CSP trong Windows XP và Windows Server 2003
Như những gì bạn thấy trong hình trên, việc truyền thông giữa một ứng dụng sử
dụng chứng thực đa hệ số và thiết bị mật được thực hiện thông qua các chức
năng CryptoAPI. Một số hãng có chứ
c năng và các tính năng nâng cao khác
trong chính CSP của hãng, một số khác lại lợi dụng chức năng và tính năng đã
có sẵn trong Windows. Đây là một khái niệm quan trọng mà bạn cần phải hiểu, vì
nó chính là những điểm khác nhau giữa Windows XP / Server 2003 và Windows
Vista / Server 2008, và chúng tôi sẽ giải thích rõ hơn trong bài tiếp theo của loạt
bài này.

Ví dụ, các phiên bản Windows hiện được hỗ trợ bởi Microsoft có các hỗ trợ kèm

Gộp một chính sách bảo mật đã được kích hoạt khi người dùng nhập vào
mã pin của họ để truy cập vào các nội dung trên thẻ thông minh.
•
Tạo một CSP client có thể dễ dàng được cài đặt trên các máy tính hoặc
máy chủ trong môi trường doanh nghiệp.
Để giúp thực hiện các yêu cầu được liệt kê ở trên, chúng tôi sẽ sử dụng một sản
phẩm của SafeNet có tên gọi là “Borderless Security”. Chúng tôi không muốn tập
trung vào bản thân ứng dụng mà chỉ sử dụng nó để trình bày nguyên lý đằng sau
thực thi thẻ thông minh, chính vì vậy bạn có thể có được ý tưởng về cách cấu
hình một CSP của nhóm thứ ba cho gi
ải pháp chứng thực đa hệ số của mình.
Với tất cả các thông tin trên, chúng ta hãy bắt đầu đi vào ví dụ của mình.

1. Chúng ta đã cài đặt ứng dụng SafeNet Borderless trên một máy chủ và chuẩn
bị tạo và cấu hình một CSP client cho các máy tính sử dụng Windows XP và
Windows Server 2003.

2. Chúng ta bắt đầu giao diện quản lý với SafeNet Borderless Security. Thứ đầu
tiên cần thực hiện đó là liên kết PKI tồn tại với giải pháp thẻ thông minh của
mình. Đây là bước rất quan trọng trong ví dụ của chúng ta, vì sẽ sử dụng các
chứng chỉ để chứng thực khi đưa ra và cấu hình các thẻ thông minh cho người
dùng trong hạ tầng cơ sở. Một giả
i pháp thẻ thông minh điển hình trong cơ sở hạ
tầng của Microsoft cần có một PKI đề cung cấp các chứng chỉ với cặp khóa riêng
và công để có thể ánh xạ hóa tài khoản trong Active Directory. Tuy vậy bạn cần
phải chú ý rằng mỗi một PKI lại không được yêu cầu nhất thiết khi thực thi giải
pháp này, và điều này phụ thuộc vào giải pháp CSP của nhóm thứ ba. Một số
hãng có hỗ trợ vấn đề bả
o mật bằng mật khẩu đối với nội dung được lưu bên
trong chip bảo mật. Các chứng chỉ rất hữu ích bao gồm việc nó cho phép chúng

CSP client có các thiết lập từ các bước trước. Với SafeNet Bordless Security,
chúng ta có nhiều tùy chọn để có thể được cấu hình. Hãy xem hình 5,6 và 7 để
biết một số tùy chọn có thể có trong CSP client của bạn.