14、用户认证与资源安全策略全解析

用户认证与资源安全策略全解析

1. 用户认证策略规划

在网络中创建用户并将其分组以方便管理后，接下来就要考虑用户认证策略了。通常，认证策略涉及到密码的相关决策，例如谁来控制密码、密码长度要求以及密码的有效期等。不过，用户名和密码并非网络用户认证的唯一方式。

1.1 智能卡认证策略规划

智能卡正日益成为登录过程的一部分，相较于传统的用户名和密码认证方式，它通常提供了更强大的安全机制。用户名和密码认证方式相对薄弱，他人可能通过猜测或窃取你的登录凭证来使用你的账户。而智能卡登录采用了“双层”安全架构：
- 物理层 ：必须有实体设备——智能卡。
- 逻辑层 ：用户在进行智能卡认证时需要输入个人识别码（PIN）或密码。

这就如同在ATM机取现金一样，只有同时拥有卡片和知道PIN码才能取出钱。如果智能卡被盗，用户会很快发现，因为没有它就无法使用网络资源。

1.2 为用户配置智能卡认证

在决定为网络采用智能卡认证之前，需要确保以下技术准备就绪：
- 确保存在认证机构（CA）层级，CA可以是内部设置的，也可以是外部权威机构。
- 配置CA以颁发智能卡证书。
- 启用智能卡用户、智能卡登录和注册代理证书模板的安全权限，允许智能卡用户注册证书。
- 安装智能卡注册站，这是一台配备智能卡读卡器的计算机，为在该系统上设置智能卡的用户还需要注册代理证书。
- 在使用智能卡认证的每台计算机上安装智能卡读卡器。

设置智能卡认证的具体步骤如下：
1. 以将使用智能卡认证的