客戶端驗證

為瞭建立安全通信通道，客戶端認證涉及到客戶端到服務器的識別和驗證。安全協議（如安全套接字層）（SSL）或傳輸層的安全性（TLS））通常與客戶端提供的可信公鑰證書一起使用，將客戶端識別到服務器上。在Windows平臺上運行的Internet可以是客戶端 Explorer，Internet信息服務器（IIS）或支持SSL / 其它Web服務器TLS。

安全會話是通過使用密鑰交換的公共密鑰認證來建立的，以獲得唯一的會話密鑰，然後可以用來保證整個會話中數據的完整性和機密性。您可以通過將證書映射到具有先前建立的訪問控制權的用戶或組帳戶，以實現額外的身份驗證。該智能卡通過安全存儲作為私鑰材料和加密引擎進行數字簽名或密鑰交換來增強公鑰認證過程。

智能卡登錄

在過去，交互式登錄意味著用戶可以通過使用共享憑證（如散列密碼）將用戶認證到網絡。 Windows 2000支持公鑰交互登錄，並使用存儲在智能卡上的X.509版3證書和私鑰。代替密碼，用戶識別和認證圖形（GINA）PIN碼輸入模塊； PIN用於向用戶認證卡。

使用智能卡登錄網絡提供瞭一種強大的身份驗證形式，因為它使用基於密碼學的身份證明和擁有證書來識別用戶到域。

例如，如果惡意人員獲得用戶密碼，那麼該人可以使用密碼來承擔用戶在互聯網上的身份。許多人選擇容易記住的密碼，這使得密碼本身非常弱，並且可以攻擊。

在智能卡的情況下，同樣惡意的人將不得不同時獲得用戶的智能卡和PIN來偽造用戶。由於需要額外的信息層來模擬用戶，這種組合使得攻擊更加不可能。一個額外的好處是，在PIN碼連續輸入多次錯誤後，智能卡被鎖定，使得智能卡的字典攻擊非常困難。 （請註意，PIN不需要一系列數字，也可以使用其他字母數字字符）對智能卡的攻擊不會被檢測到，因為惡意人員必須擁有他或她擁有的智能卡的合法所有者會註意到它丟失瞭。

在智能卡登錄過程中，用戶的公共密鑰證書通過安全處理從卡中檢索，並將其驗證為有效，並從值得信賴的發行人那裡獲得。在認證過程中，將包含在證書中的公鑰挑戰發佈到卡上，以驗證卡確實擁有並能夠成功使用相應的私鑰。公鑰 - 私鑰驗證成功後，證書中包含的用戶身份將被引用並存儲在Active中 Directory中的用戶對象構建令牌，並將授權票據返回客戶端（TGT）。Microsoft已經登錄瞭公共密鑰 Internet Explorer 510Microsoft實施與Internet工程任務組（IETF）草案RFC 1510中指定的公鑰擴展兼容。