随着信息技术的飞速发展,系统安全成为越来越重要的一个问题,受到人们的广泛关注。而身份认证技术作为保证系统安全的第一道屏障,起着至关重要的作用。传统的Windows身份认证机制是基于用户名/密码方式的认证,这就存在口令易被猜测、截获以及冒用身份等一系列安全隐患。而目前我国没有自主知识产权的通用操作系统,所以对Windows的身份认证机制进行研究和改进,对于增强系统安全是很有必要并且有着重要意义的。Windows操作系统在登录安全上提供了基于第三方智能卡的认证方式,这种方式相比较传统的用户名/口令认证方式在安全性上有极大提高。在文章中,我们使用中铁信安公司研发的智能卡设备,并利用Windows的CA系统颁发的证书完成了用户智能卡登录域控制器的方案设计,该方案具有相当的普适性,在很多企事业单位、政府机关的局域网络环境均有较高的实用价值,它成为一种具有典型意义的Windows局域网安全登录方案。本文首先介绍了Windows 2000安全子系统的原理,模型和组件间的相互作用。重点描述了访问控制原理和算法。接着,我们还介绍了Kerberos协议的原理和应用。然后,我们详细介绍了Windows 2000登录流程和身份认证的实现。我们注意到,Windows域服务还支持另一种域登录的验证方式,这就是通过智能卡登录。智能卡是一种具有微处理器及内嵌操作系统的设备,作为支持Windows域登录来说,它还需要支持微软的标准PC/SC智能卡软件标准,并且必须提供微软授权的CSP程序。另外,使用基于智能卡的域登录往往是通过证书认证方式实现域用户的身份验证,因此,必须建立一套能与域控制器相结合的CA系统,并能通过智能卡颁发签名证书,用户利用这样的智能卡就能成功的进行基于智能卡的域登录验证。然后,我们说明如何实现自定义的EpGina.dll模块来提供了一种基于USB Key的身份认证机制。这里我们将使用中铁信安(北京)信息安全技术有限公司研制的CopLock-Key-Key智能卡设备。最后介绍了整个系统的架构和方案的实现流程,并给出了系统的一些特点,展望下一步的工作。