我想使用带有PKI证书的智能卡(或USB密码令牌)进行手动授权。这个是可能的吗?
我想把一个文件(例如一个字文件,甚至一个简单的文本文件)放入智能卡。我也想把PKI证书放进智能卡。我把这张智能卡发给一个用户。文本文件或word文档详细说明了用户的权限。用户将卡片交给可以从智能卡获取文件并读取它的人。他把智能卡交给他的人在他的信任商店里有我的(发行者的)证书,所以这个人可以验证这个证书是否值得信任。这个信托可以转让吗?也就是说,该人是否可以假定该文件也来自我&没有被篡改?
编辑:或者,我可以在证书本身中使用一些字段来放置文本信息--这可以确保数据不能被篡改。在X.509证书中是否有任何字段,例如,在生成证书时可以添加10行文本信息?
发布于 2014-04-10 09:18:23
是的,据我所知,这是可能的。在X509中,您可以使用SAN (Subject alternative name)值来指定免费元数据--例如,如果它是用户名、密码,则可以命名它。
这在用于个人身份验证的企业解决方案中得到了广泛的应用,它可以与SCEP服务器集成,以获得更方便的使用。
发布于 2014-04-07 13:22:20
您正在尝试使用用于身份验证的物理设备进行授权。这很少奏效。
智能卡用于对用户进行身份验证,因为它包含一个私钥,该私钥仍由所有者独占使用。证书是一种分发公钥与所有者身份之间的链接的方法;它是由CA签名的,因此传输此链接信息的物理介质不重要;在实践中,证书也存储在卡上,因为证书在使用该卡时最有用,因此这是一个很好的安置。但是,证书也可以通过其他方式分发,例如,大型公共LDAP服务器(在历史上,X.509证书是以这种方式分发的)。
所有这些都不能告诉任何人允许密钥所有者做什么;它只给出了一个人的身份的一些保证(不是“什么”,而是“谁”)。
在给定的系统中,一旦确定了请求者的身份(即身份验证部分),就必须决定是否应该授予接收的请求。第二部分叫做授权。这里真正重要的要点如下:
由于这些原因,你想要做的事情看起来是个坏主意。然而,糟糕并不能阻止一个想法成为标准化。不过,我从未见过“属性证书”真正被很好地利用的情况。
在一个更偶然的飞机上,通常的智能卡不能嵌入大量的公共数据。2 kB证书是可以的,但是一个300 kB Word文件是不合适的。
发布于 2014-04-07 07:44:20
我想知道我是不是遗漏了什么,但是为什么文本文件必须驻留在智能卡上呢?
如果您的目标是以签名文件的形式提供用户权限的证明,无论是谁“授权”用户都应该用他们的证书在文件上签名。(当然,如果智能卡是这样发出的,那么它们的私钥可以放在智能卡上,但是智能卡不需要与文件一起显示)。
然后,可以将签名文件传输到任何媒体,并由具有相应CA证书的任何人验证签名。
在您的场景中,被评估的用户不需要提供任何东西,只需要提供数字签名的文档(可能嵌入了照片,或者其他一些方法来证明他们是被引用的人)。
https://security.stackexchange.com/questions/54987
复制相似问题