고유 인증서 인증 및 REST 서비스

Question

모바일 장치 클라이언트가 시스템에서 사용하는 서비스에 대한 액세스 권한을 부여 받기 전에 인증서로 인증되어야하는 시스템에 인증서 인증 체계를 구현하기위한 정보를 수집하고 있습니다. 신뢰할 수있는 사용자에게 고유 한 인증서를 발급 할 수있는 가능한 솔루션을 찾고 있는데, 다른 인증서와 함께 모바일 장치에서 사용할 수 있습니다.

특히, Android 응용 프로그램과 같이 클라이언트 응용 프로그램과 같은 모바일 응용 프로그램에서 사용하는 WCF REST 서비스가 있으며 클라이언트의 인증서가 올바른지, 유효한 사용자 자격 증명이 있는지 확인해야합니다 사용자가 제공합니다. 또한이 경우의 보안은 중요하며 높은 관심사입니다.

내 질문에 방금 설명한 것과 같은 시나리오에서 고유 인증서 인증을 구현하고 보안을 중요시 할 수 있습니까? 그렇지 않은 경우,이를 달성하기위한 다른 대안 또는 최선의 방법은 무엇입니까?

또한 PIV/CAC 카드에 사용되는 개별 발행 인증서의 경우 모바일 장치를 사용하여 인증을 위해 이러한 인증서를 활용할 수있는 방법이 있습니까?

Answer 1

이러한 성격의 보안은 언제나 다루기 어려운 문제입니다. 이런 성격의 주된 방법 중 하나는 먼저 키 시스템을 구축하기 위해 diffie hellman 키 교환을 사용하는 것입니다. 각 사용자는 고유 한 키를 가지며 초기 핸드 셰이크 만 프로세스 집중적 인 작업을 수행합니다. 그런 다음, 인증 할 때마다 키를 검증하기 위해 임의의 수의 암호화 알고리즘을 실행할 수 있습니다.

이렇게하면 키를 보내기 전에 먼저 키를 설정하는 방법과 모바일 클라이언트 측에서 키를 만드는 데 사용할 수있는 고유 한 정보를 묻습니다. 이렇게하면 회색 경로가 생깁니다. 이렇게하려면 여러 가지 방법이 있으며 모두 자체적으로 고려해야하기 때문입니다. 예를 들어 Android OS의 기본 아키텍처를 사용하여 휴대 전화의 고유 ID를 얻거나 Google이 원래의 키에서 해시로 사용할 계정 ID를 재생할 수 있습니다. 그러나 diffie hellman은 익명 성이 있으므로 키를 교환하기 전에 먼저 사용자를 인증 할 방법이 필요합니다. 이후에는 서명 된 요청을 사용할 수 있습니다.

기본적으로 이것은 주어진 리소스를 활용하여 잘 생각해야하는 보안 영역을 파헤 치며 모바일 플랫폼에 있다는 것을 알기 때문에 집중적 인 암호화 알 고리가 없음을 의미하는 CPU주기를 낮게 유지해야합니다. 위의 방법은 구현할 수있는 솔루션 중 하나입니다.

또한 Android 애플리케이션을 개발하는 경우 푸시를 통해 애플리케이션 인터페이스를 통해이 인증을 쉽게 수행 할 수 있습니다. 기본적으로 인증서를 액세스를 취소하거나 취소하는 애플리케이션에 푸시 할 수 있으므로 가장 간단한 경로 여야합니다. 만약 당신이 Symbian OS에서 이것을 사용하고 싶다면 위에서 설명한 것과 같이 더 많은 작업을해야 할 것입니다. 또한 기본적으로 사인 온을 요구하고 전체 암호화가 아닌 키 서명 시스템에 대한 오버 헤드는 너무 어려워서는 안되지만 크로스 플랫폼을 구현하는 것이 까다로울 수 있습니다.

희망은 앞으로의 연구와 아이디어를위한 출발점이됩니다.