CAC 智能卡重新认证答案

【问题标题】：CAC Smartcard ReauthenticateCAC 智能卡重新认证
【发布时间】：2010-12-20 12:30:07
【问题描述】：

我们有一个基于浏览器的应用程序，我们想让用户在输入时重新进行身份验证。因此，当他们访问该 URL 时，我们希望向他们显示 PIN 提示，以便他们必须重新进行身份验证。有没有合理的方法来做到这一点？

添加信息：这是针对 CAC 卡的，工作站上有 ActivIdentity 和 Tumbleweed。此外，如有必要，我可以向工作站添加服务。浏览器都是IE7。 Web 服务器是 IIS 6，页面是用 ASP.NET（大部分）编写的。

【问题讨论】：

请分享这个问题是如何解决的。 :)
@Kevin 我向客户解释说 CAC 卡上的 pin 超时完全独立于浏览器，从而推翻了这个要求。从安全的角度来看，尝试干扰正常运行并不是一个好主意。他们的安全人员同意不必每次都让客户重新输入密码；更好的方法是仅在过期后重新进入。

标签： security authentication smartcard cac

【解决方案1】：

这里涉及到几个不同的软件。

首先是卡片本身。要执行数字签名，CAC 必须处于“已验证”状态，这意味着在插入卡后输入了 PIN。除此之外，卡上的每个钥匙都有一个标志，指示每次使用钥匙时是否必须输入 PIN。我还没有检查，但我认为这是为 CAC 上的“电子邮件”密钥对设置的。因此，您需要找到哪些密钥设置了“始终验证”标志，并将服务上的路径验证器配置为仅接受这些密钥。您可能需要在扩展密钥使用中使用特定的 OID，或者从路径构建中排除一些 DoD 中间证书（也许将它们标记为已撤销）。

与卡通信的机器上的中间件也可以缓存 PIN，并在卡指示它在完成操作之前需要 PIN 时将其提供给卡。我认为 ActivClient 在版本 6 中使用其 PIN 缓存功能执行此操作，但在版本 7 中，此选项似乎已丢失。我在 Windows 内置的 PIV 支持中没有找到类似的东西。这个“功能”可能会危及安全，所以我的猜测是它是被故意删除的，不会有任何注册表黑客或其他方式来恢复行为。这是您无法控制的，除非您管理用户的机器；没有可用于强制输入 PIN 的 HTTP 标头或 TLS 选项。但是，对于较新的系统，这应该不是问题。

在服务器端，必须进行完整的握手才能使客户端执行身份验证。如果存在有效的 TLS 会话，则不会发生客户端身份验证。因此，在请求身份验证之前，您需要找到一种方法使 TLS 会话（不是应用程序会话，它可能与 HTTP cookie 相关联）无效，或者将身份验证请求定向到另一个没有启用会话的接口。

【讨论】：

谢谢 sylvarking，我想我明白你在说什么了。我对服务器和工作站（几百个）都有很多控制权，所以也许我可以在浏览器中做一些事情，导致智能卡需要 PIN？
没错。如果您管理工作站，您可能能够将所有读卡器软件配置为更频繁地提示输入 PIN。例如，我使用 ActivClient 作为读卡器软件。它实际上是弹出对话框以询问 PIN 码，并且有一个设置可以控制用户需要多久重新输入一次。
我很幸运能找到具有 ActivIdentity Experience 的人。您的回复促使我查看以前从未见过的 PIN 缓存服务。我可以看到 12 个属性，其中一个称为“启用 PIN 缓存”。我将尝试将其关闭。
PIN 缓存服务是 ActivClient 配置管理器中的一个属性。
不要混淆条款——它是“卡片软件”而不是“读卡器软件”。通过更改 PIN 缓存设置，您无法击败 SSL 在浏览器中的工作方式。如果您需要自定义身份验证流程，可以查看 OpenID 和 trustbearer.com openid 服务。如果我没记错的话，他们实现了基于插件的身份验证，其中有一个与卡对话的自定义插件。可能会为每笔交易触发一个 PIN 对话框（因为它使用隐式签名操作？不知道细节..）。

【解决方案2】：

在网络上进行智能卡客户端身份验证有两种方法：标准 TLS/SSL 或浏览器的自定义插件。我假设您说的是标准网络浏览器（IE/FF/Safari）和 SSL 身份验证。

对于 PIN 提示，有两件事很重要：

SSL 会话和 SSL 会话缓存浏览器
相关私钥的卡上认证状态
中间件的实现方式。

最后，从安全的角度来看，是卡知道何时“要求”一个 PIN - 一些卡和密钥需要一个 PIN 用于每次使用密钥的操作，有些卡可以获取一次 PIN 并且将密钥保持在经过身份验证的状态，直到它从读取器中移除或被应用程序重置。

如果浏览器缓存中的会话无法重用或正在建立连接时，智能卡中间件（Linux 上的 PKCS#11、Windows 上的 CryptoAPI/BaseCSP 模块或 OSX 上的 Tokend）需要进行对话到卡上的钥匙。如果卡上的认证状态需要输入 PIN 码，通常由浏览器触发回调。或者，如果中间件知道它需要 PIN，它会在与卡对话之前询问它。

输入 PIN 与实际重新验证对私钥的访问权限和重新验证 SSL 会话之间没有 1:1 的关系。

使用标准 SSL，您依赖于 SSL 在浏览器中的实现方式，并且无法在客户端实现 100% 可靠的“通过输入 PIN 进行重新身份验证”。

如果您使用的是 Linux，那么使用 OpenSC（AFAIK 可以使用 CAC 卡），您可以将 opensc.conf 中的“transaction_reset”设置为 true，这会导致在每次交易后重置卡（每次 SSL 会话协商）这样您就可以确保无论何时打开新的 SSL 会话，用户都必须再次输入 PIN。这是客户端配置，而不是服务器启动的功能。

【讨论】：

感谢马丁的精彩评论。我看到我应该提供更多信息，但我仍然非常不知道在这种情况下什么是有意义的。工作站确实有称为 ActivIdentity 或 ActivClient 的中间件。该进程名为 accoca.exe。他们也在经营 Tumbleweed。
另外，我从您的评论中得知，我的挑战是以某种方式说服卡它需要再次要求输入 PIN。我还没有弄清楚中间件是如何工作的，但是说当用户访问一个 URL 时，我可以在网页中放置一些东西，这会导致 CAC 决定它需要请求一个 PIN，这是否合理？也许我可以终止 SSL 会话？（对不起，如果这是愚蠢的想法，我有点困惑）。
当我清除 SSL 状态时（使用 IE7-工具-Internet 选项-内容-清除 SSL 状态，它会提示我输入证书而不是 PIN。如果我选择正确的证书，它可以工作，如果我选择了错误的证书，它失败了。那么，如果它不提示输入 PIN，为什么它会再次提示我输入证书？我不明白！
清除浏览器 SSL 缓存会删除会话。所以中间件可能没有实现任何特殊的 PIN 技巧，并且完全按照我描述的方式工作 - 一旦卡处于身份验证状态，只要应用程序没有重新启动或卡被移除，就可以使用密钥。它要求证书知道您要使用哪个私钥，如果您选择智能卡，它可以使用它来建立新会话，因为卡上的密钥已经处于经过身份验证的状态。
啊，我明白了。它要求证书，因为您可以同时使用不同的密钥做不同的事情。我早该想到的！您可能已经看到我的另一个问题，我发现退出 IE7 总是会在 IE7 下次启动时导致 PIN 提示。这让我相信 IE7 在退出时会“重置”卡状态。如果我能弄清楚那是什么，我会离我需要的更近一步（我认为）。

【解决方案3】：

您可以使用javascript函数使浏览器忘记少数浏览器上现有的SSL缓存：

function logout() {
    // clear browser authentication cache
    // IE specific
    try
    {
        document.execCommand("ClearAuthenticationCache", "false");
    }
    catch(e)
    {
        // do nothing
    }

    // clear for firefox or any browser that supports window.crypto API
    if (window.crypto && typeof window.crypto.logout === "function") {
        window.crypto.logout();
    }
}

您可以使用Javascript setTimeout 方法调用上述注销函数，并可能将它们重定向到logout.aspx 页面以强制客户端输入新的PIN。

但它使用 JavaScript，代码依赖于浏览器，并不适用于所有浏览器。

【讨论】：