基於證書驗證的網頁應用 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1

基於證書驗證的網頁應用

pki certificate certificate-based authentication

黃彥儒 2018-01-05 12:34:39 ‧ 5654 瀏覽

分享至

我想寫一個網頁應用，是綁定設備的，只有特定的Windows電腦才能使用它。
目前我只想到基於憑證的驗證方案可以符合我的需求，但是這樣似乎意味著我必須建立自己的PKI系統並且維護它，或是其他CA背書的PKI，兩者都覺得挺麻煩的(後者應該超貴)....
有什麼其他方案可以驗證設備嗎，基於IP的方案不可行....

看更多先前的討論...收起先前的討論...

froce iT邦大師 1 級 ‧ 2018-01-05 12:49:08 檢舉

https://github.com/biggora/device-uuid
類似這個？
不過看起來還是證書或是乾脆用自然人憑證安全。

黃彥儒 iT邦高手 1 級 ‧ 2018-01-05 12:54:49 檢舉

我總不能就把我的自然人插在上面吧= =
自然人不是基於設備的管理，我想我還是只能自己生PKI了@@

weiclin iT邦高手 4 級 ‧ 2018-01-05 13:14:32 檢舉

是不知道你所謂的綁定設備要綁到什麼程度, 要連硬體也綁?
看看這邊有沒有合用的: http://www.pronew.com.tw/products.php

黃彥儒 iT邦高手 1 級 ‧ 2018-01-05 13:18:08 檢舉

weiclin大，只要不能複製就好了，原先想到就是匯入憑證然後設成不可匯出

窮嘶發發發 iT邦高手 1 級 ‧ 2018-01-05 13:38:46 檢舉

WIN CA => 這不是可以自己蓋，然後自己產生，自己匯入，只要憑證不外洩，就還算蠻安全的做法
還有整合 AD 認證也是一種方法，網站結合 AD帳號認證
我知道某些SSL憑證一年要幾十萬，便宜的也要好幾千，自己蓋的那個SERVER 的費用便宜的一次打死，不然就是買大量授權兩年更新一次

weiclin iT邦高手 4 級 ‧ 2018-01-05 13:42:35 檢舉

我指的綁硬體, 例如說有人把系統硬碟拿去複製一份開機, 會不會就得到有憑證的系統了? 你的設備都在良好的管理下, 還是會出現在一些難以控管的空間? 你的網頁應用值得花多少成本去保護?

黃彥儒 iT邦高手 1 級 ‧ 2018-01-05 13:47:58 檢舉

我是學生，我寫的網頁應用將有權重設除了管理階層的使用者帳戶密碼；上面是說綁IP就好= =但是我想要讓它安全一些
在上面不想花成本的前提下，能弄多安全就盡力處理吧
weiclin大推薦的那個網址，我覺得智慧卡應該是較低廉的解決方案

weiclin iT邦高手 4 級 ‧ 2018-01-05 14:27:32 檢舉

有點好奇你畢業後這個 PKI 要交給誰維護?

黃彥儒 iT邦高手 1 級 ‧ 2018-01-05 14:31:41 檢舉

讓他炸嚕@@，手邊是有一枚Yubikey可以玩PKI啦...

純真的人 iT邦大師 1 級 ‧ 2018-01-05 14:41:20 檢舉

學Teamview@@~
紀錄硬碟序號、主機板序號、Window序號~
只要變更就失效~

黃彥儒 iT邦高手 1 級 ‧ 2018-01-05 14:49:50 檢舉

網頁應用程式做得到嗎

純真的人 iT邦大師 1 級 ‧ 2018-01-05 15:44:32 檢舉

限單機..或者網頁要更高權限~例如IE的activex

froce iT邦大師 1 級 ‧ 2018-01-05 16:36:25 檢舉

感覺你想做的在現行browser下要達到很困難。
除非像自然人憑證一樣，寫個底層的service，然後去取得電腦硬體的序號去做hash，再透過網頁送出。

但是這樣你不如直接做單機版client軟體就好。

黃彥儒 iT邦高手 1 級 ‧ 2018-01-05 20:23:49 檢舉

那套系統可以拿來重設超級管理員以外的學校使用者密碼耶....單機有點不知道如何下手
怕系統憑證整個悲劇，所以才做成前後端分離

froce iT邦大師 1 級 ‧ 2018-01-06 10:00:00 檢舉

我的意思是你寫個client軟體，裡面可以get硬體的各種序號，例如硬碟的，通過了然後才能連上server去改你系統的設定。

要不然憑證的話，硬碟整顆拷貝還不是一樣？還不如直接用智慧卡或自然人憑證做帳號認證安全。

brower因為安全性的問題，這些底層的資訊是沒辦法直接取得的，除非想辦法介接。

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

2 個回答

3

Ray

iT邦大神 1 級 ‧ 2018-01-05 14:38:54

「重設使用者帳戶密碼」
是授權給人管理, 還是授權給電腦管理?
我的意思是說, 這件事情應該由人來同意? 還是由電腦同意?

如果由電腦來同意的話, 授權變成是:
特定電腦+任何人
特定電腦+特定人

如果由人來同意的話, 授權應該是:
任何電腦+特定人
特定電腦+特定人

如果你只處理前面的特定電腦, 卻沒有限定後面的人,
那不就是: 任何擁有密碼的人人只要走到電腦前面, 都可以授權?

綁人若用密碼當然不可靠, 憑證可以拷貝也不可靠(除非你加密碼), 唯一可靠的只有 MFA 或 2FA, 簡單做可以用手機+OTP 或 Google Authenticator (假設你們都有 Google 帳號的話)...

回應 2
分享
檢舉

黃彥儒 iT邦高手 1 級 ‧ 2018-01-05 14:42:52 檢舉

綁特定電腦+任意人，但是電腦位於管制區(櫃台後面@@)
憑證有考慮綁設備，像是Yubikey OTP或是PIV....
剛好手邊有，開發也不困難，但是小貴QQ

牛哥 iT邦好手 1 級 ‧ 2018-01-12 11:22:45 檢舉

受教了！
感謝~

登入發表回應

0

haoming

iT邦好手 1 級 ‧ 2018-01-08 16:49:25

基於以上的討論串.. 如果用
內網ip + 外網ip 產生 hash key 然後用這個 hash key 產生 pki (guid) 是否可行??

回應 1
分享
檢舉

haoming iT邦好手 1 級 ‧ 2018-01-08 16:50:35 檢舉

不過缺點 device 搬家就要重新產生 token 了 ..

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22201 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙