如何在没有第三方CA的情况下跨组织边界对设备进行身份验证

时间:2019-03-06 12:06:51

标签: authentication ssl x509

我正在设计一种协议,该协议在各个组织之间传递自动指令。

我正在努力寻找一种现有的身份验证机制,该机制可以允许组织仅将 自己的设备认证给另一个组织。

所以我正在寻找的东西将允许:

  • foomy.tld应该能够验证new_deive.foomy.tld
  • acme.tld可以选择信任foomy.tld,这意味着它信任new_device.foomy.tld实际上确实属于foomy.tld
  • 但是acme.tld绝不应该信任foomy.tld来认证*.foomy.tld设备以外的任何设备。

考虑使用x509和SSL

对于x509 CA证书,CA角色通常由第三方CA执行。但这不适合此目的:

  • 创建/销毁设备ID(服务)太快了,无法考虑传统的CA。 CA太昂贵,太慢。
  • 此机制需要对客户端和服务器进行身份验证。设备/服务并不总是具有公共IP地址,因此不能选择CA解决方案(如LetsEncrypt)。
  • 为此目的创建专用的CA并不划算,并且可能会损害采用。

组织可以为此目的充当自己的CA,但事实证明,x509确实不支持此功能。一旦您接受了CA的信任,就无法充分限制该信任的范围。 IE:You cannot trust it to only sign certificates for it's own domain

考虑重新使用单一登录机制

我看过的单点登录机制似乎是基于对用户进行身份验证的概念构建的。后台自动化服务似乎没有得到很好的支持。

也许我在这里错过了一些东西。

问题-尽可能缩小范围。

是否有另一种方法可以允许我使用这种类型的跨组织身份验证?

0 个答案:

没有答案