用於與智能卡進行雙向認證的Java小程序

Question

我需要開發一個java applet，用於Tomcat 6（服務器）和SmartCard「IDGo 300」（客戶端）之間的相互認證。

爲了做到這一點，我認爲以下方案：

1. 的Tomcat（服務器）發送到智能卡（客戶端），他的數字證書的請求（由CA簽名）。
2. 客戶端輸入PIN並選擇智能卡上的可用證書，然後Applet將他的證書（由CA簽名）發送到tomcat。 tomcat驗證數字證書，並且如果正確的話發回他的證書。
3. 該applet驗證服務器的證書，如果證書正確，則向服務器發送確認。
4. 服務器提供對客戶端的完全訪問權限以使用Web應用程序。

我有一些問題：

1. 是這個方案是否可行？
2. 我想通過我的小應用程序管理所有事情，當客戶端斷開智能卡時，他將失去對服務器的訪問權限。

Answer 1

可行嗎？是。這是否實用？不，我會爭論一個厚厚的Java應用程序。

首先，您無法通過簡單地發送證書進行身份驗證。您還需要類似挑戰 - 迴應（PIN輸入後由智能卡上的私鑰創建的簽名）。

其次，您需要特殊權限才能使用Applet中的任何硬件。這意味着您必須更改客戶端上的權限，否則您可能必須對Applet進行簽名，之後用戶必須接受該特定任務的Applet。

Applets具有相當特定的生命週期。您可能不想將卡的移除與Applet的生命週期同步。用戶可能會阻止在您斷開連接時發送的響應。您可以使用waitForCardAbsent()在單獨的線程中測試卡是否已被移除。

如果你不能信任連接（沒有SSL的HTTP），那麼你就不能相信Applet代碼。用戶可能不想將PIN碼輸入不可信的代碼。

如果你想支持多種瀏覽器和Java運行時，你將遇到無數的問題。

作爲一個小問題，javax.smartcardio包可能不總是可用;它不是在javax沒有。