7、移动设备衍生证书与实体可信度评估

移动设备衍生证书与实体可信度评估

移动设备衍生证书

在某些情况下，主要凭证可能无法满足特定需求。例如，在智能手机或其他移动设备上使用个人身份验证（PIV）卡时，现有的解决方案对于大型企业来说并不实用，因为它们可能需要额外的硬件，从而降低了设备的实用性。在这种情况下，衍生凭证可能是更好的选择。

衍生凭证概述

• 适用场景 ：没有PIV卡读卡器的移动设备，每个用户都需要有衍生凭证，且同一时间只能有一个持有衍生凭证的用户登录设备。
• 凭证定义 ：衍生凭证是基于与主要凭证相同的审查程序颁发的二级凭证，其真实性与主要凭证来自同一源头，但形式可能不同，如软件证书而非PIV卡。衍生凭证和主要凭证是独立的实体，在物理形式和逻辑内容上都有所不同。

衍生凭证的认证

在认证过程中，衍生凭证与主要凭证具有相同的DN（可分辨名称），可能有相同的颁发者，但公钥不同，私钥也可能不同。如果颁发者相同，序列号则不同，这样认证实体就能知道使用的是哪种凭证进行认证。

衍生凭证的加密

• 常规情况 ：用于加密时，衍生凭证的公钥与主要凭证相同，因为公钥用于加密，为了使同一实体能够无缝使用两者，主次凭证的公钥必须一致。
• 特殊情况 ：当主要凭证和所有二级凭证同时颁发且公钥不同，但某些凭证（如主要凭证）包含与多个证书公钥相关联的私钥时，用户在持有CAC或PIV卡时可以解密所有内容；使用特定设备时，只能解密专门