我正在收集信息以实现系统的证书身份验证方案,该系统要求移动设备客户端使用证书进行身份验证,然后才能被授予访问系统使用的服务的权限。我正在寻找可能的解决方案,允许我向系统的受信任用户颁发唯一证书,以便他们可以与他们的移动设备一起使用,以及其他登录凭据。
具体来说,客户端设备上的移动应用程序(例如 Android 应用程序)将使用 WCF REST 服务,并且需要检查客户端是否具有正确的证书以及用户提供的有效用户凭据. 此外,在这种情况下,安全性是关键且备受关注。
我的问题是,在刚刚描述的场景中,是否可以实施唯一的证书身份验证并高度重视安全性?如果不是,有哪些不同的替代方案或实现这一目标的最佳方式?
此外,对于用于 PIV/CAC 卡的单独颁发的证书,是否可以利用这些证书使用移动设备进行身份验证?