《WebACWeb访问控制方案》由会员分享,可在线阅读,更多相关《WebACWeb访问控制方案(16页珍藏版)》请在金锄头文库上搜索。
1、WEBAC&网站访问控制方案目录1 概述31.1前言31.2WEBAC简介41.3WEBAC实现方式41.4WEBAC特点52WEBAC开发与实现62.1基本原理62.2开发前准备72.3模块开发9发行管理模块9用户认证模块12UKEY操作状态14UKey硬件的状态163常见问题173.1页面基本元素173.2PIN码的问题181概述1.1前言许多收费网站都需要一个比传统“账号+密码”更有效的身份认证方式来认证用户的身份。道理很简单:在“账号+密码”的认证方式中,用户很容易将账号和密码与他人分享,即使网站加上同一时间一个账号只允许一人登录的限制也无济于事,因为用户可以与他人分时分享网站提供的各
2、种收费服务。分享用户账号对用户来说是很方便的,但是对于网络公司来说却意味着潜在收入的减少,这无疑是网络公司不愿意看到的。智能卡或类似USB电子钥匙的硬件认证方式可以满足收费网站的认证需求。这种认证方式要求用户需要同时提供硬件和账号密码才能登录访问网页,有效的避免了用户共享账号带来的问题Passbay也提供基于硬件UKey的SecureWeb解决方案,但是在许多场合这种解决方案也有其不足之处:首先,硬件具有专用性。也就是说,一个硬件只能应用于某个特定的网站登录认证,而不具有其他的功能或用途,这难免让用户觉得其实用价值较低;此外,这种解决方案需要用户在终端安装驱动程序和客户端程序,给用户的使用带来
3、不便,同时也给网络公司增加了额外的与网站运营无关的售后服务。总的来说,目前普遍采用的基于智能卡或USB电子钥匙的硬件认证方式虽然可以满足收费网站控制用户登录访问的需求,但仍然具有较大的缺陷,不管是对于网络公司还是对于用户来说,这种方案都不能算是一个完美的解决方案。1.2WEBAC简介为满足收费网站控制用户登录和访问的需求,Passbay结合自身的优势推出WebAC网站访问控制方案,WebAC网站访问控制方案由硬件UKey、Passbay安全管理软件和面向网站开发者的开发接口三个部分组成。方案允许网站拥有者在UKey中创建并管理用户登录账户,用户进入指定页面之后必须插入UKey才能完成登录或访问
4、。这一方案保证只有合法持有UKey的用户才能享受到网站提供的服务,避免用户分享账号给网络公司带来的损失。1.3WEBAC实现方式PassbayUKeyWebAC网站访问控制方案通过随机数单向认证方式来验证用户身份和对用户账户进行管理。这一方案的实现原理如下:网站在创建用户账户时,将用户账号和用于认证的一个字符串(SaltValue)写入UKey(由接口写入),并将上述两项值与PSA的序列号(SerialNumber)写入数据库(由开发者写入)。用户进入登录页面后,服务器端生成一随机数据(Random),通过网络传输至客户端。这一数据在客户端通过MD5算法进行计算,计算结果MD5Result=M
5、D5(SerialNumber+AdminPass+Random+SaltValue)(由接口计算),计算完毕后,客户端将计算结果(MD5Result-c)与UKey的序列号(SerialNumber)和之前存入的用户账号通过Form提交给服务器端。服务器端通过序列号(SerialNumber)和用户名称在数据库里面查询到该用户记录的认证字符串(SaltValue),然后以与客户端相同的算法计算出MD5Result-s=MD5(SerialNumber+AdminPass+Random+SaltValue),计算完毕后将这一结果与客户端传输过来的MD5Result-c进行比较,如果两个值相等,
6、则表明终端插入的UKey就是之前创建的用户所使用的UKey,用户身份得到确认,网站可以据此对用户登录和访问实现精确的控制。1.4WEBAC特点1、提升用户身份认证的安全性UKey自带Passbay密码管理功能组件,这一功能组件使用户登录网页的账号密码和网页URL可在创建用户账户时直接保存在UKey中,用户通过PIN码验证后便可一键登录网页,避免用户记忆账号密码的麻烦,可以设置较为复杂的账号密码而无需担心用户遗忘账号密码,提升账号密码的安全性。此外,Passbay密码管理功能组件在保存账号密码的同时保存网页URL,并采用加密方式处理账号密码信息,有效防止网络钓鱼和盗号木马、病毒等窃取用户的账号密
7、码,保护账号密码的安全。软硬件结合的身份认证方式也可以有效的提高用户身份认证的安全性。2、加强对用户账号的管理和控制只有合法持有UKey的用户才能登录网页,享受网络公司提供的各种服务,这便很好的避免了用户共享账号给网络公司带来的损失。这一方案的实现原理使得网站可以准确的确认用户身份,并在这一前提下设定用户用户登录和访问网页的权限,对用户的登录和访问实现精确的控制。3、脱离ActiveX,易于开发无需专门开发接口。网站开发者只需按照完全开放的WEBACHTML接口规范开发网页即可实现这一方案提供的各种功能。WEBAC支持所有WEB开发语言4、简单易用,易于部署因为脱离ActiveX开发,所以不需
8、要对IE安全的设置,用户只需将UKey插入计算机,在通过PIN码认证后便可使用UKey中的信息登录网页,无需安装驱动程序和客户端软件,给用户使用带来极大的方便。2WEBAC开发与实现2.1基本原理在网页上要实现基于硬件对用户进行身份认证,就必然需要网页能够访问硬件内所存储的数据。但是网页有基本的安全模型,“沙盒”(SandBox),目的就在限制网页对本地资源的访问能力,这两者实际上是矛盾的。Microsoft推出的ActiveX能够解决开发人员在实际开发中遇到的这个问题,但是ActiveX过于强大,事实上几乎无所不能。IE的做法是使用签名验证,然后提示用户认清控件来源,把选择权交给用户。这样就
9、在用户端需要进行若干安全设置,部署这类系统在用户那里常常造成困扰,用户不知道怎么样去做设置,只能求助于技术支持人员,形成大量的售后支持需求。WEBAC不使用ActiveX。其要点在于在用户终端运行一个具备本地资源访问权限的可执行程序,该程序负责:1 与网页进行交互,获取网页对硬件的读写操作要求;2 与硬件进行交互,执行读写硬件数据的操作;WEBAC与硬件如何进行交互:容易理解,就是利用硬件的API进行读写。WEBAC与网页进行交互:WEBAC利用预先定义的网页元素,来实现与网页的交互,比如网页里面有个Edit控件元素vINPUTtype=hiddenid=IID_SecureWeb_l_Ser
10、ialNumbervalue=length=20,其ID为IID_SecureWeb_I_SerialNumber,当硬件插入时WEBAC就会自动读出硬件的ID序列号,并将该控件的value属性赋值为序列号数据,这样网页就获知了当前插入的硬件的ID序列号,这样实现了WEBAC与网页的交互;再例如,网页里面有个Edit控件元素vINPUTtype=buttonid=IID_SecureWeb丄Signinvalue=登录”,其ID为IID_SecureWeb丄Signin,当终端用户按下此按钮,WEBAC就知道用户选择了登录操作,就执行登录过程所需要的运算并将运算结果传送给网页。2.2开发前准备
11、1数据库需要给数据库里面的用户表增加两个域:SerialNumber(建议变长字符串类型,长度32,可以为空),SaltValue(建议变长字符串类型,长度32,可以为空)(这个数据表域名可以自行确定)。当然您还可以增加别的以便更好的管理,比如,绑定UKey的时间(或者说是UKey的发行时间)等等。域名可以自行设定,不一定是按照这里说的做。(约束您开发的实际上只有那些页面元素的ID,其他都不作限定)。2 页面语言您可以选择ASP、ASP.NET、JSP、PHP,这些无关紧要。实际上,如果您完全理解了WEBAC方案的原理,就会明白,任何页面程序开发语言其实都可以使用。只不过上述的几种我们提供了一
12、个基本可以使用的示例代码。您可以在示例代码文件包里面找到相应的目录,然后解压出来即可。下面讲解中我们主要以ASP代码为例。3 理解基本架构利用WEBAC方案实现网站用户身份认证,需要实现两个功能模块:UKey的发行|管理模块(包括发行、修改、删除、回收等等功能),终端用户的认证模块。按照一般的说法,前者面向网站运营维护人员,属于网站后台,后者面向网站用户,始于网站前台。发彳亍修改删除回收用户登录UKey的发彳亍|管理模块终端用八的认证模块4 理解基本概念UKey硬件序列号每个UKey硬件都有一个唯一的硬件序列号,由16位数字组成。登录入口一个登录入口由一个名称和一个URL两项信息组成。登录入口
13、在WEBAC相关文档里面称为“应用”。登录入口的名称(“应用名”)必须是唯一的,能够与其他登录入口相区别。URL有两个作用,一是在终端插入UKey时,需要弹出登录入口时,会主动弹出的网址;二是URL的域名部分会用于检查,使该应用对应的用户在同一域名下不同的URL也可以进行认证。一个网站可以包含多个登录入口,一个登录入口在同一个网站下(以域名为准)可以有多个登录网址。每个UKey针对一个登录入口只能创建一个账户。如果一个UKey用户需要登录多个网站,就要设置多个登录入口,并在每个用户UKey内为每个登录入口创建一个账户。用户账户信息用户账户信息由三部分组成:账户名称、认证种子数据和账户管理密码。
14、账户名称就是UKey所代表的用户的名称,主要用于显示;认证种子数据是用于认证的关键数据;账户管理密码是由网站运维人员掌握,在创建的时候,提供,写入到UKey里面,在对用户的账户信息进行管理包括删除、修改的时候,需要提供账户管理密码才有权进行。账户管理密码的作用在于避免非本网站运维人员变更UKey账户信息。不同的UKey可以有不同的账户管理密码,也可以相同。如果不同,账户管理密码也可以保存在数据库该用户的记录里面,这样一定程度上会更安全。2.3模块开发2.3.1发行管理模块1发行UKey发行UKey的页面,需要包含以下页面元素:INPUT元素:IID_SecureWeb_l_SerialNumb
15、er:硬件序列号IID_SecureWeb_I_ApplicationName:应用名IID_SecureWeb丄URL:应用URLIID_SecureWeb_l_UserName:用户账户名称IID_SecureWeb_l_SaltValue:认证种子数据IID_SecureWeb_l_AdminPass:账户管理密码按钮元素1 ID_SecureWeb_B_Create:创建账户按钮创建流程:1【页面需要编码完成的流程】应用名、应用URL、账户管理密码可以预先赋值value属性,认证种子数据value属性由服务器端预先生成并赋值,用户账户名称可以由运维人员输入,如果用户已经存在,也可以预先赋值,硬件序列号将由WEBAC程序自动赋值。2 操作人员点击“创建账户按钮”后,WEBAC程序将将上述所有信息写入UKey;3 【页面需要编码完成的流程】页面需要做的工作主要就是:创建或者修改用户记录,将硬件序列号和认证种子数据保存进数据库。这里需要注意检查不能让一个硬件序列号的绑定多个用户记录。请参考示例中create.asp创建流程的服务器端代码片段:%ifrequest.Form(action)=dbcreatethensetrs=conn.execute(select*frompsa_userswhereSerialNumber=&request.form(
