統(tǒng)一身份認(rèn)證及Web登錄控制方案

1、統(tǒng)一身份認(rèn)證及訪問控制技術(shù)方案1.方案概述項目背景許多收費網(wǎng)站都需要一個比傳統(tǒng)賬號+密碼”更有效的身份認(rèn)證方式來認(rèn)證用 戶的身份。道理很簡單：在賬號+密碼”的認(rèn)證方式中，用戶很容易將賬號和密碼與他人分享，即使網(wǎng)站加上同一時間一個賬號只允許一人登錄的限制也無濟 于事，因為用戶可以與他人分時分享網(wǎng)站提供的各種收費服務(wù)。分享用戶賬號對用戶來說是很方便的，但是對于網(wǎng)絡(luò)公司來說卻意味著潛在收入的減少，這無 疑是網(wǎng)絡(luò)公司不愿意看到的。智能卡或類似USB電子鑰匙的硬件認(rèn)證方式可以滿足收費網(wǎng)站的認(rèn)證需求。這 種認(rèn)證方式要求用戶需要同時提供硬件和賬號密碼才能登錄訪問網(wǎng)頁，有效的避免了用戶共享賬號帶來的問題。Pa

2、ssbay也提供基于硬件UKey的 SecureWeb解決方案，但是在許多場合這種解決方案也有其不足之處：首先，硬件 具有專用性。也就是說，一個硬件只能應(yīng)用于某個特定的網(wǎng)站登錄認(rèn)證，而不具有 其他的功能或用途，這難免讓用戶覺得其實用價值較低；此外，這種解決方案需要 用戶在終端安裝驅(qū)動程序和客戶端程序，給用戶的使用帶來不便，同時也給網(wǎng)絡(luò)公司增加了額外的與網(wǎng)站運營無關(guān)的售后服務(wù)?？偟膩碚f，目前普遍采用的基于智能卡或USB電子鑰匙的硬件認(rèn)證方式雖然 可以滿足收費網(wǎng)站控制用戶登錄訪問的需求，但仍然具有較大的缺陷，不管是對于網(wǎng)絡(luò)公司還是對于用戶來說，這種方案都不能算是一個完美的解決方案。系統(tǒng)概述為滿足收

3、費網(wǎng)站控制用戶登錄和訪問的需求，Passbay結(jié)合自身的優(yōu)勢推出 WebAC網(wǎng)站訪問控制方案，WebAC網(wǎng)站訪問控制方案由硬件UKey、Passbay安 全管理軟件和面向網(wǎng)站開發(fā)者的開發(fā)接口三個部分組成。方案允許網(wǎng)站擁有者在UKey中創(chuàng)建并管理用戶登錄賬戶，用戶進入指定頁面之后必須插入UKey才能完 成登錄或訪問。這一方案保證只有合法持有UKey的用戶才能享受到網(wǎng)站提供的服 務(wù)，避免用戶分享賬號給網(wǎng)絡(luò)公司帶來的損失。方案特點Passbay? UKey WebAC網(wǎng)站訪問控制方案具有如下幾個方面的特點：提升用戶身份認(rèn)證的安全性UKey自帶Passbay密碼管理功能組件，這一功能組件使用戶登錄網(wǎng)頁

4、的 賬 號密碼和網(wǎng)頁URL可在創(chuàng)建用戶賬戶時直接保存在UKey中，用戶通過PIN碼驗 證后便可一鍵登錄網(wǎng)頁，避免用戶記憶賬號密碼的麻煩，可以設(shè)置較為復(fù)雜的賬號密碼而無需擔(dān)心用戶遺忘賬號密碼，提升賬號密碼的安全性。此外， Passbay密碼管理功能組件在保存賬號密碼的同時保存網(wǎng)頁URL，并采用加密方式處理賬號密碼信息，有效防止網(wǎng)絡(luò)釣魚和盜號木馬、病毒等竊取用戶的賬 號密碼，保護賬號密碼的安全。軟硬件結(jié)合的身份認(rèn)證方式也可以有效的提高用 戶身份認(rèn)證的安全性。1.32加強對用戶賬號的管理和控制只有合法持有UKey的用戶才能登錄網(wǎng)頁，享受網(wǎng)絡(luò)公司提供的各種服務(wù)， 這便很好的避免了用戶共享賬號給網(wǎng)絡(luò)公司

5、帶來的損失。這一方案的實現(xiàn)原理 使得網(wǎng)站可以準(zhǔn)確的確認(rèn)用戶身份，并在這一前提下設(shè)定用戶用戶登錄和訪問網(wǎng) 頁的權(quán)限，對用戶的登錄和訪問實現(xiàn)精確的控制。簡單易用UKey集成了 Passbay安全管理軟件相關(guān)的功能組件，用戶只需將 UKey 插入計算機，在通過PIN碼認(rèn)證后便可使用UKey中的信息登錄網(wǎng)頁，無需安裝 驅(qū)動程序和客戶端軟件，給用戶使用帶來極大的方便。同時，用戶可以將各種賬 號密碼信息保存在UKey中，使用Passbay密碼管理功能組件實現(xiàn)一鍵登錄，無需記憶和輸入賬號密碼，大大簡化了用戶的操作，給用戶帶來良好的使用體驗。此外，網(wǎng)絡(luò)公司還可在UKey中設(shè)定默認(rèn)網(wǎng)頁，用戶插入UKey并通過P

6、IN碼驗 證后便自動打開設(shè)定的網(wǎng)頁，給用戶使用帶來方便的同時也有利于提高網(wǎng)站的點擊 率。1.3.4易于開發(fā)無需專門開發(fā)接口。網(wǎng)站開發(fā)者只需按照完全開放的UKey WebAC HTML接口 規(guī)范開發(fā)網(wǎng)頁即可實現(xiàn)這一方案提供的各種功能。參考接口規(guī)范中所提供的例子代 碼，開發(fā)者最快可以在幾個小時內(nèi)完成相關(guān)的開發(fā)。易于開發(fā)的特性使得網(wǎng)絡(luò)公司 可以快速的實現(xiàn)方案的部署和實施，同時節(jié)約大量的開發(fā)成本。1.3.5 .具有極高的性價比與其他方案不同，Passbay ? UKey WebAC網(wǎng)站訪問控制方案提供的UKey用 途并不是唯一的，其集成的密碼管理功能組件除了可用于登錄指定的網(wǎng)站外，還可 用于保存其他的

7、應(yīng)用程序和網(wǎng)頁的登錄賬號和密碼，免除用戶記憶眾多賬號密碼的 煩惱，簡化用戶登錄各種信息系統(tǒng)的操作，有利于提高用戶對網(wǎng)絡(luò)公司的滿意度。此外，Passbay還可以根據(jù)網(wǎng)絡(luò)公司的要求提供眾多的可選功能組件，如移動應(yīng)用平臺、硬盤加密區(qū)、移動加密區(qū)、隨身收藏夾等，這些功能組件均遵 循 Passbay “愈安全，更簡單”的開發(fā)理念，功能強大而又方便易用。網(wǎng)絡(luò)公司可以 按自身的實際情況選擇需要的功能組件，將集成這些功能組件的UKey提供給用戶，既解決了網(wǎng)站訪問控制的問題，又給用戶提供了一個實用的信息 安全管理軟件，還能提高用戶的滿意度，可謂一舉多得。1.36不使用ActiveX或其他控件Passbay信息安

8、全管理軟件不使用ActiveX或其他控件，不受IE瀏覽器安全設(shè)置的限制，減少了用戶使用的局限，為用戶使用提供了方便。1.3.7 .支持眾多頁面語言無論頁面語言采用ASP、JSP還是PHP,無論服務(wù)器操作系統(tǒng)是WINDOWS. LINUX 還是 UNIX, Passbay? UKey WebAC 網(wǎng)站訪問控制方案 都 可以很好的支持，這一特性使得網(wǎng)絡(luò)公司可以方便的部署Passbay? UKey WebAC 網(wǎng)站訪問控制方案而沒有任何的限制。2.總體方案設(shè)計技術(shù)原理在網(wǎng)頁上要實現(xiàn)基于硬件對用戶進行身份認(rèn)證，就必然需要網(wǎng)頁能夠訪問硬件 內(nèi)所存儲的數(shù)據(jù)。但是網(wǎng)頁有基本的安全模型，沙盒” (SandBo

9、x)目的就在限制網(wǎng)頁對本地資源的訪問能力，這兩者實際上是矛盾的。Microsoft推出的ActiveX能夠解決開發(fā)人員在實際開發(fā)中遇到的這個問題，但是ActiveX過于強大，事實上幾乎無所不能。IE的做法是使用簽名驗證，然后提示用戶認(rèn)清控件來 源，把選擇權(quán)交給用戶。這樣就在用戶端需要進行若干安全設(shè)置，部署這類系統(tǒng)在用戶那里常常造成困擾，用戶不知道怎么樣去做設(shè)置，只能求助于技術(shù)支持人 員，形成大量的售后支持需求。WEBAC不使用ActiveX。其要點在于在用戶終端運行一個具備本地資源訪問權(quán) 限的可執(zhí)行程序，該程序負(fù)責(zé)：1與網(wǎng)頁進行交互，獲取網(wǎng)頁對硬件的讀寫操作要求；2與硬件進行交互，執(zhí)行讀寫硬件

10、數(shù)據(jù)的操作；技術(shù)實現(xiàn)?Passbay. UKey WebAC網(wǎng)站訪問控制方案通過隨機數(shù)單向認(rèn)證方式來 驗證 用戶身份和對用戶賬戶進行管理。這一方案的實現(xiàn)原理如下：網(wǎng)站在創(chuàng)建用戶賬戶時，將用戶賬號和用于認(rèn)證的一個字符串(Saltvalue)寫入UKey (由接口寫入)，并將上述兩項值與PSA的序列號(SerialNumber)寫 入數(shù) 據(jù)庫(由開發(fā)者寫入)。用戶進入登錄頁面后，服務(wù)器端生成一隨機數(shù)據(jù)(Random)， 通過網(wǎng)絡(luò)傳輸至客戶端。這一數(shù)據(jù)在客戶端通過MD5算法進行計算，計算結(jié)果 MD5Result = MD5(SerialNumber + AdminPass + Random +Sal

11、tValue)(由接口計算)，計算完畢后，客戶端將計算結(jié)果(MD5Result-c)與UKey 的序列號(SerialNumber)和之前存入的用戶賬號通過Form提交給服務(wù)器端。服務(wù)器端通過序列號(SerialNumber)和用戶名稱在數(shù)據(jù)庫里面查詢到該用戶記 錄的認(rèn)證字符串(SaltValue)，然后以與客戶端相同的算法計算出MD5Result -s = MD5(SerialNumber + Admi nPass + Ran dom + SaltValue)，計算完畢后將這一結(jié)果與客戶端傳輸過來的MD5Result-c進行比較，如果兩個值相等，則表明終 端插入的UKey就是之前創(chuàng)建的用戶所

12、使用的UKey，用戶身份得到確認(rèn)，網(wǎng)站可 以據(jù)此對用戶登錄和訪問實現(xiàn)精確的控制。23基本架構(gòu)利用WEBAC方案實現(xiàn)網(wǎng)站用戶身份認(rèn)證，需要實現(xiàn)兩個功能模塊：UKey的發(fā)行|管理模塊(包括發(fā)行、修改、刪除、回收等等功能)，終端用戶的認(rèn)證模塊。 按照一般的說法，前者面向網(wǎng)站運營維護人員，屬于網(wǎng)站后臺，后者面向網(wǎng)站用 戶，始于網(wǎng)站前臺。UKey的發(fā)疔|管理模塊咚端咚端用戶的認(rèn)證模塊24身份認(rèn)證原理1 一個UKey硬件綁定一個用戶這個通過發(fā)行UKey來實現(xiàn)。所謂綁定一個用戶，實際上是綁定一條用戶記 錄。由于每一個UKey都具備一個唯一的序列號，發(fā)行的過程，就是在數(shù)據(jù)庫中的 該用戶記錄里面加上序列號信息，

13、也就是準(zhǔn)備發(fā)給這個用戶的UKey的序列號的信 息。同時在硬件和數(shù)據(jù)庫里面都寫入一個隨機字符串信息。2認(rèn)證用的種子數(shù)據(jù)(Salt Value)寫入的這一串隨機字符串信息，就是用于認(rèn)證的種子數(shù)據(jù)。傳統(tǒng)的賬戶+密碼的用戶認(rèn)證方式中的密碼相當(dāng)于認(rèn)證用的種子數(shù)據(jù)，只不過他不能變化，要變就要執(zhí)行修改密碼的流程，并且要通過網(wǎng)絡(luò)傳輸?shù)椒?wù)器端， 如果是HTTPS模式，還能夠避免傳輸過程中的泄漏，目前大多數(shù)的網(wǎng)站都沒有這樣 做，對于一些小型網(wǎng)站或者內(nèi)部用的網(wǎng)站，很少使用HTTPS的，這樣，實際上很容易就能夠跟蹤到明文傳送的賬戶密碼信息，實際上是談不上任何安全性。WEBAC使用的基于種子數(shù)據(jù)的認(rèn)證，其流程是這樣的：服務(wù)器端準(zhǔn)備一串臨 時生成的隨機數(shù)據(jù)，終端使用UKey里面保存的種子數(shù)據(jù)作為密鑰對該隨機數(shù)據(jù)進 行加密，然后將