欢迎来到天天文库
浏览记录
ID:56785994
大小:93.50 KB
页数:18页
时间:2020-07-11
《WebAC -- Web访问控制方案.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、WEBAC&网站访问控制方案目录1概述31.1前言31.2WEBAC简介31.3WEBAC实现方式41.4WEBAC特点42WEBAC开发与实现52.1基本原理52.2开发前准备62.3模块开发8发行管理模块8用户认证模块11UKEY操作状态13UKey硬件的状态153常见问题173.1页面基本元素173.2PIN码的问题171概述1.1前言许多收费网站都需要一个比传统“账号+密码”更有效的身份认证方式来认证用户的身份。道理很简单:在“账号+密码”的认证方式中,用户很容易将账号和密码与他人分享,即使网站加上同一时间一个账号只允许一人登录的限制也无济于事,因为用户可以与他
2、人分时分享网站提供的各种收费服务。分享用户账号对用户来说是很方便的,但是对于网络公司来说却意味着潜在收入的减少,这无疑是网络公司不愿意看到的。智能卡或类似USB电子钥匙的硬件认证方式可以满足收费网站的认证需求。这种认证方式要求用户需要同时提供硬件和账号密码才能登录访问网页,有效的避免了用户共享账号带来的问题。Passbay也提供基于硬件UKey的SecureWeb解决方案,但是在许多场合这种解决方案也有其不足之处:首先,硬件具有专用性。也就是说,一个硬件只能应用于某个特定的网站登录认证,而不具有其他的功能或用途,这难免让用户觉得其实用价值较低;此外,这种解决方案需要用户
3、在终端安装驱动程序和客户端程序,给用户的使用带来不便,同时也给网络公司增加了额外的与网站运营无关的售后服务。总的来说,目前普遍采用的基于智能卡或USB电子钥匙的硬件认证方式虽然可以满足收费网站控制用户登录访问的需求,但仍然具有较大的缺陷,不管是对于网络公司还是对于用户来说,这种方案都不能算是一个完美的解决方案。1.2WEBAC简介为满足收费网站控制用户登录和访问的需求,Passbay结合自身的优势推出WebAC网站访问控制方案,WebAC网站访问控制方案由硬件UKey、Passbay安全管理软件和面向网站开发者的开发接口三个部分组成。方案允许网站拥有者在UKey中创建并
4、管理用户登录账户,用户进入指定页面之后必须插入UKey才能完成登录或访问。这一方案保证只有合法持有UKey的用户才能享受到网站提供的服务,避免用户分享账号给网络公司带来的损失。1.3WEBAC实现方式Passbay®UKeyWebAC网站访问控制方案通过随机数单向认证方式来验证用户身份和对用户账户进行管理。这一方案的实现原理如下:网站在创建用户账户时,将用户账号和用于认证的一个字符串(SaltValue)写入UKey(由接口写入),并将上述两项值与PSA的序列号(SerialNumber)写入数据库(由开发者写入)。用户进入登录页面后,服务器端生成一随机数据(Rando
5、m),通过网络传输至客户端。这一数据在客户端通过MD5算法进行计算,计算结果MD5Result=MD5(SerialNumber+AdminPass+Random+SaltValue)(由接口计算),计算完毕后,客户端将计算结果(MD5Result-c)与UKey的序列号(SerialNumber)和之前存入的用户账号通过Form提交给服务器端。服务器端通过序列号(SerialNumber)和用户名称在数据库里面查询到该用户记录的认证字符串(SaltValue),然后以与客户端相同的算法计算出MD5Result-s=MD5(SerialNumber+AdminPass+
6、Random+SaltValue),计算完毕后将这一结果与客户端传输过来的MD5Result-c进行比较,如果两个值相等,则表明终端插入的UKey就是之前创建的用户所使用的UKey,用户身份得到确认,网站可以据此对用户登录和访问实现精确的控制。1.2WEBAC特点1、提升用户身份认证的安全性UKey自带Passbay密码管理功能组件,这一功能组件使用户登录网页的账号密码和网页URL可在创建用户账户时直接保存在UKey中,用户通过PIN码验证后便可一键登录网页,避免用户记忆账号密码的麻烦,可以设置较为复杂的账号密码而无需担心用户遗忘账号密码,提升账号密码的安全性。此外,P
7、assbay密码管理功能组件在保存账号密码的同时保存网页URL,并采用加密方式处理账号密码信息,有效防止网络钓鱼和盗号木马、病毒等窃取用户的账号密码,保护账号密码的安全。软硬件结合的身份认证方式也可以有效的提高用户身份认证的安全性。2、加强对用户账号的管理和控制只有合法持有UKey的用户才能登录网页,享受网络公司提供的各种服务,这便很好的避免了用户共享账号给网络公司带来的损失。这一方案的实现原理使得网站可以准确的确认用户身份,并在这一前提下设定用户用户登录和访问网页的权限,对用户的登录和访问实现精确的控制。3、脱离ActiveX,易于开发
此文档下载收益归作者所有