sso_统一身份认证及访问控制解决方案(1)

深圳同慧科技有限公司技术文档版权所有统一身份认证及访问控制技术方案地址：中国深圳南山区南海大道海典居三层写字楼3J电话：400-600-3368深圳同慧科技有限公司技术文档版权所有目录 1. 方案概述.................................................................................................................3 1.1. 项目背景............................................................................................3 1.2. 系统概述............................................................................................3 1.3. 方案特点............................................................................................4 1.3.1. 提升用户身份认证的安全性....................................................4 1.3.2. 加强对用户账号的管理和控制................................................4 1.3.3. 简单易用....................................................................................4 1.3.4. 易于开发....................................................................................5 1.3.5. 具有极高的性价比....................................................................5 1.3.6. 不使用ActiveX或其他控件......................................................5 1.3.7. 支持众多页面语言....................................................................6 2. 总体方案设计.........................................................................................................6 2.1. 技术原理............................................................................................6 2.2. 技术实现............................................................................................6 2.3. 基本架构............................................................................................7 2.4. 身份认证原理....................................................................................8 地址：中国深圳南山区南海大道海典居三层写字楼3J电话：400-600-3368项目背景许多收费网站都需要一个比传统“账号+密码”更有效的身份认证方式来认证用户的身份。道理很简单：在“账号+密码”的认证方式中，用户很容易将账号和密码与他人分享，即使网站加上同一时间一个账号只允许一人登录的限制也无济于事，因为用户可以与他人分时分享网站提供的各种收费服务。分享用户账号对用户来说是很方便的，但是对于网络公司来说却意味着潜在收入的减少，这无疑是网络公司不愿意看到的。智能卡或类似USB电子钥匙的硬件认证方式可以满足收费网站的认证需求。这种认证方式要求用户需要同时提供硬件和账号密码才能登录访问网页，有效的避免了用户共享账号带来的问题。Passbay也提供基于硬件UKey的SecureWeb解决方案，但是在许多场合这种解决方案也有其不足之处：首先，硬件具有专用性。也就是说，一个硬件只能应用于某个特定的网站登录认证，而不具有其他的功能或用途，这难免让用户觉得其实用价值较低；此外，这种解决方案需要用户在终端安装驱动程序和客户端程序，给用户的使用带来不便，同时也给网络公司增加了额外的与网站运营无关的售后服务。总的来说，目前普遍采用的基于智能卡或USB电子钥匙的硬件认证方式虽然可以满足收费网站控制用户登录访问的需求，但仍然具有较大的缺陷，不管是对于网络公司还是对于用户来说，这种方案都不能算是一个完美的解决方案。1.2.系统概述为满足收费网站控制用户登录和访问的需求，Passbay结合自身的优势推出WebAC网站访问控制方案，WebAC网站访问控制方案由硬件UKey、Passbay安全管理软件和面向网站开发者的开发接口三个部分组成。方案允许网站拥有者地址：中国深圳南山区南海大道海典居三层写字楼3J电话：400-600-3368中创建并管理用户登录账户，用户进入指定页面之后必须插入UKey才能完成登录或访问。这一方案保证只有合法持有UKey的用户才能享受到网站提供的服务，避免用户分享账号给网络公司带来的损失。1.3.方案特点Passbay®UKeyWebAC网站访问控制方案具有如下几个方面的特点：1.3.1.提升用户身份认证的安全性UKey自带Passbay密码管理功能组件，这一功能组件使用户登录网页的账号密码和网页URL可在创建用户账户时直接保存在UKey中，用户通过PIN码验证后便可一键登录网页，避免用户记忆账号密码的麻烦，可以设置较为复杂的账号密码而无需担心用户遗忘账号密码，提升账号密码的安全性。此外，Passbay密码管理功能组件在保存账号密码的同时保存网页URL，并采用加密方式处理账号密码信息，有效防止网络钓鱼和盗号木马、病毒等窃取用户的账号密码，保护账号密码的安全。软硬件结合的身份认证方式也可以有效的提高用户身份认证的安全性。1.3.2.加强对用户账号的管理和控制只有合法持有UKey的用户才能登录网页，享受网络公司提供的各种服务，这便很好的避免了用户共享账号给网络公司带来的损失。这一方案的实现原理使得网站可以准确的确认用户身份，并在这一前提下设定用户用户登录和访问网页的权限，对用户的登录和访问实现精确的控制。1.3.3.简单易用UKey集成了Passbay安全管理软件相关的功能组件，用户只需将UKey插入计算机，在通过PIN码认证后便可使用UKey中的信息登录网页，无需安装驱动程序和客户端软件，给用户使用带来极大的方便。同时，用户可以将各种账号密码信息保存在UKey中，使用Passbay密码管理功能组件实现一键登地址：中国深圳南山区南海大道海典居三层写字楼3J电话：400-600-3368深圳同慧科技有限公司技术文档版权所有录，无需记忆和输入账号密码，大大简化了用户的操作，给用户带来良好的使用体验。此外，网络公司还可在UKey中设定默认网页，用户插入UKey并通过PIN码验证后便自动打开设定的网页，给用户使用带来方便的同时也有利于提高网站的点击率。1.3.4.易于开发无需专门开发接口。网站开发者只需按照完全开放的UKeyWebACHTML接口规范开发网页即可实现这一方案提供的各种功能。参考接口规范中所提供的例子代码，开发者最快可以在几个小时内完成相关的开发。易于开发的特性使得网络公司可以快速的实现方案的部署和实施，同时节约大量的开发成本。1.3.5.具有极高的性价比与其他方案不同，Passbay®UKeyWebAC网站访问控制方案提供的UKey用途并不是唯一的，其集成的密码管理功能组件除了可用于登录指定的网站外，还可用于保存其他的应用程序和网页的登录账号和密码，免除用户记忆众多账号密码的烦恼，简化用户登录各种信息系统的操作，有利于提高用户对网络公司的满意度。此外，Passbay还可以根据网络公司的要求提供众多的可选功能组件，如移动应用平台、硬盘加密区、移动加密区、随身收藏夹等，这些功能组件均遵循Passbay“愈安全，更简单”的开发理念，功能强大而又方便易用。网络公司可以按自身的实际情况选择需要的功能组件，将集成这些功能组件的UKey提供给用户，既解决了网站访问控制的问题，又给用户提供了一个实用的信息安全管理软件，还能提高用户的满意度，可谓一举多得。1.3.6.不使用ActiveX或其他控件Passbay信息安全管理软件不使用ActiveX或其他控件，不受IE浏览器安全设置的限制，减少了用户使用的局限，为用户使用提供了方便。地址：中国深圳南山区南海大道海典居三层写字楼3J电话：400-600-3368、JSP还是PHP，无论服务器操作系统是WINDOWS、LINUX还是UNIX，Passbay®UKeyWebAC网站访问控制方案都可以很好的支持，这一特性使得网络公司可以方便的部署Passbay®UKeyWebAC网站访问控制方案而没有任何的限制。2.总体方案设计2.1.技术原理在网页上要实现基于硬件对用户进行身份认证，就必然需要网页能够访问硬件内所存储的数据。但是网页有基本的安全模型，“沙盒”(SandBox)，目的就在限制网页对本地资源的访问能力，这两者实际上是矛盾的。Microsoft推出的ActiveX能够解决开发人员在实际开发中遇到的这个问题，但是ActiveX过于强大，事实上几乎无所不能。IE的做法是使用签名验证，然后提示用户认清控件来源，把选择权交给用户。这样就在用户端需要进行若干安全设置，部署这类系统在用户那里常常造成困扰，用户不知道怎么样去做设置，只能求助于技术支持人员，形成大量的售后支持需求。WEBAC不使用ActiveX。其要点在于在用户终端运行一个具备本地资源访问权限的可执行程序，该程序负责：1与网页进行交互，获取网页对硬件的读写操作要求；2与硬件进行交互，执行读写硬件数据的操作；2.2.技术实现Passbay®UKeyWebAC网站访问控制方案通过随机数单向认证方式来验证用户身份和对用户账户进行管理。这一方案的实现原理如下：地址：中国深圳南山区南海大道海典居三层写字楼3J电话：400-600-3368深圳同慧科技有限公司技术文档版权所有网站在创建用户账户时，将用户账号和用于认证的一个字符串(SaltValue)写入UKey（由接口写入），并将上述两项值与PSA的序列号(SerialNumber)写入数据库（由开发者写入）。用户进入登录页面后，服务器端生成一随机数据(Random)，通过网络传输至客户端。这一数据在客户端通过MD5算法进行计算，计算结果MD5Result=MD5(SerialNumber+AdminPass+Random+SaltValue)（由接口计算），计算完毕后，客户端将计算