WEBAC 开发演示.docVIP

WEBAC使用演示 给WEB开发人员的一些建议 一 如果您是一个WEB开发人员，如果您希望使用硬件对您的用户进行身份认证，那就让我们开始一次WEBAC开发之旅吧！ 1 为什么要使用硬件？ 这一点可能您比我们想得更清楚，追求更高的安全性，或者希望用户觉得很好用，或者让用户觉得自己的产品更有价值，总之，原因可能很多... 2 WEBAC是什么？ Web Access Control的缩写，是一种基于硬件对网站使用者进行身份认证的技术和产品方案。这个方案基于创新的专利技术，相比其他方案具备较多优势（想了解这些优势，可以参考我们的其他文档。） 3 什么样的产品合适使用WEBAC？ 您企业自己运营的面向外部用户的网站，或者是企业内部B/S结构的管理系统；或者是您为其他企业开发的网站和管理系统；或者是您企业开发的B/S结构的软件产品，WEBAC都适用。总之，WEBAC主要适用于网站或类似于网站的B/S系统。对于非B/S结构的系统，如何使用硬件进行强化身份认证，您可以咨询我们的销售人员。 4 WEBAC方案对开发人员的要求 需要了解HTML，需要了解数据库，需要了解一种常用的网页程序开发语言，例如ASP，JSP或者PHP等等。不过作为一个网站开发人员，这些要求是基本的。尽管WEBAC是一个基于硬件的方案，却不需要用户了解任何USB硬件的开发知识。 二 WEBAC的基本原理 在网页上要实现基于硬件对用户进行身份认证，就必然需要网页能够访问硬件内所存储的数据。但是网页有基本的安全模型，“沙盒”(SandBox)，目的就在限制网页对本地资源的访问能力，这两者实际上是矛盾的。Microsoft推出的ActiveX能够解决开发人员在实际开发中遇到的这个问题，但是ActiveX过于强大，事实上无所不能。IE的做法是使用签名验证，然后提示用户认清控件来源，把选择权交给用户。这样就在用户端需要进行若干安全设置，部署这类系统在用户那里常常造成困扰，用户不知道怎么样去做设置，只能求助于技术支持人员，形成大量的售后支持需求。 WEBAC不使用ActiveX。其要点在于在用户终端运行一个具备本地资源访问权限的可执行程序，该程序负责： 1 与网页进行交互，获取网页对硬件的读写操作要求； 2 与硬件进行交互，执行读写硬件数据的操作； WEBAC与硬件如何进行交互，容易理解，就是利用硬件的API进行读写。现在剩下的问题就是WEBAC与网页如何交互。 三 WEBAC如何与网页进行交互？ 很简单，WEBAC利用预先定义的网页元素，来实现与网页的交互，比如网页里面有个Edit控件元素INPUT type=hidden id=IID_SecureWeb_I_SerialNumber value= length=20，其ID为IID_SecureWeb_I_SerialNumber，当硬件插入时WEBAC就会自动读出硬件的ID序列号，并将该控件的value属性赋值为序列号数据，这样网页就获知了当前插入的硬件的ID序列号，这样实现了WEBAC与网页的交互； 再例如，网页里面有个Edit控件元素INPUT type=button id=IID_SecureWeb_I_Signin value=登录，其ID为IID_SecureWeb_I_Signin，当终端用户按下此按钮，WEBAC就知道用户选择了登录操作，就执行登录过程所需要的运算并将运算结果传送给网页。 WEBAC开发手册列举了所有这类预先定义的网页元素，及其含义、功能、属性。WEBAC就是通过这些网页元素来实现网页与硬件之间的交互的。 四 WEBAC身份认证的原理 明白了WEBAC实现网页与硬件进行交互的原理之后，您肯定还想了解WEBAC如何实现对用户的身份认证的。 1 一个UKey硬件绑定一个用户 这个通过发行UKey 来实现。所谓绑定一个用户，实际上是绑定一条用户记录。由于每一个UKey都具备一个唯一的序列号，发行的过程，就是在数据库里面该用户记录里面加上序列号信息，也就是准备发给这个用户的UKey的序列号的信息。同时在硬件和数据库里面都写入一个随机字符串信息。 2 认证用的种子数据(Salt Value) 写入的这一串随机字符串信息，就是用于认证的种子数据。 传统的账户+密码的用户认证方式中的密码相当于认证用的种子数据，只不过他不能变化，要变就要执行修改密码的流程，并且要通过网络传输到服务器端，如果是HTTPS模式，还能够避免传输过程中的泄漏，目前大多数的网站都没有这样做，对于一些小型网站或者内部用的网站，很少使用HTTPS的，这样，实际上很容易就能够跟踪到明文传送的账户密码信息，实际上是。 WEBAC使用的基于种子数据的认证，其流程是这样的：服务器端准备一串临时生成的随机数据，终端使用UKey里面保存的种子数据作为密