本篇文章給大家分享的是有關(guān)如何用加密鎖實現(xiàn)WEB程序身份認(rèn)證，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

創(chuàng)新互聯(lián)建站服務(wù)項目包括安多網(wǎng)站建設(shè)、安多網(wǎng)站制作、安多網(wǎng)頁制作以及安多網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，安多網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到安多省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

精銳5加密鎖身份認(rèn)證方案簡介

精銳5 身份認(rèn)證“組件”（Virbox WebServer），是一個運行在用戶計算機的本地 Web 服務(wù)（不需要訪問互聯(lián)網(wǎng)），提供 Web 接口訪問精銳5加密鎖，B/S 架構(gòu)的 Web 應(yīng)用只需在網(wǎng)頁代碼中嵌入調(diào)用接口（跨域訪問）的代碼即可訪問加密鎖、獲取加密鎖信息，實現(xiàn)身份認(rèn)證功能。

不同于 COM 組件訪問加密鎖的方式，本產(chǎn)品提供的 Web 接口可用 JavaScript 調(diào)用，開發(fā)者不需要學(xué)習(xí)額外的技能即可完成功能集成，兼容市面主流的瀏覽器（IE、Chrome、360、Firefox 等）。

方案特點

1.快速開發(fā)

完善的接口文檔及組件、示例代碼，幫助開發(fā)者快速完成加密方案

2.安全方案

加密鎖私鑰簽名后的認(rèn)證數(shù)據(jù)具有不可偽造的特性，無論 B/S 服務(wù)端與客戶端通信使用 HTTPS 或 HTTP 協(xié)議，傳輸數(shù)據(jù)是明文或者密文，都不影響認(rèn)證數(shù)據(jù)的安全性。

3.雙重驗證

可以同時采用 用戶名、密碼 登錄認(rèn)證的方式，對客戶端用戶進行賬號認(rèn)證，與硬件加密鎖認(rèn)證結(jié)合實現(xiàn)雙重認(rèn)證

4.兼容多瀏覽器

精銳5身份認(rèn)證方案兼容主流瀏覽器

產(chǎn)品架構(gòu)

• B/S 服務(wù)端：開發(fā)者 B/S 架構(gòu)應(yīng)用程序（網(wǎng)站）服務(wù)端，向用戶提供服務(wù)。

• 瀏覽器（客戶端）：用戶通過瀏覽器訪問指定域名的網(wǎng)站，包括主流的瀏覽器：IE、Chrome、360安全瀏覽器、360極速瀏覽器、獵豹瀏覽器等。

• Virbox WebServer：身份認(rèn)證核心組件，提供訪問加密鎖的 Web 接口。

• Virbox 用戶工具：訪問精銳5加密鎖、云鎖、軟鎖，提供抽象訪問鎖（含硬件鎖、云鎖、軟鎖）接口。

• 精銳5加密鎖：身份認(rèn)證的物理介質(zhì)，鎖內(nèi)存有唯一的設(shè)備私鑰，提供不可偽造的設(shè)備簽名。每一把精銳5加密鎖在出廠前由鎖內(nèi)安全芯片生成全球唯一密鑰和證書，硬件具有不可復(fù)制、密鑰不可導(dǎo)出的安全特性，讓偽造認(rèn)證變得更加困難。

注意：Virbox WebServer 無法直接與精銳5加密鎖通信，需要通過 Virbox 用戶工具間接訪問加密鎖，所以在軟件運行環(huán)境部署時需要安裝 Virbox WebServer 和 Virbox 用戶工具（可以通過官網(wǎng)下載最新版本）。

加密方案

精銳5 身份認(rèn)證的加密方案以加密鎖設(shè)備唯一的私鑰不可篡改、不可克隆為基礎(chǔ)，使用加密鎖私鑰簽名、加密鎖公鑰驗簽的方式進行驗證。

基礎(chǔ)方案

前提條件

B/S 服務(wù)端已保存發(fā)售的加密鎖信息（外殼號、芯片號、設(shè)備證書） 

B/S 服務(wù)端

當(dāng)某一臺客戶端通過瀏覽器網(wǎng)頁訪問 B/S 服務(wù)端時，服務(wù)端首先校驗客戶端的合法性。

1. 服務(wù)端記錄客戶端會話GUID

2. 根據(jù)會話GUID + 隨機數(shù) + 當(dāng)前的UTC時間組合生成驗證數(shù)據(jù)，使用 Hash 算法計算驗證數(shù)據(jù)的哈希結(jié)果，用于驗證客戶端的合法性。

3. 服務(wù)端將校驗數(shù)據(jù)返回給客戶端，等待客戶端使用本地的加密鎖的私鑰對驗證數(shù)據(jù)的 Hash 結(jié)果進行簽名，并將加密鎖信息和驗證簽名結(jié)果返回給服務(wù)端。

4. 服務(wù)端校驗加密鎖合法性。服務(wù)端檢查客戶端上傳的加密鎖信息（外殼號、芯片號）與數(shù)據(jù)庫內(nèi)容對比是否一致，驗證加密鎖的合法性。

5. 服務(wù)端校驗驗證數(shù)據(jù)的合法性。服務(wù)端在確認(rèn)加密鎖合法后，使用加密鎖的設(shè)備公鑰驗簽私鑰簽名的合法性，只有當(dāng)簽名結(jié)果與驗證數(shù)據(jù)完全一致時，表示當(dāng)前客戶端的加密鎖有效。

客戶端

用戶通過客戶端的瀏覽器網(wǎng)頁訪問 B/S 服務(wù)端某些業(yè)務(wù)功能，當(dāng) B/S 服務(wù)端需要驗證客戶端的合法性時，客戶端需要將服務(wù)端返回的數(shù)據(jù)交給本地的精銳5硬件鎖進行簽名，然后將簽名結(jié)果返回給服務(wù)端進行驗證。

1. 客戶端通過 Virbox WebServer 接口獲取加密鎖信息（外殼號、芯片號、設(shè)備證書）。

2. 客戶端通過 Virbox WebServer 接口對服務(wù)端返回的認(rèn)證數(shù)據(jù)進行加密鎖私鑰簽名。

3. 客戶端將加密鎖信息和加密鎖私鑰簽名后的數(shù)據(jù)一起發(fā)給服務(wù)端進行校驗審核。

雙重驗證方案

在實現(xiàn)基礎(chǔ)方案的基礎(chǔ)上，B/S 服務(wù)端可以同時采用 用戶名、密碼 登錄認(rèn)證的方式，對客戶端用戶進行賬號認(rèn)證，與硬件加密鎖認(rèn)證結(jié)合實現(xiàn)雙重認(rèn)證。

當(dāng)客戶端需要進行某些特殊操作時，進行加密鎖認(rèn)證，認(rèn)證通過后允許客戶端執(zhí)行業(yè)務(wù)功能。

安全性

精銳5身份認(rèn)證的安全性由加密方案和精銳5硬件加密鎖硬件兩方面保證。

從上文中可以了解到 Virbox 身份認(rèn)證，由服務(wù)端針對每一個客戶端生成唯一、不可重放的認(rèn)證數(shù)據(jù)，再通過網(wǎng)絡(luò)交給客戶端，客戶端使用加密鎖私鑰對認(rèn)證數(shù)據(jù)進行簽名，最后客戶端再將認(rèn)證提交給 B/S 服務(wù)端在服務(wù)端進行認(rèn)證檢查。

認(rèn)證數(shù)據(jù)的生成和簽名結(jié)果校驗在服務(wù)端完成，客戶端使用加密鎖私鑰簽名后的認(rèn)證數(shù)據(jù)具有不可偽造的特性，無論 B/S 服務(wù)端與客戶端通信使用 HTTPS 或 HTTP 協(xié)議，傳輸數(shù)據(jù)是明文或者密文，都不影響認(rèn)證數(shù)據(jù)的安全性。

開發(fā)者只需保證 B/S 服務(wù)端生成的認(rèn)證數(shù)據(jù)以下兩個特點：

1. 唯一性。每個客戶端應(yīng)該具有唯一的認(rèn)證數(shù)據(jù)。

2. 抗重放。認(rèn)證數(shù)據(jù)只有單次有效，過期作廢，驗證完畢即刻清除，防止數(shù)據(jù)被重復(fù)利用。

功能集成

開發(fā)者參照示例（web_server_test.html）將調(diào)用 Virbox WebServer 的 JS 代碼集成到業(yè)務(wù)功能的網(wǎng)頁中，并根據(jù)業(yè)務(wù)流程在適當(dāng)?shù)那闆r下觸發(fā)相關(guān)接口調(diào)用即可。

我們向開發(fā)者提供 Virbox WebServer 和 用戶工具的安裝包，以及 Virbox WebServer 接口文檔、示例代碼（C#、Java）。獲取開發(fā)包請聯(lián)系 技術(shù)服務(wù)人員。

開發(fā)者需要參照示例程序完成以下工作：

1. B/S 服務(wù)端生成認(rèn)證數(shù)據(jù)，調(diào)用標(biāo)準(zhǔn)密碼學(xué)接口實現(xiàn)公鑰驗簽功能。

2. B/S 服務(wù)端根據(jù)加密方案提供數(shù)據(jù)存儲和校驗邏輯。

1. 服務(wù)端需要實現(xiàn)賬號密碼登錄功能和相關(guān)數(shù)據(jù)存儲。

2. 服務(wù)端需要記錄正式發(fā)布的加密鎖信息

3. 客戶端調(diào)用 Virbox WebServer 接口獲取加密鎖信息，提交給服務(wù)端。

4. 服務(wù)端實現(xiàn)檢查客戶端加密鎖數(shù)據(jù)有效性檢查功能。

5. 基本方案。

6. 雙重驗證方案。

環(huán)境部署

安裝組件

在用戶計算機需要安裝以下組件

1. Virbox 用戶工具，開發(fā)者可以通過官網(wǎng)下載最新版本。

2. 身份認(rèn)證組件（Virbox WebServer），聯(lián)系技術(shù)服務(wù)人員獲取最新發(fā)布版本。

部署驗證

1. 在用戶計算機插入精銳5硬件鎖

2. 使用瀏覽器打開測試用例（web_server_test.html），點擊 “查詢 WebServer 版本號” ，返回當(dāng)前認(rèn)證服務(wù)版本號，如果未返回結(jié)果或提示錯誤，請根據(jù)常見問題進行排查。

兼容瀏覽器

常見問題 

HTTPS 和 HTTP 協(xié)議選擇

Virbox WebServer的協(xié)議必須要與 B/S 服務(wù)端保持一致，如果瀏覽器訪問域名使用 HTTPS 協(xié)議，在返回的頁面中集成調(diào)用 Virbox WebServer 接口，必須保證運行的 Virbox WebServer 也是 HTTPS，否則會在頁面代碼中集成的 JS 代碼調(diào)用接口會返回失??；反之，如果瀏覽器訪問域名使用 HTTP 協(xié)議，用戶端部署的 Virbox WebServer 也需要設(shè)置為 HTTP 協(xié)議。

Virbox WebServer 目前支持 HTTPS 和 HTTP 兩種協(xié)議。當(dāng)前版本服務(wù)運行期間只能選擇一種協(xié)議，服務(wù)默認(rèn)配置為 HTTPS，開發(fā)者可以通過修改安裝目錄下的配置文件（websrv_config.ini），將 protocol=HTTPS 改為 protocol=HTTP，保存配置文件，并重啟 “VirboxWebServer”，配置即刻生效。

備注：Virbox WebServer 默認(rèn)安裝目錄 C:\Program Files (x86)\senseshield\ss_web

選擇 HTTPS 協(xié)議時證書是否能夠兼容主流的瀏覽器客戶端

Virbox WebServer 使用 HTTPS 協(xié)議自簽名證書，在安裝時將根證書添加至 Windows 證書管理 “受信任的根證書頒發(fā)機構(gòu)”，所有使用 Windows 證書管理的瀏覽器（IE、Edge、Chrome、360）都能夠正常訪問 Web 接口，不會提示“錯誤的證書”。

Firefox（火狐瀏覽器） 并未使用 Windows 證書管理，當(dāng)前版本需要用戶手動訪問 Virbox WebServer 提供 Web 接口，在提示“錯誤證書”時將證書添加至信任列表即可，否則在網(wǎng)頁中調(diào)用 JS 代碼接口跨域訪問時會返回失敗。

Virbox WebServer 是否支持跨主機訪問

Virbox WebServer 設(shè)置 HTTP 協(xié)議，支持跨主機使用 IP 訪問。

Virbox WebServer 設(shè)置 HTTPS 協(xié)議，只支持使用 localhost 域名在本機訪問 Web 接口，不支持其他域名和跨主機使用 IP 訪問。

HTTPS 瀏覽器首次請求等待時間長

Virbox WebServer 設(shè)置 HTTPS 協(xié)議時，無論通過瀏覽器直接輸入接口地址，或者通過 JS 調(diào)用接口，首次需要建立 HTTPS 通道，校驗證書，造成請求處理時間較長，請耐心等待，但再次請求時耗時恢復(fù)與接口實際用時相當(dāng)?shù)臅r間。

更換瀏覽器首次訪問 Virbox WebServer 接口都會存在訪問慢的情況。
建議：1.開發(fā)者可在網(wǎng)頁中明確標(biāo)識功能仍在后臺運行，請用戶稍后的提示信息；2.在不考慮安全性的情況下，可改用 HTTP 協(xié)議，則不存在首次請求返回慢問題。

以上就是如何用加密鎖實現(xiàn)WEB程序身份認(rèn)證，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。