本發(fā)明涉及信息安全，特別涉及一種基于安全控件的bs架構(gòu)系統(tǒng)身份鑒別方法。

背景技術(shù)：

1、自20世紀(jì)90年代以來(lái)，互聯(lián)網(wǎng)在全球范圍內(nèi)迅速普及，人們的工作、生活越來(lái)越依賴于網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)應(yīng)用的深入，人們的生活和工作越來(lái)越依賴于互聯(lián)網(wǎng)，網(wǎng)絡(luò)購(gòu)物、在線支付等電子商務(wù)活動(dòng)已經(jīng)成為人們?nèi)粘Ｉ畹囊徊糠郑簧缃幻襟w平臺(tái)讓人們能夠隨時(shí)隨地分享信息和交流；居家辦公在近幾年也悄然興起。伴隨而來(lái)的是網(wǎng)絡(luò)安全問(wèn)題，身份鑒別成為保障信息安全的基礎(chǔ)。釣魚網(wǎng)站、虛假?gòu)V告等通過(guò)網(wǎng)絡(luò)進(jìn)行的詐騙活動(dòng)層出不窮，因用戶身份數(shù)據(jù)泄露而導(dǎo)致隱私和財(cái)產(chǎn)損失日益頻繁。在這樣的背景下，通過(guò)終端設(shè)備限制可以避免用戶身份泄露導(dǎo)致身份鑒別失效，同時(shí)也可以起到限制用戶只能使用特定終端操作軟件系統(tǒng)的效果。

2、b/s架構(gòu)(browser-server架構(gòu)，即瀏覽器-服務(wù)器架構(gòu))的系統(tǒng)是客戶端通過(guò)瀏覽器訪問(wèn)和使用服務(wù)器端應(yīng)用程序的一種網(wǎng)絡(luò)架構(gòu)。此架構(gòu)集易于訪問(wèn)和維護(hù)、跨平臺(tái)兼容、集中管理、易于擴(kuò)展、用戶界面一致等多種優(yōu)勢(shì)于一身，目前大多數(shù)軟件系統(tǒng)都基于此架構(gòu)研發(fā)。但是瀏覽器基于安全和隱私的考慮，不提供方法獲取本地信息。而用戶終端設(shè)備限制主要通過(guò)唯一標(biāo)識(shí)符、ip地址、mac地址進(jìn)行限制，這些信息無(wú)法通過(guò)瀏覽器直接獲取，致使軟件系統(tǒng)不能進(jìn)行用戶終端限制。

3、基于上述情況，本發(fā)明提出了一種基于安全控件的bs架構(gòu)系統(tǒng)身份鑒別方法。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明為了彌補(bǔ)現(xiàn)有技術(shù)的缺陷，提供了一種簡(jiǎn)單高效的基于安全控件的bs架構(gòu)系統(tǒng)身份鑒別方法。

2、本發(fā)明是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的：

3、一種基于安全控件的bs架構(gòu)系統(tǒng)身份鑒別方法，其特征在于：包括以下步驟：

4、步驟s1、通過(guò)身份鑒別模塊提供用戶登錄界面及登錄校驗(yàn)功能，當(dāng)用戶在客戶端點(diǎn)擊登錄時(shí)，自動(dòng)調(diào)用安全控件獲取終端設(shè)備信息；

5、步驟s2、安全控件接收到用戶登錄請(qǐng)求時(shí)立即查詢當(dāng)前終端的設(shè)備唯一標(biāo)識(shí)符、ip地址和mac地址，以防設(shè)備信息不一致；

6、步驟s3、安全控件對(duì)包括用戶和密碼在內(nèi)的登錄信息與終端設(shè)備信息進(jìn)行加密處理，加密后一起提交到身份鑒別模塊后端服務(wù)，進(jìn)行身份鑒別；

7、步驟s4、管理員根據(jù)實(shí)際需求，通過(guò)身份鑒別模塊自定義設(shè)置用戶設(shè)備安全登錄限制條件；

8、當(dāng)?shù)卿浗K端設(shè)備的設(shè)備信息滿足用戶設(shè)備安全登錄限制條件時(shí)，安全校驗(yàn)通過(guò)，用戶正常登錄，否則為不通過(guò)，拒絕用戶登錄請(qǐng)求。

9、所述步驟s2中，安全控件對(duì)外提供查詢終端設(shè)備信息服務(wù)，該服務(wù)只監(jiān)聽127.0.0.1ip地址與用戶指定端口，以防止通過(guò)其他終端訪問(wèn)安全控件繞過(guò)終端限制，保障調(diào)用安全。

10、所述步驟s2中，用戶客戶端查詢終端設(shè)備信息時(shí)，傳入當(dāng)前的登錄用戶名；安全控件查詢終端設(shè)備信息的步驟如下：

11、步驟s2.1、查詢唯一標(biāo)識(shí)符

12、a)如果終端設(shè)備采用mac操作系統(tǒng)，則：

13、i.通過(guò)命令system_profiler?sphardwaredatatype獲取終端設(shè)備硬件信息；

14、ii.通過(guò)命令sysctl-x?machdep.cpu.signature獲取終端設(shè)備cpuid；

15、iii.將終端設(shè)備硬件信息中的硬件標(biāo)識(shí)符、硬件序列號(hào)與cpuid拼接后進(jìn)行base64加密，作為唯一標(biāo)識(shí)符；

16、b)如果終端設(shè)備采用windows操作系統(tǒng)，則：

17、i.通過(guò)命令wmic?csproduct?get?uuid獲取終端設(shè)備硬件標(biāo)識(shí)符；

18、ii.通過(guò)命令wmic?baseboard?get?serialnumber獲取終端設(shè)備硬件序列號(hào)；

19、iii.通過(guò)命令wmic?cpu?get?processorid獲取終端設(shè)備cpuid；

20、iv.將終端設(shè)備的硬件標(biāo)識(shí)符、硬件序列號(hào)與cpuid拼接后進(jìn)行base64加密，作為唯一標(biāo)識(shí)符；

21、c)如果終端設(shè)備采用linux操作系統(tǒng)，則：

22、i.通過(guò)命令dmidecode–s?system-uuid獲取終端設(shè)備硬件標(biāo)識(shí)符；

23、ii.通過(guò)命令dmidecode–s?system-serial-number獲取終端設(shè)備硬件序列號(hào)；

24、iii.通過(guò)命令dmidecode–t?processor獲取終端設(shè)備cpuid；

25、iv.將終端設(shè)備的硬件標(biāo)識(shí)符、硬件序列號(hào)與cpuid拼接后進(jìn)行base64加密，作為唯一標(biāo)識(shí)符；

26、步驟s2.2、查詢ip地址和mac地址

27、查詢終端設(shè)備的所有網(wǎng)絡(luò)接口，只保留非回環(huán)的全局單播ip地址及其網(wǎng)卡的mac地址。

28、所述步驟s3中，安全控件將請(qǐng)求的用戶名拼接一段自定義固定字符進(jìn)行加密，得到本次加密的鹽值(salt)，并使用得到的鹽值對(duì)終端設(shè)備信息進(jìn)行加密。

29、所述步驟s4中，用戶設(shè)備安全登錄限制條件中，設(shè)備信息之間設(shè)置與、或、非三種邏輯關(guān)系，相應(yīng)的安全校驗(yàn)規(guī)則如下：

30、若用戶設(shè)備安全登錄限制條件中設(shè)置設(shè)備標(biāo)識(shí)符與設(shè)備ip地址與設(shè)備mac地址，則上述三種設(shè)備信息須全部校驗(yàn)通過(guò)，身份鑒別模塊認(rèn)為安全校驗(yàn)通過(guò)，否則為不通過(guò)；

31、若用戶設(shè)備安全登錄限制條件中設(shè)置設(shè)備標(biāo)識(shí)符或設(shè)備ip地址與設(shè)備mac地址，則設(shè)備標(biāo)識(shí)符或設(shè)備ip地址其中一個(gè)或兩個(gè)校驗(yàn)通過(guò)，同時(shí)設(shè)備mac地址校驗(yàn)通過(guò)，身份鑒別模塊認(rèn)為安全校驗(yàn)通過(guò)，否則為不通過(guò)；

32、若用戶設(shè)備安全登錄限制條件中設(shè)置設(shè)備標(biāo)識(shí)符與非設(shè)備ip地址與設(shè)備mac地址，則設(shè)備標(biāo)識(shí)符校驗(yàn)通過(guò)，設(shè)備ip地址校驗(yàn)不通過(guò)，設(shè)備mac地址校驗(yàn)通過(guò)，身份鑒別模塊認(rèn)為安全校驗(yàn)通過(guò)，否則為不通過(guò)。

33、未設(shè)置的設(shè)備信息不參與邏輯運(yùn)算。

34、一種基于安全控件的bs架構(gòu)系統(tǒng)身份鑒別系統(tǒng)，包括身份鑒別模塊和安全控件；

35、所述身份鑒別模塊在架構(gòu)上分為前端客戶端與后端服務(wù)；前端客戶端用于界面化展示，后端服務(wù)進(jìn)行數(shù)據(jù)交互與邏輯處理，負(fù)責(zé)提供登錄登出、安全登錄管理、登錄日志查看、登錄密碼管理、安全控件管理與用戶管理功能；

36、所述身份鑒別模塊將用戶角色分為管理員與普通用戶，其中管理員擁有全部功能權(quán)限，普通用戶僅具有登錄登出與登錄密碼管理功能權(quán)限；

37、所述安全控件負(fù)責(zé)在接收到用戶登錄請(qǐng)求后立即查詢當(dāng)前終端的設(shè)備唯一標(biāo)識(shí)符、ip地址和mac地址，并對(duì)包括用戶和密碼在內(nèi)的登錄信息與終端設(shè)備信息進(jìn)行加密處理，加密后一起提交到身份鑒別模塊后端服務(wù)。

38、登錄登出是系統(tǒng)的核心功能，所述身份鑒別模塊通過(guò)用戶登錄界面提供安全設(shè)備下載地址，用戶通過(guò)點(diǎn)擊下載安全設(shè)備鏈接下載安裝安全控件；

39、用戶首次登錄系統(tǒng)時(shí)不進(jìn)行設(shè)備校驗(yàn)。

40、安全登錄管理提供管理用戶安全登錄設(shè)備的能力，管理員根據(jù)實(shí)際需求自定義設(shè)置用戶設(shè)備安全登錄限制條件，具體設(shè)置規(guī)則如下：

41、a)系統(tǒng)只校驗(yàn)設(shè)置的設(shè)備信息，其他未設(shè)置的設(shè)備信息不進(jìn)行校驗(yàn)；

42、b)設(shè)備ip地址支持錄入具體的ip地址與ip段；

43、c)多個(gè)設(shè)備信息間使用間隔符進(jìn)行分隔，登錄設(shè)備是滿足其中一個(gè)設(shè)備信息，即通過(guò)設(shè)備信息校驗(yàn)；

44、d)多個(gè)設(shè)備信息之間設(shè)置與、或、非三種邏輯關(guān)系：

45、設(shè)置設(shè)備標(biāo)識(shí)符與設(shè)備ip地址與設(shè)備mac地址，則三種設(shè)備信息須全部校驗(yàn)通過(guò)，身份鑒別模塊認(rèn)為安全校驗(yàn)通過(guò)，否則為不通過(guò)；

46、設(shè)置設(shè)備標(biāo)識(shí)符或設(shè)備ip地址與設(shè)備mac地址，則設(shè)備標(biāo)識(shí)符或設(shè)備ip地址其中一個(gè)或兩個(gè)校驗(yàn)通過(guò)同時(shí)設(shè)備mac地址校驗(yàn)通過(guò)，身份鑒別模塊認(rèn)為安全校驗(yàn)通過(guò)，否則為不通過(guò)；

47、設(shè)置設(shè)備標(biāo)識(shí)符與非設(shè)備ip地址與設(shè)備mac地址，則設(shè)備標(biāo)識(shí)符校驗(yàn)通過(guò)，設(shè)備ip地址校驗(yàn)不通過(guò)，設(shè)備mac地址校驗(yàn)通過(guò)，身份鑒別模塊認(rèn)為安全校驗(yàn)通過(guò)，否則為不通過(guò)。

48、一種基于安全控件的bs架構(gòu)系統(tǒng)身份鑒別設(shè)備，其特征在于：包括存儲(chǔ)器和處理器；所述存儲(chǔ)器用于存儲(chǔ)計(jì)算機(jī)程序，所述處理器用于執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)上述的方法步驟。

49、一種可讀存儲(chǔ)介質(zhì)，其特征在于：所述可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述的方法步驟。

50、本發(fā)明的有益效果是：該基于安全控件的bs架構(gòu)系統(tǒng)身份鑒別方法，顯著提高了身份鑒別的安全性與可靠性，靈活性強(qiáng)，降低了用戶身份信息泄露的安全風(fēng)險(xiǎn)，能夠?yàn)槠髽I(yè)和用戶提供更加可靠的信息安全保障。