-1

可以在机器级别授权用户。例如,只有在使用授权计算机(我的个人笔记本电脑或其他经理的电脑)时,才能访问管理页面?任何其他计算机都应该收到拒绝访问消息或其他信息。授权计算机可能仍会提供自己的管理员用户名和密码,以防人们伪造机器的身份,也许。虽然我不是安全专家。

4

2 回答 2

1

如果我误解了,请纠正我,但您要求只允许特定机器上的访问者访问您的网站?

在这里直接跳入解决方案。第一个问题是你怎么知道哪些机器是“经理的”机器?你有他们的IP地址列表吗?你有其他身份证吗?

如果您有他们的 IP 地址,则将他们列入 IP 白名单,并阻止所有其他 IP 地址。

如果您没有他们的 IP 地址,那么您将受到限制。没有可以通过网络浏览器访问的机器 ID,因此您需要通过设置长寿命 cookie 和注册过程来创建自己的 ID。

由于您已经有一个登录过程,因此下一部分相当简单。您以前使用过此解决方案。当你登录google mail,点击“记住我”,下次电脑重启时不需要登录,google基本上已经将你的机器标记(设置cookie)为你的机器了。

现在,如果你想变得超级花哨,企业有 NAC 设置。每个系统在被允许连接到网络之前都会被识别。某些系统被授予比其他系统更多的访问权限。例如,在一家软件开发公司,工程师可以访问生产网络,而销售人员则不能。当他们连接时,销售人员在识别出他们是谁以及机器属于谁之后,会被转移到一个受限的 vlan。如果您的公司是这种情况,那么您会将整个子网块列入白名单。

最后一点。大通银行使用机器 cookie 概念,如下所示:您第一次登录时,他们会询问您的用户名和密码。然后将代码发送到您的手机或某些第三方渠道。输入代码后,设置一个机器cookie(相同的旧cookie)。下次登录时,他们会询问用户名和密码,然后查找机器 cookie。如果机器cookie在那里,那么它们不会让您再次输入代码。

您可以将其作为您的注册过程,除非您向经理提供他们可以输入的代码。我不认为您想要获得比静态密码更复杂的注册机器,但如果您这样做了,您可以按照rfc 4226中的规范生成一次性令牌。

于 2013-07-27T22:23:11.077 回答
0

您不能限制对特定计算设备的访问(因为使用的设备类型很多,并且没有通用的东西可以绑定),但根据您的应用程序设计,您仍然可以解决您的问题。您需要绑定的不是计算机,而是其他无法复制的硬件设备。

其中一种设备是带有证书和私钥的硬件加密令牌或加密卡。用户将设备分别插入 USB 或读卡器,然后使用存储在此设备上的证书和私钥在服务器上进行身份验证)。使用证书的客户端身份验证是一个很大但众所周知的话题,所以我不在这里讨论它。

虽然可以将加密设备移动到另一个计算机系统,但无法复制它或从中提取私钥。因此,您可以(具有一定的高可靠性)假设只存在一个私钥副本,并且它存储在某些特定设备上。

当然,您需要为每个设备创建另一个证书,但这不是问题 - 这些证书的唯一目的是被服务器接受,因此服务器可以在需要时颁发新证书。

于 2013-07-28T04:38:28.503 回答