一种防止未授权自助机终端访问B/S架构系统的方法与流程

一种防止未授权自助机终端访问b/s架构系统的方法
技术领域
1.本发明涉及数据安全技术领域，尤其涉及一种防止未授权自助机终端访问b/s 架构系统的方法。


背景技术：

2.随着自助终端数量的不断增加、可办理业务种类的不断丰富，方便快捷的同时诸多安全隐患也随之暴露。例如直接使用非授权客户端访问自助办理程序，未经部门授权擅自增加自助终端等问题。
3.现有系统授权都通过提前获取机器码，然后根据机器码生成授权码，使授权码跟机器码绑定的方式，限制非法使。


技术实现要素：

4.为了解决以上技术问题，本发明提供了一种防止未授权自助机终端访问b/s 架构系统的方法。
5.本发明的技术方案是：
6.一种防止未授权自助机终端访问b/s架构系统的方法，
7.主要包含以下内容：
8.1)获取自助终端机器信息。
9.2)自助终端注册管理。
10.3)授权码生成。
11.4)授权码管理。
12.5)授权码合法性判定。
13.6)自助终端授权使用。
14.进一步的，
15.根据客户端硬件信息生成自助机终端设备的硬件唯一识别码，通过调用后台 web service接口自动注册终端机器，使用rsa加密算法生成的防伪造防篡改的授权码对自助终端进行授权激活。
16.进一步的，
17.通过自动安装的自助终端activex控件根据机器硬件信息获取机器的唯一识别码。activex控件将机器识别码发送到服务器端，服务器端判断该自助终端是否已经注册，若未注册，则自动注册，将该自助机信息保存到服务端数据库中。
18.进一步的，
19.根据硬件唯一识别码通过调用服务器端web service接口自动注册终端机器。
20.授权码管理系统使用rsa加密算法生成防伪造防篡改的授权码，自助终端输入授权码进行授权和激活。
21.授权码生成：系统运营人员可以使用授权码生成客户端生成授权码和密钥。系统
每次随机生成8位字符串序列。系统运营人员可以添加使用期限，系统将随机字符串序列加使用期限组装成json字符串后使用rsa非对称加密私钥对其进行加密。
22.授权码管理：由具有授权码发放权限的用户(系统运营人员)使用授权码管理系统生成授权码，并管理授权码的使用情况。然后将8位授权码发放给自助终端管理员。授权码生成时，可以批量生成，方便系统运营人员批量下发授权码。
23.授权码合法性判定：自助大厅自助机终端管理员输入授权码进行激活。服务端接收到自助机终端传入的授权码，查找出对应的密文，使用服务端存储的公钥对该授权码对应的密文进行解密，比对输入的授权码与解密密文是否一致。若不一致，则该授权码可能存在被篡改或伪造的情况。如果一致，并且存在使用期限，则判断是否在使用期限内，如果超过使用期限，则禁止该自助机终端继续使用。
24.本发明的有益效果是
25.此方法采用rsa非对称加密，在授权码管理系统生成授权码并使用私钥加密，在业务系统使用公钥对授权码进行解密后验证。加密和解密密钥分离，使授权码具有易于管理，防伪造和防篡改的安全性。
26.此方法可以批量生成授权码，提前发放给自助终端管理员，方便管理员激活自助终端，提高开通效率。
27.此系统记录每一台被激活的自助终端，可以方便的管理每台自助终端的授权激活使用状态，随时下线被废弃的自助终端。
28.此方法允许设置使用期限，可以方便部分客户端临时激活使用。例如在演示时使用，演示结束后不需要人工回收激活码，可以自动停止使用。
附图说明
29.图1是自助机终端激活流程示意图。
具体实施方式
30.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
31.为解决非授权访问自助办理系统的问题，本发明采用了一种防止未授权自助机终端访问b/s架构系统的方法去解决上述安全问题，保证政府业务和数据安全。
32.主要包含以下内容：
33.1.获取自助终端机器信息。
34.2.自助终端注册管理。
35.3.授权码生成。
36.4.授权码管理。
37.5.授权码合法性判定。
38.6.自助终端授权使用。
39.当自助终端浏览器第一次访问系统时，安装浏览器插件。
activex输出文件稍大(附带必要的mfc dll)，但易于上手。前台24小时自助终端设备，基于windows操作系统，全部采用ie浏览器内核，支持activex控件。考虑到自助终端数量不大，网络状况优良，activex控件一次性安装，所以采用mfc开发。
57.2)后台服务器端，需要向外暴露自助终端注册、激活、使用期限限制、禁用等供前台自助终端使用的api。web service是一个平台独立的，低耦合的，自包含的、基于可编程的web的应用程序，可使用开放的xml(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序，用于开发分布式的互操作的应用程序。web service向外界暴露能通过web调用的api接口，通过web实现互操作性。axis是一款开源的web service运行引擎，本质上就是一个soap引擎，提供创建服务器端、客户端和网关soap操作的基本框架。后台服务器端使用java语言开发，部署在linux操作系统上。由于后台服务器端部署在政务内网，所以只开放了某些端口的http服务。考虑到跨平台、跨语言、跨网络的背景，服务器端采用axis web service框架发布web service服务，为前台自助机终端提供api。
58.3)activex控件通过采集客户端ip、机器网卡、cpu、硬盘号等信息，通过组合加密后形成一串唯一机器识别码，然后调用后台webservice服务上传到服务器端。服务器端通过前端传入参数机器识别码，查找机器注册激活信息。如果该客户端未注册，则自动注册，并提示前端“该机器未激活，请输入授权码”。如果该客户端未输入授权码进行激活，则自动退出主体登记系统，不允许继续办理。如果该客户端已激活，则返回激活成功，允许自助机终端进行下面的业务操作。
59.4)rsa公开密钥密码体制是一种使用不同的加密密钥与解密密钥。在公开密钥密码体制中，加密密钥(即公开密钥)pk是公开信息，而解密密钥(即秘密密钥)sk是需要保密的。自助机终端授权码使用rsa加密方式进行加密，私钥由管理员保存，公钥部署在后台服务器端。使用rsa私钥对随机字符串序列和使用期限组合出的字符串进行加密，然后分发给各个自助办理大厅，由大厅工作人员在需要激活的自助机终端输入授权码，服务器端接收到授权码，使用公钥进行解密，验证使用期限，如果在使用期限内则允许激活并正常使用。
60.以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。