在機器級授權用戶？

Question

可以在機器級授權用戶。例如，只有當使用授權的計算機（我的個人筆記本電腦或其他經理的電腦）才能訪問管理頁面？任何其他計算機應該得到拒絕訪問消息或其他東西。授權的計算機可能仍然會提供自己的管理員用戶名和密碼，以防人們僞造機器的身份。但我不是安全專家。

Answer 1

糾正我，如果我誤解，但你只是要求訪問者在特定的機器訪問您的網站？

在這裏跳入解決方案。第一個問題是，你如何知道哪些機器是「經理人」的機器？你有他們的IP地址列表嗎？你有其他的身份證嗎？

如果你有他們的IP地址，然後IP將他們白名單，並阻止所有其他的IP地址。

如果你沒有他們的IP地址，那麼你是有限的。沒有可通過網絡瀏覽器訪問的計算機ID，因此您需要通過設置長期存在的Cookie和註冊過程來創建自己的ID。

由於您已經有登錄過程，因此下一部分相當簡單。你以前使用過這個解決方案。當您登錄Google郵件並點擊「記住我」，並且在下次重新啓動計算機時不需要登錄時，Google基本上已將您的計算機標記爲（設置Cookie）爲您的計算機。

現在，如果你想獲得超級花式，企業有NAC設置。每個系統在被允許連接到網絡之前被識別。某些系統比其他系統獲得更多訪問權限。例如，在一家軟件開發公司，工程師可能有權訪問生產網絡，而銷售人員則不能。當他們連接時，銷售人員在識別出他們是誰以及機器屬於誰之後轉移到受限制的vlan。如果您的公司屬於這種情況，那麼您會將整個子網塊列入白名單。

最後一點。 Chase銀行使用機器cookie概念，如下所示：第一次登錄時，他們會詢問您的用戶名和密碼。然後將代碼發送到您的手機或某個第三方頻道。輸入代碼後，設置一個機器cookie（相同的舊cookie）。下次登錄時，他們會要求輸入用戶名和密碼，然後查找機器cookie。如果機器cookie存在，那麼它們不會讓您再次輸入代碼。

您可以進行註冊過程，除非您向經理提供可輸入的代碼。我不認爲你想要註冊機器比靜態密碼複雜得多，但如果你這樣做了，你可以按照rfc 4226中的規範生成一個時間令牌。

Answer 2

您不能限制對特定計算設備的訪問（因爲有很多類型的設備使用，並且沒有通用的綁定方式），但根據您的應用程序設計，您仍然可以解決您的問題。您不需要綁定到計算機，而是綁定到其他不可複製的硬件設備。

其中一個這樣的設備是一個硬件cryptotoken或加密卡與證書和一個私鑰在裏面。用戶分別將設備插入USB或讀卡器，然後使用存儲在該設備上的證書和私鑰在服務器上進行身份驗證）。使用證書進行客戶端身份驗證是一個很大但衆所周知的話題，所以我在這裏不討論它。

雖然可以將加密設備移動到另一臺計算機系統，但無法複製或從中提取私鑰。因此，您可以（具有一定的高可靠性）假定只存在一個私鑰副本，並將其存儲在某個特定設備上。

當然，您需要爲每個設備創建另一個證書，但這不是問題 - 這些證書的唯一目的是被服務器接受，因此服務器可以在需要時頒發新證書。