[发明专利]一种具有敏感数据的web应用的安全访问方法及系统

权利要求书

1.一种具有敏感数据的web应用的安全访问系统，其特征在于，所述具有敏感数据的web应用的安全访问系统包括用户侧单元、https代理网关、CA中心；

所述用户侧单元包括专用浏览器和用户硬件证书usbkey，也称为用户证书；所述专用浏览器用于检测软件运行环境、用户证书及校验用户绑定的计算机硬件的合法性、访问具有敏感数据的web应用、上传计算机硬件信息及安全防护专用浏览器本地的缓存数据；所述专用浏览器运行前检测运行环境，检查用户硬件证书usbkey是否与当前硬件环境相匹配，若不匹配会禁止访问web应用；所述专用浏览器向所述https代理网关上传计算机硬件信息；所述专用浏览器对浏览器本地的缓存数据进行加密处理，以安全防护专用浏览器本地的缓存数据；

所述https代理网关，用于验证所述专用浏览器的连接请求、web应用代理、记录所述用户侧单元的硬件信息、监测用户端上传的计算机硬件信息、监测异常访问及记录日志；所述https代理网关与所述专用浏览器之间采用https双向认证技术保证链路安全；所述https代理网关，在监测到用户端上传的计算机硬件信息异常时，断开网络连接；

所述CA中心用于负责用户证书的申请、签发及用户证书的过程管理。

2.如权利要求1所述的具有敏感数据的web应用的安全访问系统，其特征在于，所述专用浏览器包括运行环境检测模块、硬件信息采集模块、web引擎及显示模块、上传信息封装模块、缓存数据加密模块；

所述运行环境检测模块用于专用浏览器运行前检测运行环境，检查用户硬件证书usbkey是否与当前硬件环境相匹配，若不匹配会禁止访问web应用；并检查所述专用浏览器当前运行的软件环境是否安全，若安全验证用户证书是否合法、检验用户绑定的计算机硬件是否合法；

所述硬件信息采集模块用于获取计算机的硬件信息；

所述web引擎及显示模块，用于实现https双向认证及具有敏感数据的web应用的信息请求，并将结果呈现给用户，同时利用web引擎的扩展技术，调用上传信息封装模块，将计算机硬件信息上报给https代理网关；

所述上传信息封装模块，用于封装所述硬件信息采集模块获取的硬件信息；

所述缓存数据加密模块，用于对浏览器本地的缓存数据进行加密处理，以安全防护专用浏览器本地的缓存数据。

3.如权利要求1所述的具有敏感数据的web应用的安全访问系统，其特征在于，所述计算机的硬件信息包括网卡MAC地址及IP地址。

4.如权利要求1所述的具有敏感数据的web应用的安全访问系统，其特征在于，所述https代理网关包括https代理认证模块、终端上报信息记录模块、异常访问监测模块、日志模块、代理服务模块；

所述https代理认证模块，用于认证所述专用浏览器的连接请求的合法性；

所述终端上报信息记录模块，用于记录并校验专用浏览器上报的计算机硬件信息；

所述异常访问监测模块，用于监测专用浏览器的访问情况，一旦侦测到计算机硬件信息异常，则断开网络连接；

所述日志模块，用于记录所述专用浏览器的正常及异常访问记录，以备查验；

所述代理服务模块，用于作web应用代理，响应web应用的各项请求。

5.如权利要求1所述的具有敏感数据的web应用的安全访问系统，其特征在于，所述CA中心包括证书申请模块、证书签发模块、证书管理模块、日志记录模块；

所述证书申请模块，用于申请证书，收集申请用户证书的用户信息及要绑定的计算机硬件信息；

所述证书签发模块，用于签发用户硬件证书usbkey；

所述证书管理模块，用于对证书的生命周期进行管理，维护证书吊销列表；

所述日志记录模块，用于对证书申请模块、证书签发模块、证书管理模块的操作进行记录，用于审计。