CN101414913A - 基于虚拟化技术的计算机网络认证系统和方法 - Google Patents

基于虚拟化技术的计算机网络认证系统和方法 Download PDF

Info

Publication number
CN101414913A
CN101414913A CNA2008102279841A CN200810227984A CN101414913A CN 101414913 A CN101414913 A CN 101414913A CN A2008102279841 A CNA2008102279841 A CN A2008102279841A CN 200810227984 A CN200810227984 A CN 200810227984A CN 101414913 A CN101414913 A CN 101414913A
Authority
CN
China
Prior art keywords
input
identity documents
user side
network
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2008102279841A
Other languages
English (en)
Inventor
庄小凡
倪嘉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING SHIJIHONGSHAN TECHNOLOGY Co Ltd
Original Assignee
BEIJING SHIJIHONGSHAN TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING SHIJIHONGSHAN TECHNOLOGY Co Ltd filed Critical BEIJING SHIJIHONGSHAN TECHNOLOGY Co Ltd
Priority to CNA2008102279841A priority Critical patent/CN101414913A/zh
Publication of CN101414913A publication Critical patent/CN101414913A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

一种基于虚拟化技术的计算机网络认证系统和方法。本发明的系统包括:用户端和网络认证端。所述用户端是一个虚拟化平台,其软件包括虚拟机监视器以及相关联的服务域和客户域,客户域含有请求认证的网络应用和输入设备驱动模块;服务域含有输入加密模块,所述输入加密模块负责加密用户向客户域的网络应用输入的身份凭证信息。本发明的方法是:服务域读取用户向客户域的网络应用输入的身份凭证信息,并通过输入加密模块对该身份凭证信息进行加密,然后将加密的身份凭证信息传送给客户域,客户域的网络应用接收加密的身份凭证信息并通过网络把加密的身份凭证信息发送到网络认证端;最后网络认证端对加密的身份凭证信息进行解密,并对解密的身份凭证信息进行身份验证,完成整个认证过程。在本发明中,客户域获取到的用户身份凭证信息自始至终都是经过加密的,可以完全防范客户域中病毒、木马等恶意代码对用户身份凭证信息的窃取,从而有效地保护了用户敏感信息,提高了网络通信的安全性。

Description

基于虚拟化技术的计算机网络认证系统和方法
技术领域
本发明涉及虚拟化技术和信息安全技术,确切地说,涉及一种基于计算机虚拟化技术的网络认证系统和方法,属于信息安全领域和计算机虚拟化领域。
背景技术
网络认证系统(Network Authentication System)是当前网络应用中的一种常见服务系统。在网络认证系统中,用户在个人计算机等用户端上将个人的身份凭证信息(例如账号、密码等)发送给网络认证服务器端(简称网络认证端),保证用户用于身份认证的凭证信息的安全,是网络安全的一个基本要素。身份凭证信息可能在用户端输入时或网络传输过程中被窃取或篡改。现在已有的多种成熟的网络安全传输协议可以有效的保护网络传送时的信息安全,但是保证在用户端输入身份凭证信息时的安全却依然是一个严峻的挑战。
当前的计算机使用环境中,病毒、木马等恶意代码广泛传播,成为了用户端信息安全的主要威胁。它们可以在操作系统中通过挂载钩子函数的方式来截取输入设备上的输入序列,也可以用扫描内存的方式来寻找用户已经输入的敏感信息,从而达到盗取用户账号、密码等身份凭证的目的。
当前,杀毒软件虽然得到了广泛的使用,但是,由于新的病毒、木马等恶意代码层出不穷,变异速度快,而杀毒软件更新通常滞后于新病毒、木马的出现,往往无法提供及时可靠的防护。于是出现了模拟键盘等保护输入的方法。诸如此类的方法防止了恶意代码对输入信息的直接截取,在一定程度上提高了的用户端输入敏感信息的安全性,但它们同样不能抵御内存扫描的威胁,而且给输入过程带来了额外的开销和不便,降低了用户体验。因此,业界普遍希望有更加安全有效方便的解决方案。
虚拟化技术的发展给敏感信息的安全保护带来了新思路。为了便于说明,下面我们先来解释一下基于虚拟化技术的计算机系统的基本结构。
在计算机虚拟化技术中,称为虚拟机监视器的软件可以支持一个或多个虚拟机,每个虚拟机就像一个计算机硬件一样可以运行独立的操作系统,这种运行在虚拟机上的操作系统称为客操作系统(Guest Operating System)。虚拟机监视器可以分为两种。一种称为裸机(Bare-Metal)虚拟机监视器,如图1所示,裸机虚拟机监视器直接运行在计算机硬件上支撑着虚拟机,虚拟机上运行着客操作系统。另一种虚拟机监视器运行在一个操作系统的环境上,这个操作系统称为主操作系统(Host Operating System),而这种虚拟机监视器称为寄宿的(Hosted)虚拟机监视器。如图2所示,主操作系统直接运行在计算机硬件上,寄宿的虚拟机监视器运行在主操作系统上支持着虚拟机,虚拟机上运行着客操作系统。
虽然在虚拟化的计算机系统上各个操作系统之间可以通过网络或在虚拟机监视器的参与下直接进行通信,各个操作系统之间仍然是相互独立的。具体地说,在基于裸机虚拟机监视器的计算机系统中,多个客操作系统之间是相互独立的。在基于寄宿的虚拟机监视器的计算机系统中,主操作系统与客操作系统之间以及客操作系统与客操作系统之间也是相互独立的。这种由虚拟化技术所保证的操作系统间的隔离性特征,使得我们可以将安全级别较低的操作系统中的信息输入过程,转移到安全级别较高的操作系统中。这样,用户信息输入的安全不再受制于安全级别较低的操作系统,而是获得与安全级别较高的操作系统同样级别的安全性保证。
举例来说,在一个基于裸机虚拟机监视器的虚拟化计算机系统上,客操作系统A和客操作系统B具有不同的安全级别,A安全级别较低,而B安全级别较高。那么可以配置该虚拟化的计算机系统,当用户向客操作系统A输入敏感信息(比如账号、密码等)时,虚拟化的计算机系统首先由客操作系统B获取到输入的敏感信息并对其进行加密处理,再通过客操作系统A直接访问的虚拟输入设备传送给客操作系统A,那么客操作系统A获得的用户输入的敏感信息已经是加密处理了的,即使客操作系统A中的病毒、木马等恶意代码挂载钩子函数进行拦截,或者进行内存扫描,得到的也只是经过加密的敏感信息,从而有效保护了用户端敏感信息的安全。如果对需要输入身份凭证的网络应用采用这种保护机制,那么网络应用只需要将经过加密的身份凭证信息发送给网络认证端,由网络认证端解密出原始的身份凭证信息,并完成身份认证处理,就可以有效地提高网络认证的安全性。
发明内容
我们先明确一下本发明中使用的几个名词。
计算机硬件:指的是具有计算机科学中现代计算机组成结构特征的各种电子设备。通常至少包括中央处理器,存储器和输入/输出设备。在本发明中,不但包括大型机、小型机、服务器、工作站、个人计算机等普通意义上计算机,还包括个人数字助理、移动电话、游戏机等各种智能电子设备。
输入设备:在本发明中,用户的身份凭证信息主要通过计算机硬件的输入设备获得,在计算机硬件的输入/输出设备中,我们主要关心输入设备,典型的输入设备包括:键盘、鼠标、手写板、触摸屏、数字笔、麦克风、遥控器、条形码识别器等;用户的身份凭证信息(如账号、密码)也可以存放到硬盘或固态硬盘等存储设备上,这样的存储设备在本发明中也是输入设备。
虚拟化平台:指的是计算机硬件和在计算机硬件上运行的软件组成的系统。软件含有虚拟机监视器,如果虚拟机监视器是裸机虚拟机监视器,那么软件还含有虚拟机监视器支撑的虚拟机上运行的客操作系统;如果虚拟机监视器是寄宿的虚拟机监视器,那么软件还含有主操作系统和虚拟机监视器支撑的虚拟机上运行的客操作系统
域:在本发明中,把虚拟化平台中相互独立的操作系统称为域。在基于裸机虚拟机监视器的虚拟化计算机系统中,各个客操作系统是域;同样的,在基于寄宿的虚拟机监视器的虚拟化计算机系统中,主操作系统和客操作系统都是域。
身份凭证信息:用来标识用户身份的信息,在本发明中,并不限定身份凭证信息的类型,它可以采用账号、密码等标识信息,也可以采用银行账号、信用卡号、身份证号、电子邮件等标识信息,还可以是多种信息的组合。
网络认证:用户在用户端将身份凭证信息通过网络传给网络认证端,网络认证端通过验证该用户的身份凭证信息,来确定该用户身份的真实合法性。
本发明希望在基于虚拟化平台的用户端上对用户身份凭证信息提供安全保护,从而构成一个安全的计算机网络认证系统。
有鉴于此,本发明提供了一种基于虚拟化技术的计算机网络认证系统,该系统包括用户端和网络认证端,所述用户端和网络认证端通过网络进行通信。
所述用户端是一个虚拟化平台。用户端负责接收用户输入的身份凭证信息并向网络认证端发送该身份凭证信息。用户端包括计算机硬件及运行在该计算机硬件上的包括虚拟监视器以及关联的服务域和客户域的软件。并且在用户端配置上,用户向客户域输入的身份凭证信息由服务域先接收后再转发给客户域。
所述虚拟机监视器是一般的虚拟化软件,可以是裸机虚拟机监视器,也可以是寄宿的虚拟机监视器;所述客户域和服务域是虚拟化平台上的域。其中:
所述服务域包括输入加密模块,所述输入加密模块负责加密用户向客户域的网络应用输入的身份凭证信息,并将加密的身份凭证信息通过客户域直接访问的虚拟输入设备发送给客户域。
所述客户域包括输入设备驱动模块和网络应用。其中,所述输入设备驱动模块负责为所述网络应用读取服务域通过虚拟输入设备发送来的加密的身份凭证信息;所述网络应用负责通过所述输入设备驱动模块读取服务域通过虚拟输入设备发送来的加密的身份凭证信息,并发送给网络认证端。
网络认证端是一个或一组网络认证服务器,负责接收并验证用户端发送来的加密的身份凭证信息。所述网络认证端包括解密模块和认证模块。其中,所述解密模块负责解密用户端传来的加密的身份凭证信息;所述认证模块负责对所述解密模块解密后的身份凭证信息进行身份验证。
所述系统上,用户端客户域还可以含有一个可选的输入加密控制模块。所述输入加密控制模块负责通知服务域的输入加密模块启动或停止对用户向客户域的网络应用输入的身份凭证信息进行加密处理。
所述含有输入加密控制模块的系统上,用户端客户域的网络应用通过输入加密控制模块通知服务域的输入加密模块启动或停止对用户向客户域的网络应用输入的身份凭证信息进行加密处理。
在具体实现上,由于虚拟化平台上的虚拟机监视器可以支撑多个虚拟机从而运行多个客操作系统,因而也可以有多个客户域。同时服务域可以是主操作系统、客操作系统、甚至虚拟机监视器,因而也可以有多个服务域。在本发明中,用户端中并不限定服务域和客户域的数量,可以有一个或多个服务域存在,也可以有一个或多个客户域存在。同时在本发明中一个服务域可以只为一个客户域提供输入加密处理服务,也可以同时为多个客户域提供输入加密处理服务,还可以多个服务域联合为一个或多个客户域提供输入加密处理服务。
据此,本发明在所述的计算机网络认证系统上,提供了一种基于虚拟化技术的计算机网络认证方法:用户端服务域接收用户向用户端客户域中的网络应用输入的身份凭证信息,并把该身份凭证信息加密后发送给用户端客户域,客户域的网络应用接收加密的身份凭证信息并通过网络把加密的身份凭证信息发送给网络认证端;最后网络认证端接收所述加密的身份凭证信息,并通过解密模块对加密的身份凭证信息解密后,再通过认证模块对该身份认证信息进行身份验证。
本发明的基于虚拟化技术的计算机网络认证方法包括以下步骤:
步骤101,用户端服务域接收用户输入的身份凭证信息,并通过输入加密模块加密该身份凭证信息,然后把加密的身份凭证信息通过用户端客户域直接访问的虚拟输入设备传给客户域;
步骤102,用户端客户域的网络应用通过输入设备驱动模块接收用户端服务域传来的加密的身份凭证信息;
步骤103,用户端客户域的网络应用将加密的用户身份凭证信息通过网络传给网络认证端;
步骤104,网络认证端接收用户端客户域的网络应用传来的加密的身份凭证信息,并通过解密模块对所述加密的身份凭证信息进行解密,然后通过认证模块对解密后的身份凭证信息进行身份验证,完成整个认证功能。
如果所述的计算机网络认证系统中的用户端客户域配置有输入加密控制模块,在所述方法上,可以由用户端客户域的输入加密控制模块通知服务域的输入加密模块启动对用户输入的身份凭证信息进行加密处理。具体地说,在步骤101之前,用户端客户域中的输入加密控制模块通知服务域的输入加密模块启动对用户输入的身份凭证信息进行加密处理;在步骤101之后,用户端客户域中的输入加密控制模块通知服务域的输入加密模块停止对用户输入的身份凭证信息进行加密处理。
为了用户使用的方便,在所述方法上,通常网络应用负责通过输入加密控制模块通知服务域的输入加密模块启动或停止对用户输入的身份凭证信息进行加密处理。
所述方法上,一个典型的实现是:步骤101中的加密过程和步骤104中相对应的解密过程中使用的加密及解密算法和/或密钥是预先部署的。
对于步骤101中的加密过程和步骤104中相对应的解密过程中使用的加密及解密算法和/或密钥,采用预先部署的方式简单方便,但不够灵活,且安全性较低;采用用户端和网络认证端协商的方式可以更加灵活,并获得更高的安全性,在使用协商方式的情况下,协商过程已经是成熟的网络安全技术,许多协商过程(例如证书系统)安全性很高,本发明不特别限定特定的协商机制和协商内容。
所述方法上,一个典型的实现是:步骤101中的加密过程和步骤104中相对应的解密过程中使用的加密及解密算法和/或密钥由用户端和网络认证端在步骤101之前协商确定。
在采用用户端和网络认证端协商加密及解密算法和/或密钥的方式下,本发明并不限定和网络认证端直接通信的是用户端的服务域还是客户域。当用户端的服务域和网络认证端通信时,两者可以直接完成协商过程。当用户端的客户域和网络认证端通信时,客户域可以在协商结束后将结果传给服务域,也可以仅仅作为服务域和网络认证端的通信中转代理,仍然由服务域和网络认证端完成协商。
所述方法上,一种典型的实施是:用户端和网络认证端对步骤101中的加密过程和步骤104中相对应的解密过程中使用的加密及解密算法和/或密钥的协商过程,由用户端服务域的输入加密模块和网络认证端的解密模块之间进行通信交互来完成。
在具体实施中,有时用户端客户域中的输入设备驱动模块或网络应用等会对从虚拟输入设备得到的输入字符或信息的范围加以限定,也就是说,用户向网络应用输入的身份凭证信息使用特定的有效字符集。比如限制可接受的输入只能为可打印字符等,又比如有些密码输入限定只能为数字,本方法可以通过选择和设计加密算法,使得加密前和加密后的身份凭证信息使用相同的有效字符集。
需要说明的是,通常用户在通过身份认证之后,用户端和网络认证端还有许多信息的交互,比如用户在登录网上银行以后,可能还会输入网上支付等信息,如果为了保护这类信息,那么采用本发明的方法提供的保护机制,同样可以达到提高安全性的目的,理应也在本发明的范畴以内。
从以上步骤可以看出,本发明提供的基于虚拟化技术的计算机网络认证系统和方法,将用户身份凭证信息(以及身份认证通过后的后续交互的信息)的输入和加密处理,从客户域转移到了服务域进行,而后将加密后的结果提供给客户域,使得用户敏感信息在客户域中只以密文的形式出现,相当于在用户端与网络认证端建立了一条穿透客户域的安全隧道,用户输入的身份凭证信息通过这条隧道可以安全地到达网络认证端。从而有效的防止了客户域中的病毒、木马拦截输入以及扫描内存导致等造成的信息泄露,提高了计算机网络信息的安全性。
附图说明
图1是基于裸机虚拟机监视器的虚拟化计算机系统示意图。
图2是基于寄宿的虚拟机监视器的虚拟化计算机系统示意图。
图3是采用基于裸机虚拟机监视器的虚拟化平台的用户端的情况下,本发明的计算机网络认证系统示意图。
图4是采用基于寄宿的虚拟机监视器的虚拟化平台的用户端的情况下,本发明的计算机网络认证系统示意图。
图5是本发明的计算机网络认证方法整体流程框图。
具体实施方式
以下结合附图说明本发明的基于虚拟化技术的计算机网络认证系统和方法。
在图3中,用户端是一个虚拟化平台,所述用户端包括计算机硬件100,所述计算机硬件100包括物理输入设备101。在计算机硬件100上运行着裸机虚拟机监视器200,虚拟机监视器200支撑着虚拟机300A和300B。其中,虚拟机300A上运行着的服务域400;客户域500是虚拟机300B上运行着的客操作系统,客户域500能够直接访问虚拟机300B所提供的虚拟输入设备301B。通过配置所述的用户端虚拟化平台,使得用户通过物理输入设备向客户域500中的网络应用的输入首先传给服务域400进行加密处理,再将服务域400加密后的输入信息,通过客户域500直接访问的虚拟输入设备301B发送给客户域500。
服务域400是虚拟化平台上运行的域。所述服务域400包括输入加密模块401,所述输入加密模块401负责加密用户向客户域500的网络应用502输入的身份凭证信息,并将加密后的身份凭证信息通过客户域500直接访问的虚拟输入设备301B发送给客户域500。
客户域500中包括输入设备驱动模块501和网络应用502。其中,所述网络应用502负责接收用户输入的身份凭证信息,并发送给网络认证端600;所述输入设备驱动模块501,负责为所述网络应用502读取服务域400通过虚拟输入设备301B发送来的加密的身份凭证信息。
在具体实施中,用户端客户域500可以配置可选的输入加密控制模块503,所述输入加密控制模块503负责通知服务域400的输入加密模块401启动或停止对用户向客户域500的网络应用502输入的身份凭证信息进行加密处理。一个典型的实施是:用户端客户域500的网络应用502通过所述输入加密控制模块503通知服务域400的输入加密模块401启动或停止对用户向客户域500的网络应用502输入的身份凭证信息进行加密处理。
在具体实施中,网络应用502一般是一个具有网络通信能力的应用程序;输入加密控制模块503可以是一个动态或者静态的链接库,由网络应用502调用其中的接口函数,通知服务域400的输入加密模块401,启动或停止输入加密处理;输入加密控制模块503也可以是一个独立运行的程序,网络应用502通过任务间通信的方式与输入加密控制模块503交互,再由输入加密控制模块503通知服务域400的输入加密模块401启动或停止输入加密处理。
网络认证端600包括解密模块601和认证模块602。解密模块601和用户端服务域400的输入加密模块401相对应,负责对网络认证端600接收的用户端通过网络700传送来的加密的身份凭证信息进行解密;认证模块602根据解密模块601解密后的身份凭证信息进行验证,完成身份认证功能。
据此,本发明在所述的计算机网络认证系统上,提供了一种基于虚拟化技术的计算机网络认证方法:用户端服务域400接收用户向用户端客户域500中的网络应用502输入的身份凭证信息,并把该身份凭证信息加密后交给用户端客户域500的网络应用502,客户域500的网络应用502把加密的身份凭证信息通过网络700发送给网络认证端600;最后网络认证端600接收该加密的身份凭证信息,并通过解密模块601对所述加密的身份凭证信息解密后,再通过认证模块602对该身份认证信息进行身份验证。
本发明的基于虚拟化技术的计算机网络认证方法包括以下步骤:
步骤101,用户端服务域400接收用户输入的身份凭证信息,并通过输入加密模块401加密该身份凭证信息,然后把加密的身份凭证信息通过用户端客户域500直接访问的虚拟输入设备301B传给客户域;
步骤102,用户端客户域500的网络应用502通过输入设备驱动模块501接收用户端服务域传来的加密的身份凭证信息;
步骤103,用户端客户域500的网络应用502将加密的用户身份凭证信息通过网络700传给网络认证端600;
步骤104,网络认证端600接收用户端客户域500的网络应用502传来的加密的身份凭证信息,并通过解密模块601对所述加密的身份凭证信息进行解密,然后通过认证模块602对解密后的身份凭证信息进行身份验证,完成整个认证功能。
如果所述的计算机网络认证系统中的用户端客户域500配置有输入加密控制模块503,在所述方法上,可以由用户端客户域500的输入加密控制模块503通知服务域400的输入加密模块401启用输入加密处理。具体地说,在步骤101之前,用户端客户域500中的输入加密控制模块503通知服务域的输入加密模块401启用输入加密处理;在步骤101之后,用户端客户域500中的输入加密控制模块503通知服务域的输入加密模块401停止输入加密处理。
为了用户使用的方便,在所述方法上,通常网络应用502负责通过输入加密控制模块503通知服务域400的输入加密模块401启用或停止输入加密处理。
本发明是基于图3展开描述的。在图3中,用户端为基于裸机虚拟机监视器的虚拟化平台,客户域和服务域都是客操作系统。同样地,本发明也适用于基于寄宿的虚拟机监视器的虚拟化平台的用户端,如图4所示,用户端含有计算机硬件100,所述计算机硬件100包括物理输入设备101。在计算机硬件100上运行着一个主操作系统,该主操作系统是服务域400,主操作系统上运行着一个寄宿的虚拟机监视器200,由虚拟机监视器200支撑起虚拟机300,虚拟机300上运行着客操作系统,该客操作系统是客户域500。
综上所述,本发明的基于虚拟化技术的计算机网络认证系统和方法通过由安全级别较高的服务域对用户向客户域的网络应用输入的用户身份凭证等敏感信息做加密处理,使得客户域只能获得加密的身份凭证信息(以及其他敏感信息),完全解决了的客户域因为安全级别较差带来的信息安全问题。并且本发明的系统和方法可以适用于各种计算机硬件环境,具有广泛的应用价值。

Claims (10)

1、本发明提供了一种基于虚拟化技术的计算机网络认证系统,包括用户端和网络认证端,所述用户端和网络认证端通过网络进行通信。其特征在于:
所述用户端是一个虚拟化平台。用户端负责接收用户输入的身份凭证信息并向网络认证端发送该身份凭证信息。用户端包括计算机硬件及运行在该计算机硬件上的包括虚拟监视器以及关联的服务域和客户域的软件,并且在用户端配置上,用户向客户域输入的身份凭证信息由服务域先接收后再转发给客户域。其中:
服务域是虚拟化平台上运行的域。所述服务域包括输入加密模块,所述输入加密模块负责加密用户向客户域的网络应用输入的身份凭证信息,并将加密后的身份凭证信息通过客户域直接访问的虚拟输入设备发送给客户域。
客户域是虚拟化平台上运行的域,所述客户域包括输入设备驱动模块和网络应用。其中,所述输入设备驱动模块负责为所述网络应用读取服务域通过虚拟输入设备发送来的加密的身份凭证信息;所述网络应用负责通过所述输入设备驱动模块读取服务域通过虚拟输入设备发送来的加密的身份凭证信息,并发送给网络认证端。
网络认证端是一个或一组网络认证服务器,负责接收并验证用户端发送来的加密的身份凭证信息。所述网络认证端包括解密模块和认证模块。其中,所述解密模块负责解密用户端传来的加密的身份凭证信息;所述认证模块负责对所述解密模块解密后的身份凭证信息进行身份验证。
2、根据权利要求1所述的系统,其特征在于:用户端客户域还含有输入加密控制模块。所述输入加密控制模块负责通知服务域的输入加密模块启动或停止对用户向客户域的网络应用输入的身份凭证信息进行加密处理。
3、根据权利要求2所述的系统,其特征在于:用户端客户域的网络应用通过输入加密控制模块通知服务域的输入加密模块启动或停止对用户向客户域的网络应用输入的身份凭证信息进行加密处理。
4、根据权利要求1所述系统,本发明提供了一种基于虚拟化技术的计算机网络认证方法:用户端服务域接收用户向用户端客户域中的网络应用输入的身份凭证信息,并把该身份凭证信息加密后发送给用户端客户域,客户域的网络应用接收加密的身份凭证信息并通过网络把加密的身份凭证信息发送给网络认证端;最后网络认证端接收所述加密的身份凭证信息,并通过解密模块对加密的身份凭证信息解密后,再通过认证模块对该身份认证信息进行身份验证。
5、根据权利要求4所述方法,本发明的基于虚拟化技术的计算机网络认证方法包括以下步骤:
步骤101,用户端服务域接收用户输入的身份凭证信息,并通过输入加密模块加密该身份凭证信息,然后把加密的身份凭证信息通过用户端客户域直接访问的虚拟输入设备传给客户域;
步骤102,用户端客户域的网络应用通过输入设备驱动模块接收用户端服务域传来的加密的身份凭证信息;
步骤103,用户端客户域的网络应用将加密的身份凭证信息通过网络传给网络认证端;
步骤104,网络认证端接收用户端客户域的网络应用传来的加密的身份凭证信息,并通过解密模块对所述加密的身份凭证信息进行解密,然后通过认证模块对解密后的身份凭证信息进行身份验证,完成整个认证功能。
6、根据权利要求3所述的系统和权利要求5所述的方法,其特征在于:在步骤101之前,用户端客户域的网络应用通过输入加密控制模块通知服务域的输入加密模块启动对用户输入的身份凭证信息进行加密处理;在步骤101之后,用户端客户域的网络应用通过输入加密控制模块通知服务域的输入加密模块停止对用户输入的身份凭证信息进行加密处理。
7、根据权利要求5所述的方法,其特征在于:步骤101中的加密过程和步骤104中相对应的解密过程中使用的加密及解密算法和/或密钥是预先部署的。
8、根据权利要求5所述的方法,其特征在于:步骤101中的加密过程和步骤104中相对应的解密过程中使用的加密及解密算法和/或密钥,由用户端和网络认证端在步骤101之前协商确定。
9、根据权利要求8所述的方法,其特征在于:用户端和网络认证端对步骤101中的加密过程和步骤104中相对应的解密过程中使用的加密及解密算法和/或密钥的协商过程,由用户端服务域的输入加密模块和网络认证端的解密模块之间通过通信交互来完成。
10、根据权利要求5所述的方法,其特征在于:对于步骤101中的加密过程,选择加密算法使得加密前和加密后的身份凭证信息使用相同的有效字符集。
CNA2008102279841A 2008-12-04 2008-12-04 基于虚拟化技术的计算机网络认证系统和方法 Pending CN101414913A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNA2008102279841A CN101414913A (zh) 2008-12-04 2008-12-04 基于虚拟化技术的计算机网络认证系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2008102279841A CN101414913A (zh) 2008-12-04 2008-12-04 基于虚拟化技术的计算机网络认证系统和方法

Publications (1)

Publication Number Publication Date
CN101414913A true CN101414913A (zh) 2009-04-22

Family

ID=40595246

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2008102279841A Pending CN101414913A (zh) 2008-12-04 2008-12-04 基于虚拟化技术的计算机网络认证系统和方法

Country Status (1)

Country Link
CN (1) CN101414913A (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101873316A (zh) * 2010-06-04 2010-10-27 吴梅兰 身份验证方法、系统及身份验证器
CN101908964A (zh) * 2010-08-17 2010-12-08 公安部第三研究所 远程虚拟密码设备认证方法
CN102123152A (zh) * 2011-03-11 2011-07-13 南京航空航天大学 一种基于网络的交互式虚拟戏剧平台的设计方法
CN102194063A (zh) * 2010-03-12 2011-09-21 北京路模思科技有限公司 一种基于虚拟机技术安全管理使用密钥证书的方法和系统
CN102195940A (zh) * 2010-03-12 2011-09-21 北京路模思科技有限公司 一种基于虚拟机技术安全输入和提交数据的方法和系统
CN103561042A (zh) * 2013-11-18 2014-02-05 中国银行股份有限公司 一种对跨区域间的重要数据进行处理的方法和装置
WO2014166418A1 (zh) * 2013-04-12 2014-10-16 中国银联股份有限公司 一种实现虚拟安全载体vse的方法
US9058500B2 (en) 2013-06-03 2015-06-16 Huawei Technologies Co., Ltd. Method and apparatus for inputting data
CN104981784A (zh) * 2012-11-16 2015-10-14 跨网数据管理有限公司 经由网络监视和控制计算机装置和虚拟机
CN107315970A (zh) * 2016-04-26 2017-11-03 展讯通信(上海)有限公司 一种敏感数据的交互方法及装置
CN107808096B (zh) * 2017-11-23 2019-12-17 厦门安胜网络科技有限公司 检测apk运行时被注入恶意代码的方法、终端设备及存储介质

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102194063A (zh) * 2010-03-12 2011-09-21 北京路模思科技有限公司 一种基于虚拟机技术安全管理使用密钥证书的方法和系统
CN102195940A (zh) * 2010-03-12 2011-09-21 北京路模思科技有限公司 一种基于虚拟机技术安全输入和提交数据的方法和系统
CN101873316A (zh) * 2010-06-04 2010-10-27 吴梅兰 身份验证方法、系统及身份验证器
CN101873316B (zh) * 2010-06-04 2012-09-05 吴梅兰 身份验证方法、系统及身份验证器
CN101908964A (zh) * 2010-08-17 2010-12-08 公安部第三研究所 远程虚拟密码设备认证方法
CN101908964B (zh) * 2010-08-17 2013-03-27 公安部第三研究所 远程虚拟密码设备认证方法
CN102123152A (zh) * 2011-03-11 2011-07-13 南京航空航天大学 一种基于网络的交互式虚拟戏剧平台的设计方法
CN104981784A (zh) * 2012-11-16 2015-10-14 跨网数据管理有限公司 经由网络监视和控制计算机装置和虚拟机
WO2014166418A1 (zh) * 2013-04-12 2014-10-16 中国银联股份有限公司 一种实现虚拟安全载体vse的方法
US10678577B2 (en) 2013-04-12 2020-06-09 China Unionpay Co., Ltd. Method for implementing virtual secure element
US9058500B2 (en) 2013-06-03 2015-06-16 Huawei Technologies Co., Ltd. Method and apparatus for inputting data
US9672367B2 (en) 2013-06-03 2017-06-06 Huawei Technologies Co., Ltd. Method and apparatus for inputting data
CN103561042A (zh) * 2013-11-18 2014-02-05 中国银行股份有限公司 一种对跨区域间的重要数据进行处理的方法和装置
CN107315970A (zh) * 2016-04-26 2017-11-03 展讯通信(上海)有限公司 一种敏感数据的交互方法及装置
CN107315970B (zh) * 2016-04-26 2020-03-20 展讯通信(上海)有限公司 一种敏感数据的交互方法及装置
CN107808096B (zh) * 2017-11-23 2019-12-17 厦门安胜网络科技有限公司 检测apk运行时被注入恶意代码的方法、终端设备及存储介质

Similar Documents

Publication Publication Date Title
CN101414913A (zh) 基于虚拟化技术的计算机网络认证系统和方法
CN110324276B (zh) 一种登录应用的方法、系统、终端和电子设备
CN103390124B (zh) 安全输入和处理口令的设备、系统和方法
CN101241527B (zh) 用于普通验证的系统和方法
CN107465689A (zh) 云环境下的虚拟可信平台模块的密钥管理系统及方法
CN100533459C (zh) 数据安全读取方法及其安全存储装置
US8953805B2 (en) Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method
CN103246850A (zh) 文件处理方法和装置
CN112232814B (zh) 支付密钥的加密和解密方法、支付认证方法及终端设备
CN101340281A (zh) 针对在网络上进行安全登录输入的方法和系统
CN106850638B (zh) 一种车载设备访问控制方法及系统
CN113282944B (zh) 智能锁开启方法、装置、电子设备及存储介质
CN105959108A (zh) 对云支付限制密钥进行加密及解密的方法、装置和系统
CN108768963A (zh) 可信应用与安全元件的通信方法和系统
CN106936588A (zh) 一种硬件控制锁的托管方法、装置及系统
JP2017514390A (ja) 産業用プログラマブルデバイスと携帯用プログラマブルデバイスとの間の電子データ交換を保護するための方法およびシステム
CN1537261A (zh) 用于防止个人计算机被未经授权人员使用的安全系统
CN101741826A (zh) 在虚拟化平台上实现加密卸载的系统和方法
CN107040520A (zh) 一种云计算数据共享系统及方法
CN107920060A (zh) 基于账号的数据访问方法和装置
US20160140329A1 (en) Enhanced security mechanism for authentication of users of a system
CN105871540A (zh) 一种基于宿主机的密码机及密码运算实现方法
Otterbein et al. The German eID as an authentication token on android devices
CN106529216B (zh) 一种基于公共存储平台的软件授权系统及软件授权方法
CN109802927A (zh) 一种安全服务提供方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
DD01 Delivery of document by public notice

Addressee: Beijing Shijihongshan Technology Co., Ltd.

Document name: Notification that Application Deemed to be Withdrawn

C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Open date: 20090422