一種基于虛擬驅動的設備間安全認證方法和系統的制作方法
【技術領域】
[0001] 本發明涉及密碼管理,具體涉及一種基于虛擬驅動進行設備間安全認證的方法和 系統。
【背景技術】
[0002] 隨著手機設備與移動互聯網的普及,眾多用戶獲得了手機設備與其他設備同時在 線的能力。因此,部分互聯網應用開始提供將用戶手機與其他設備進行關聯,并相互驗證關 鍵操作的安全方案。
[0003]目前市場上最知名的方案為阿里巴巴在淘寶購物與支付寶結賬上的應用方式,即 用戶在pc端選購商品,在結賬時,通知用戶綁定的手機并利用手機上的安全能力,如指紋 驗證,來提升pc上操作的安全性。
[0004] 但是,阿里巴巴所采用的這種認證方式僅能夠在某個特定應用或網站上使用,不 能應用于任何其他普通場景,如用戶解鎖操作系統,登陸郵箱等。
[0005] 而且,現有的設備間驗證方式在進行驗證時,只能進行一對一地彼此驗證,不能實 現一對多的關聯驗證。
【發明內容】
[0006] 針對現有手機與pc端互聯的安全方案,只能解決某個網站或網絡應用的問題,本 發明通過引入虛擬設備,實現了通過單一安全認證設備為各種可以互聯的設備進行安全驗 證的目的。在實際應用中,可以實現系統性地綁定手機與pc,并且可以應用于各種需要安全 驗證的場景。
[0007] 這里所提到的安全認證設備是指在整個安全系統架構中,具有最強安全能力的設 備。在無專用安全硬件參與的情況下,通常為手機。在有專用安全硬件參與的情況下,通常 為安全硬件所連接的設備。其他設備為期望通過安全認證設備獲得授權,進而授權自己驗 證通過的設備。
[0008] 具體而言,一方面,本發明提供一種基于虛擬驅動的設備間安全認證方法,其特征 在于,所述方法包括:將具有安全認證模塊的第一設備與具有待認證模塊和虛擬驅動模塊 的第二設備關聯,并且基于第一設備的安全認證模塊以及第二設備中的虛擬驅動模塊進行 第二設備的待認證模塊的安全認證。
[0009] 進一步地,所述方法包括下述步驟:
[0010] (1)在具有安全認證模塊的第一設備上生成第一設備識別編碼、用戶識別編碼、用 戶身份密鑰;
[0011] (2)在具有待認證模塊的第二設備上生成第二設備識別編碼,并且在所述第二設 備中生成虛擬驅動模塊;
[0012] (3)通過加密傳輸方式實現所述第一設備和所述第二設備之間的關聯,在認證服 務器中實現所述第一設備識別編碼、用戶識別編碼、用戶身份密鑰與所述第二設備識別編 碼的對應;
[0013] (4)在所述第一設備中錄入與所述待認證模塊對應的安全認證信息,當所述第二 設備上的待認證模塊需要進行身份認證時,所述第二設備將所述待認證模塊的認證請求發 送至所述第一設備;
[0014] (5)所述第一設備接收到所述認證請求后,調用所述安全認證模塊,啟動安全認證 狀態;
[0015] (6)基于所述第一設備的安全認證模塊進行安全認證;
[0016] (7)所述安全認證模塊一旦確定用戶通過安全認證,所述認證服務器將認定所述 用戶識別編碼登陸成功,并將所述用戶位于第一設備上的安全認證信息以加密方式轉發到 所述第二設備上;
[0017] (8)所述第二設備中的虛擬驅動模塊對所述安全認證信息進行解密,并且進行所 述安全認證信息的錄入實現所述待認證模塊的認證解鎖。
[0018] 在一種優選實現方式中,所述第一設備可以錄入多組安全認證信息,每組安全認 證信息用于對不同的待驗證模塊進行驗證。
[0019] 另一方面,本發明提供一種安全認證系統,所述安全認證系統包括:認證服務器、 認證設備、待認證設備,所述認證服務器分別與所述認證設備和待認證設備彼此通信,所述 認證設備具有認證模塊和存儲模塊,所述待認證設備具有待認證模塊和虛擬驅動模塊,
[0020] 所述存儲模塊用于存儲所述待認證模塊的安全認證信息;
[0021] 所述認證模塊用于對用戶進行認證,并且如果認證成功,則將所述安全認證信息 通過加密方式傳輸至所述待認證設備,所述待認證設備對所述安全認證信息進行解密,并 且通過所述虛擬驅動將所述安全認證信息錄入所述待認證模塊。
[0022] 技術效果
[0023] 本發明可以通過在認證設備上進行高等級的安全認證來實現在待認證設備的安 全認證。比如,可以通過在手機上按壓指紋或輸入解鎖手勢來完成pc上操作系統的登入, 郵箱登入或網站登入。
[0024] 本發明將傳統的靜態密碼,轉化為pc和手機雙因素認證(因為除去pc上的操作 外,增加了手機上的操作),有效增加個人信息安全性,達到1+1大于2的效果。
[0025] 本發明將設備互聯后,可以互相監視狀態,進行安全提醒。
【附圖說明】
[0026] 圖1為本發明一個實施例的系統框架圖;
[0027] 圖2為本發明一個實施例在使用過程中的流程圖。
【具體實施方式】
[0028] 下面結合附圖對本發明的具體實施例進行詳細描述。
[0029] 如圖1所示,本發明的方法可以通過一個安全認證系統來執行。安全認證系統的 一個實施例的架構包括:認證服務器、第一認證設備(又稱安全認證設備)、第二認證設備 (又稱待認證設備)。安全認證設備具有安全認證模塊、數據存儲模塊和通訊模塊,待認證 設備具有虛擬驅動以及相應的服務模塊和配置模塊。
[0030] 1 ?待驗證設備
[0031] 待認證設備指的是需要進行解鎖或解密操作的設備,比如電腦。待認證設備中具 有待認證模塊,這里所提到的待驗證模塊,需要做廣義的理解,指的是需要通過密鑰進行驗 證才能夠進行使用的軟件、程序等。比如,待驗證模塊可以指windows操作系統的登錄模 塊,為了登錄系統需要驗證的是Windows的用戶名和密碼;待驗證模塊還可以指outlook郵 箱,為了登錄郵箱需要驗證的是郵箱的用戶名和密碼。
[0032] 1. 1?虛擬驅動:
[0033] 虛擬驅動,包括但不限于usb-hid,usb-ccid類型的虛擬驅動。虛擬驅動可以被安 裝到待認證設備的操作系統中,并產生虛擬的usb設備或產生其他的虛擬通信設備。虛擬 usb設備可以像普通usb設備一樣,接受操作系統發來的數據,內部處理并返回操作系統。 同時,虛擬設備可以與操作系統中安裝的對應軟件溝通,接受軟件發來的數據,如密碼,密 鑰,指令等數據。虛擬usb設備包括虛擬的鍵盤設備和其他虛擬設備。其他虛擬設備可用 于整個驅動的管理與配置,還可能進行密碼學的安全計算。
[0034] 本發明的認證系統中的一個主要部分就是虛擬驅動,其是安裝后所形成的虛擬設 備。虛擬設備可能是虛擬的鍵盤,fido認證器或智能卡設備。當虛擬設備為鍵盤時,可以 實現用戶名以及密碼的可控自動輸入,當設備為fido認證器時,可以實現fido指定的雙因 素登陸,當設備為智能卡設備時,可以替代實體設備,完成類似網銀認證等,傳統實體智能 卡的功能。
[0035] 1. 2?配置模塊
[0036] 其是用于管理虛擬驅動設備、用戶信息等內容的圖形界面程序。
[0037] 1. 3?服務模塊
[0038] 其負責可短網絡連接,處理服務器分發數據并與服務器保持心跳連接。在接收到 服務器信息后,將其轉發到虛擬驅動設備。
[0039] 2?認證服務器:
[0040] 認證服務器與認證設備以及待認證設備是相互關聯的,認證服務器負責交換待認 證設備和安全認證設備中的數據,紀錄設備間連接性,并確認設備中軟件提交的身份驗證 請求。
[0041] 3.安全認證設備:
[0042] 安全認證設備指的是具有高級安全認證功能的設備,比如,具有指紋驗證功能的 手機。安全認證設備可以向認證服務器表明用戶的身份。并將其中存儲的密碼,密鑰信息, 以密文的形式提交到服務器,供服務器轉交其他設備。
[0043] 如上面所提到的,安全認證設備具有安全認證模塊、數據存儲模塊和通訊模塊。
[0044] 3. 1安全認證模塊
[0045] 本實施例中,以指紋識別模塊作為安全認證設備,指紋識別模塊用于將預先存儲 的用戶指紋信息,與后續輸入的指紋進行比對。
[0046] 3. 2數據存儲模塊
[0047] 數據存儲模塊中存儲用戶指紋信息、安全認證設備的設備編碼、與認證服務器之 間的關聯信息、用于對待認證模塊進行認證的安全認證信息(比如,用戶名、密碼)等。
[0048] 3. 3通訊模塊
[0049] 通訊模塊用于與認證服務器進行通訊,這種通訊可以是直接通訊,也可以是經由 第二認證設備的網絡進行的通訊。
[0050] 本發明的認證系統在運行過程中,所交換的關鍵數據包括:
[0051] 1.待認證設備識別編碼:其是認證系統中某個待認證設備(比如電腦)的唯一編 碼。
[0052] 2.安全認證設備識別編碼:認證系統中某個安全認證設備(比如,手機)的唯一 編碼。
[0053] 3.用戶編號:認證系統用戶的唯一編碼。
[0054] 1. 2. 3中的數據在待認證設備/安全認證設備中存在(比如,由安全認證設備的認 證模塊生成、由待認證設備的安全認證模塊生成),并在服務器中有存儲。
[0055] 4.用戶數據密鑰:用于加密用戶數據的密鑰。在安全認證設備與待認證設備中存 儲。或借助更安全的方式存儲,如用戶備份到