基于虚拟化技术的计算机网络认证系统和方法

文档序号:6471307阅读:399来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
专利名称:基于虚拟化技术的计算机网络认证系统和方法
技术领域
本发明涉及虚拟化技术和信息安全技术,确切地说,涉及一种基于计算机 虚拟化技术的网络认证系统和方法,属于信息安全领域和计算机虚拟化领域。
背景技术
网络认证系统(Network Authentication System)是当前网络应用中的一种 常见服务系统。在网络认证系统中,用户在个人计算机等用户端上将个人的身 份凭证信息(例如账号、密码等)发送给网络认证服务器端(简称网络认证端), 保证用户用于身份认证的凭证信息的安全,是网络安全的一个基本要素。身份 凭证信息可能在用户端输入时或网络传输过程中被窃取或篡改。现在已有的多 种成熟的网络安全传输协议可以有效的保护网络传送时的信息安全,但是保证 在用户端输入身份凭证信息时的安全却依然是一个严峻的挑战。
当前的计算机使用环境中,病毒、木马等恶意代码广泛传播,成为了用户 端信息安全的主要威胁。它们可以在操作系统中通过挂载钩子函数的方式来截 取输入设备上的输入序列,也可以用扫描内存的方式来寻找用户已经输入的敏 感信息,从而达到盗取用户账号、密码等身份凭证的目的。
当前,杀毒软件虽然得到了广泛的使用,但是,由于新的病毒、木马等恶 意代码层出不穷,变异速度快,而杀毒软件更新通常滞后于新病毒、木马的出 现,往往无法提供及时可靠的防护。于是出现了模拟键盘等保护输入的方法。 诸如此类的方法防止了恶意代码对输入信息的直接截取,在一定程度上提高了 的用户端输入敏感信息的安全性,但它们同样不能抵御内存扫描的威胁,而且 给输入过程带来了额外的开销和不便,降低了用户体验。因此,业界普遍希望 有更加安全有效方便的解决方案。虚拟化技术的发展给敏感信息的安全保护带来了新思路。为了便于说明, 下面我们先来解释一下基于虚拟化技术的计算机系统的基本结构。
在计算机虚拟化技术中,称为虚拟机监视器的软件可以支持一个或多个虚 拟机,每个虚拟机就像一个计算机硬件一样可以运行独立的操作系统,这种运
行在虚拟机上的操作系统称为客操作系统(Guest Operating System)。虚拟机监 视器可以分为两种。 一种称为裸机(Bare-Metal)虚拟机监视器,如图1所示, 裸机虚拟机监视器直接运行在计算机硬件上支撑着虚拟机,虚拟机上运行着客 操作系统。另一种虚拟机监视器运行在一个操作系统的环境上,这个操作系统 称为主操作系统(Host Operating System),而这种虚拟机监视器称为寄宿的 (Hosted)虚拟机监视器。如图2所示,主操作系统直接运行在计算机硬件上, 寄宿的虚拟机监视器运行在主操作系统上支持着虚拟机,虚拟机上运行着客操 作系统。
虽然在虚拟化的计算机系统上各个操作系统之间可以通过网络或在虚拟机 监视器的参与下直接进行通信,各个操作系统之间仍然是相互独立的。具体地 说,在基于裸机虚拟机监视器的计算机系统中,多个客操作系统之间是相互独 立的。在基于寄宿的虚拟机监视器的计算机系统中,主操作系统与客操作系统 之间以及客操作系统与客操作系统之间也是相互独立的。这种由虚拟化技术所 保证的操作系统间的隔离性特征,使得我们可以将安全级别较低的操作系统中 的信息输入过程,转移到安全级别较高的操作系统中。这样,用户信息输入的 安全不再受制于安全级别较低的操作系统,而是获得与安全级别较高的操作系 统同样级别的安全性保证。
举例来说,在一个基于裸机虚拟机监视器的虚拟化计算机系统上,客操作 系统A和客操作系统B具有不同的安全级别,A安全级别较低,而B安全级别 较高。那么可以配置该虚拟化的计算机系统,当用户向客操作系统A输入敏感 信息(比如账号、密码等)时,虚拟化的计算机系统首先由客操作系统B获取 到输入的敏感信息并对其进行加密处理,再通过客操作系统A直接访问的虚拟 输入设备传送给客操作系统A,那么客操作系统A获得的用户输入的敏感信息已经是加密处理了的,即使客操作系统A中的病毒、木马等恶意代码挂载钩子 函数进行拦截,或者进行内存扫描,得到的也只是经过加密的敏感信息,从而 有效保护了用户端敏感信息的安全。如果对需要输入身份凭证的网络应用采用 这种保护机制,那么网络应用只需要将经过加密的身份凭证信息发送给网络认 证端,由网络认证端解密出原始的身份凭证信息,并完成身份认证处理,就可 以有效地提高网络认证的安全性。

发明内容
我们先明确一下本发明中使用的几个名词。
计算机硬件指的是具有计算机科学中现代计算机组成结构特征的各种电 子设备。通常至少包括中央处理器,存储器和输入/输出设备。在本发明中,不 但包括大型机、小型机、服务器、工作站、个人计算机等普通意义上计算机, 还包括个人数字助理、移动电话、游戏机等各种智能电子设备。
输入设备在本发明中,用户的身份凭证信息主要通过计算机硬件的输入 设备获得,在计算机硬件的输入/输出设备中,我们主要关心输入设备,典型的 输入设备包括键盘、鼠标、手写板、触摸屏、数字笔、麦克风、遥控器、条 形码识别器等;用户的身份凭证信息(如账号、密码)也可以存放到硬盘或固 态硬盘等存储设备上,这样的存储设备在本发明中也是输入设备。
虚拟化平台指的是计算机硬件和在计算机硬件上运行的软件组成的系统。 软件含有虚拟机监视器,如果虚拟机监视器是裸机虚拟机监视器,那么软件还 含有虚拟机监视器支撑的虚拟机上运行的客操作系统;如果虚拟机监视器是寄 宿的虚拟机监视器,那么软件还含有主操作系统和虚拟机监视器支撑的虚拟机 上运行的客操作系统
域在本发明中,把虚拟化平台中相互独立的操作系统称为域。在基于裸 机虚拟机监视器的虚拟化计算机系统中,各个客操作系统是域;同样的,在基 于寄宿的虚拟机监视器的虚拟化计算机系统中,主操作系统和客操作系统都是域。
身份凭证信息用来标识用户身份的信息,在本发明中,并不限定身份凭 证信息的类型,它可以采用账号、密码等标识信息,也可以采用银行账号、信 用卡号、身份证号、电子邮件等标识信息,还可以是多种信息的组合。
网络认证用户在用户端将身份凭证信息通过网络传给网络认证端,网络 认证端通过验证该用户的身份凭证信息,来确定该用户身份的真实合法性。
本发明希望在基于虚拟化平台的用户端上对用户身份凭证信息提供安全保 护,从而构成一个安全的计算机网络认证系统。
有鉴于此,本发明提供了一种基于虚拟化技术的计算机网络认证系统,该 系统包括用户端和网络认证端,所述用户端和网络认证端通过网络进行通信。
所述用户端是一个虚拟化平台。用户端负责接收用户输入的身份凭证信息 并向网络认证端发送该身份凭证信息。用户端包括计算机硬件及运行在该计算 机硬件上的包括虚拟监视器以及关联的服务域和客户域的软件。并且在用户端 配置上,用户向客户域输入的身份凭证信息由服务域先接收后再转发给客户域。
所述虚拟机监视器是一般的虚拟化软件,可以是裸机虚拟机监视器,也可 以是寄宿的虚拟机监视器;所述客户域和服务域是虚拟化平台上的域。其中
所述服务域包括输入加密模块,所述输入加密模块负责加密用户向客户域 的网络应用输入的身份凭证信息,并将加密的身份凭证信息通过客户域直接访 问的虚拟输入设备发送给客户域。
所述客户域包括输入设备驱动模块和网络应用。其中,所述输入设备驱动 模块负责为所述网络应用读取服务域通过虚拟输入设备发送来的加密的身份凭 证信息;所述网络应用负责通过所述输入设备驱动模块读取服务域通过虚拟输 入设备发送来的加密的身份凭证信息,并发送给网络认证端。
网络认证端是一个或一组网络认证服务器,负责接收并验证用户端发送来 的加密的身份凭证信息。所述网络认证端包括解密模块和认证模块。其中,所 述解密模块负责解密用户端传来的加密的身份凭证信息;所述认证模块负责对 所述解密模块解密后的身份凭证信息进行身份验证。所述系统上,用户端客户域还可以含有一个可选的输入加密控制模块。所 述输入加密控制模块负责通知服务域的输入加密模块启动或停止对用户向客户 域的网络应用输入的身份凭证信息进行加密处理。
所述含有输入加密控制模块的系统上,用户端客户域的网络应用通过输入 加密控制模块通知服务域的输入加密模块启动或停止对用户向客户域的网络应 用输入的身份凭证信息进行加密处理。
在具体实现上,由于虚拟化平台上的虚拟机监视器可以支撑多个虚拟机从 而运行多个客操作系统,因而也可以有多个客户域。同时服务域可以是主操作 系统、客操作系统、甚至虚拟机监视器,因而也可以有多个服务域。在本发明 中,用户端中并不限定服务域和客户域的数量,可以有一个或多个服务域存在, 也可以有一个或多个客户域存在。同时在本发明中一个服务域可以只为一个客
户域提供输入加密处理服务,也可以同时为多个客户域提供输入加密处理服务, 还可以多个服务域联合为一个或多个客户域提供输入加密处理服务。
据此,本发明在所述的计算机网络认证系统上,提供了一种基于虚拟化技 术的计算机网络认证方法用户端服务域接收用户向用户端客户域中的网络应 用输入的身份凭证信息,并把该身份凭证信息加密后发送给用户端客户域,客 户域的网络应用接收加密的身份凭证信息并通过网络把加密的身份凭证信息发 送给网络认证端;最后网络认证端接收所述加密的身份凭证信息,并通过解密 模块对加密的身份凭证信息解密后,再通过认证模块对该身份认证信息进行身 份验证。
本发明的基于虚拟化技术的计算机网络认证方法包括以下步骤
步骤IOI,用户端服务域接收用户输入的身份凭证信息,并通过输入加密 模块加密该身份凭证信息,然后把加密的身份凭证信息通过用户端客户域直接 访问的虚拟输入设备传给客户域;
步骤102,用户端客户域的网络应用通过输入设备驱动模块接收用户端服 务域传来的加密的身份凭证信息;
步骤103,用户端客户域的网络应用将加密的用户身份凭证信息通过网络传给网络认证端;
步骤104,网络认证端接收用户端客户域的网络应用传来的加密的身份凭 证信息,并通过解密模块对所述加密的身份凭证信息进行解密,然后通过认证 模块对解密后的身份凭证信息进行身份验证,完成整个认证功能。
如果所述的计算机网络认证系统中的用户端客户域配置有输入加密控制模 块,在所述方法上,可以由用户端客户域的输入加密控制模块通知服务域的输 入加密模块启动对用户输入的身份凭证信息进行加密处理。具体地说,在步骤 101之前,用户端客户域中的输入加密控制模块通知服务域的输入加密模块启 动对用户输入的身份凭证信息进行加密处理;在步骤101之后,用户端客户域
中的输入加密控制模块通知服务域的输入加密模块停止对用户输入的身份凭证 信息进行加密处理。
为了用户使用的方便,在所述方法上,通常网络应用负责通过输入加密控 制模块通知服务域的输入加密模块启动或停止对用户输入的身份凭证信息进行 加密处理。
所述方法上, 一个典型的实现是步骤IOI中的加密过程和步骤104中相
对应的解密过程中使用的加密及解密算法和/或密钥是预先部署的。
对于步骤101中的加密过程和步骤104中相对应的解密过程中使用的加密
及解密算法和/或密钥,采用预先部署的方式简单方便,但不够灵活,且安全性
较低;采用用户端和网络认证端协商的方式可以更加灵活,并获得更高的安全 性,在使用协商方式的情况下,协商过程已经是成熟的网络安全技术,许多协 商过程(例如证书系统)安全性很高,本发明不特别限定特定的协商机制和协 商内容。
所述方法上, 一个典型的实现是步骤IOI中的加密过程和步骤104中相
对应的解密过程中使用的加密及解密算法和/或密钥由用户端和网络认证端在
步骤101之前协商确定。
在采用用户端和网络认证端协商加密及解密算法和/或密钥的方式下,本发 明并不限定和网络认证端直接通信的是用户端的服务域还是客户域。当用户端的服务域和网络认证端通信时,两者可以直接完成协商过程。当用户端的客户 域和网络认证端通信时,客户域可以在协商结束后将结果传给服务域,也可以 仅仅作为服务域和网络认证端的通信中转代理,仍然由服务域和网络认证端完 成协商。
所述方法上, 一种典型的实施是用户端和网络认证端对步骤101中的加 密过程和步骤104中相对应^解密过程中使用的加密及解密算法和/或密钥的协 商过程,由用户端服务域的输入加密模块和网络认证端的解密模块之间进行通 信交互来完成。
在具体实施中,有时用户端客户域中的输入设备驱动模块或网络应用等会 对从虚拟输入设备得到的输入字符或信息的范围加以限定,也就是说,用户向 网络应用输入的身份凭证信息使用特定的有效字符集。比如限制可接受的输入 只能为可打印字符等,又比如有些密码输入限定只能为数字,本方法可以通过 选择和设计加密算法,使得加密前和加密后的身份凭证信息使用相同的有效字 符集。
需要说明的是,通常用户在通过身份认证之后,用户端和网络认证端还有 许多信息的交互,比如用户在登录网上银行以后,可能还会输入网上支付等信 息,如果为了保护这类信息,那么采用本发明的方法提供的保护机制,同样可 以达到提高安全性的目的,理应也在本发明的范畴以内。
从以上步骤可以看出,本发明提供的基于虚拟化技术的计算机网络认证系 统和方法,将用户身份凭证信息(以及身份认证通过后的后续交互的信息)的 输入和加密处理,从客户域转移到了服务域进行,而后将加密后的结果提供给 客户域,使得用户敏感信息在客户域中只以密文的形式出现,相当于在用户端 与网络认证端建立了一条穿透客户域的安全隧道,用户输入的身份凭证信息通 过这条隧道可以安全地到达网络认证端。从而有效的防止了客户域中的病毒、 木马拦截输入以及扫描内存导致等造成的信息泄露,提高了计算机网络信息的 安全性。


图1是基于裸机虚拟机监视器的虚拟化计算机系统示意图。 图2是基于寄宿的虚拟机监视器的虚拟化计算机系统示意图。
图3是采用基于裸机虚拟机监视器的虚拟化平台的用户端的情况下,本发
明的计算机网络认证系统示意图。
图4是采用基于寄宿的虚拟机监视器的虚拟化平台的用户端的情况下,本 发明的计算机网络认证系统示意图。
图5是本发明的计算机网络认证方法整体流程框图。
具体实施例方式
以下结合

本发明的基于虚拟化技术的计算机网络认证系统和方法。
在图3中,用户端是一个虚拟化平台,所述用户端包括计算机硬件100, 所述计算机硬件100包括物理输入设备101。在计算机硬件100上运行着裸机 虚拟机监视器200,虚拟机监视器200支撑着虚拟机300A和300B。其中,虚 拟机300A上运行着的服务域400;客户域500是虚拟机300B上运行着的客操 作系统,客户域500能够直接访问虚拟机300B所提供的虚拟输入设备301B。 通过配置所述的用户端虚拟化平台,使得用户通过物理输入设备向客户域500 中的网络应用的输入首先传给服务域400进行加密处理,再将服务域400加密 后的输入信息,通过客户域500直接访问的虚拟输入设备301B发送给客户域 500。
服务域400是虚拟化平台上运行的域。所述服务域400包括输入加密模块 401,所述输入加密模块401负责加密用户向客户域500的网络应用502输入的 身份凭证信息,并将加密后的身份凭证信息通过客户域500直接访问的虚拟输 入设备301B发送给客户域500。
客户域500中包括输入设备驱动模块501和网络应用502。其中,所述网络应用502负责接收用户输入的身份凭证信息,并发送给网络认证端600;所 述输入设备驱动模块501,负责为所述网络应用502读取服务域400通过虚拟 输入设备301B发送来的加密的身份凭证信息。
在具体实施中,用户端客户域500可以配置可选的输入加密控制模块503, 所述输入加密控制模块503负责通知服务域400的输入加密模块401启动或停 止对用户向客户域500的网络应用502输入的身份凭证信息进行加密处理。一 个典型的实施是用户端客户域500的网络应用502通过所述输入加密控制模 块503通知服务域400的输入加密模块401启动或停止对用户向客户域500的 网络应用502输入的身份凭证信息进行加密处理。
在具体实施中,网络应用502 —般是一个具有网络通信能力的应用程序; 输入加密控制模块503可以是一个动态或者静态的链接库,由网络应用502调 用其中的接口函数,通知服务域400的输入加密模块401,启动或停止输入加 密处理;输入加密控制模块503也可以是一个独立运行的程序,网络应用502 通过任务间通信的方式与输入加密控制模块503交互,再由输入加密控制模块 503通知服务域400的输入加密模块401启动或停止输入加密处理。
网络认证端600包括解密模块601和认证模块602。解密模块601和用户 端服务域400的输入加密模块401相对应,负责对网络认证端600接收的用户 端通过网络700传送来的加密的身份凭证信息进行解密;认证模块602根据解 密模块601解密后的身份凭证信息进行验证,完成身份认证功能。
据此,本发明在所述的计算机网络认证系统上,提供了一种基于虚拟化技 术的计算机网络认证方法用户端服务域400接收用户向用户端客户域500中 的网络应用502输入的身份凭证信息,并把该身份凭证信息加密后交给用户端 客户域500的网络应用502,客户域500的网络应用502把加密的身份凭证信 息通过网络700发送给网络认证端600;最后网络认证端600接收该加密的身 份凭证信息,并通过解密模块601对所述加密的身份凭证信息解密后,再通过 认证模块602对该身份认证信息进行身份验证。
本发明的基于虚拟化技术的计算机网络认证方法包括以下步骤步骤IOI,用户端服务域400接收用户输入的身份凭证信息,并通过输入 加密模块401加密该身份凭证信息,然后把加密的身份凭证信息通过用户端客 户域500直接访问的虚拟输入设备301B传给客户域;
步骤102,用户端客户域500的网络应用502通过输入设备驱动模块501 接收用户端服务域传来的加密的身份凭证信息;
步骤103,用户端客户域500的网络应用502将加密的用户身份凭证信息 通过网络700传给网络认证端600;
步骤104,网络认证端600接收用户端客户域500的网络应用502传来的 加密的身份凭证信息,并通过解密模块601对所述加密的身份凭证信息进行解 密,然后通过认证模块602对解密后的身份凭证信息进行身份验证,完成整个 认证功能。
如果所述的计算机网络认证系统中的用户端客户域500配置有输入加密控 制模块503,在所述方法上,可以由用户端客户域500的输入加密控制模块503 通知服务域400的输入加密模块401启用输入加密处理。具体地说,在步骤101 之前,用户端客户域500中的输入加密控制模块503通知服务域的输入加密模 块401启用输入加密处理;在步骤101之后,用户端客户域500中的输入加密 控制模块503通知服务域的输入加密模块401停止输入加密处理。
为了用户使用的方便,在所述方法上,通常网络应用502负责通过输入加 密控制模块503通知服务域400的输入加密模块401启用或停止输入加密处理。
本发明是基于图3展开描述的。在图3中,用户端为基于裸机虚拟机监视 器的虚拟化平台,客户域和服务域都是客操作系统。同样地,本发明也适用于 基于寄宿的虚拟机监视器的虚拟化平台的用户端,如图4所示,用户端含有计 算机硬件IOO,所述计算机硬件100包括物理输入设备101。在计算机硬件IOO 上运行着一个主操作系统,该主操作系统是服务域400,主操作系统上运行着 一个寄宿的虚拟机监视器200,由虚拟机监视器200支撑起虚拟机300,虚拟机 300上运行着客操作系统,该客操作系统是客户域500。
综上所述,本发明的基于虚拟化技术的计算机网络认证系统和方法通过由安全级别较高的服务域对用户向客户域的网络应用输入的用户身份凭证等敏感 信息做加密处理,使得客户域只能获得加密的身份凭证信息(以及其他敏感信 息),完全解决了的客户域因为安全级别较差带来的信息安全问题。并且本发明 的系统和方法可以适用于各种计算机硬件环境,具有广泛的应用价值。
权利要求
1、本发明提供了一种基于虚拟化技术的计算机网络认证系统,包括用户端和网络认证端,所述用户端和网络认证端通过网络进行通信。其特征在于所述用户端是一个虚拟化平台。用户端负责接收用户输入的身份凭证信息并向网络认证端发送该身份凭证信息。用户端包括计算机硬件及运行在该计算机硬件上的包括虚拟监视器以及关联的服务域和客户域的软件,并且在用户端配置上,用户向客户域输入的身份凭证信息由服务域先接收后再转发给客户域。其中服务域是虚拟化平台上运行的域。所述服务域包括输入加密模块,所述输入加密模块负责加密用户向客户域的网络应用输入的身份凭证信息,并将加密后的身份凭证信息通过客户域直接访问的虚拟输入设备发送给客户域。客户域是虚拟化平台上运行的域,所述客户域包括输入设备驱动模块和网络应用。其中,所述输入设备驱动模块负责为所述网络应用读取服务域通过虚拟输入设备发送来的加密的身份凭证信息;所述网络应用负责通过所述输入设备驱动模块读取服务域通过虚拟输入设备发送来的加密的身份凭证信息,并发送给网络认证端。网络认证端是一个或一组网络认证服务器,负责接收并验证用户端发送来的加密的身份凭证信息。所述网络认证端包括解密模块和认证模块。其中,所述解密模块负责解密用户端传来的加密的身份凭证信息;所述认证模块负责对所述解密模块解密后的身份凭证信息进行身份验证。
2、 根据权利要求1所述的系统,其特征在于用户端客户域还含有输入加密控制模块。所述输入加密控制模块负责通知服务域的输入加密模块启动或停 止对用户向客户域的网络应用输入的身份凭证信息进行加密处理。
3、 根据权利要求2所述的系统,其特征在于用户端客户域的网络应用通 过输入加密控制模块通知服务域的输入加密模块启动或停止对用户向客户域的 网络应用输入的身份凭证信息进行加密处理。
4、 根据权利要求1所述系统,本发明提供了一种基于虚拟化技术的计算机网络认证方法用户端服务域接收用户向用户端客户域中的网络应用输入的身 份凭证信息,并把该身份凭证信息加密后发送给用户端客户域,客户域的网络 应用接收加密的身份凭证信息并通过网络把加密的身份凭证信息发送给网络认 证端;最后网络认证端接收所述加密的身份凭证信息,并通过解密模块对加密 的身份凭证信息解密后,再通过认证模块对该身份认证信息进行身份验证。
5、 根据权利要求4所述方法,本发明的基于虚拟化技术的计算机网络认证 方法包括以下步骤步骤IOI,用户端服务域接收用户输入的身份凭证信息,并通过输入加密 模块加密该身份凭证信息,然后把加密的身份凭证信息通过用户端客户域直接 访问的虚拟输入设备传给客户域;步骤102,用户端客户域的网络应用通过输入设备驱动模块接收用户端服 务域传来的加密的身份凭证信息;步骤103,用户端客户域的网络应用将加密的身份凭证信息通过网络传给 网络认证端;步骤104,网络认证端接收用户端客户域的网络应用传来的加密的身份凭 证信息,并通过解密模块对所述加密的身份凭证信息进行解密,然后通过认证 模块对解密后的身份凭证信息进行身份验证,完成整个认证功能。
6、 根据权利要求3所述的系统和权利要求5所述的方法,其特征在于在 步骤101之前,用户端客户域的网络应用通过输入加密控制模块通知服务域的 输入加密模块启动对用户输入的身份凭证信息进行加密处理;在步骤101之后, 用户端客户域的网络应用通过输入加密控制模块通知服务域的输入加密模块停 止对用户输入的身份凭证信息进行加密处理。
7、 根据权利要求5所述的方法,其特征在于步骤IOI中的加密过程和步 骤104中相对应的解密过程中使用的加密及解密算法和/或密钥是预先部署的。
8、 根据权利要求5所述的方法,其特征在于步骤101中的加密过程和步 骤104中相对应的解密过程中使用的加密及解密算法和/或密钥,由用户端和网 络认证端在步骤101之前协商确定。
9、 根据权利要求8所述的方法,其特征在于用户端和网络认证端对步骤101中的加密过程和步骤104中相对应的解密过程中使用的加密及解密算法和/或密钥的协商过程,由用户端服务域的输入加密模块和网络认证端的解密模块 之间通过通信交互来完成。
10、 根据权利要求5所述的方法,其特征在于对于步骤101中的加密过程,选择加密算法使得加密前和加密后的身份凭证信息使用相同的有效字符集。
全文摘要
一种基于虚拟化技术的计算机网络认证系统和方法。本发明的系统包括用户端和网络认证端。所述用户端是一个虚拟化平台,其软件包括虚拟机监视器以及相关联的服务域和客户域,客户域含有请求认证的网络应用和输入设备驱动模块;服务域含有输入加密模块,所述输入加密模块负责加密用户向客户域的网络应用输入的身份凭证信息。本发明的方法是服务域读取用户向客户域的网络应用输入的身份凭证信息,并通过输入加密模块对该身份凭证信息进行加密,然后将加密的身份凭证信息传送给客户域,客户域的网络应用接收加密的身份凭证信息并通过网络把加密的身份凭证信息发送到网络认证端;最后网络认证端对加密的身份凭证信息进行解密,并对解密的身份凭证信息进行身份验证,完成整个认证过程。在本发明中,客户域获取到的用户身份凭证信息自始至终都是经过加密的,可以完全防范客户域中病毒、木马等恶意代码对用户身份凭证信息的窃取,从而有效地保护了用户敏感信息,提高了网络通信的安全性。
文档编号G06F9/44GK101414913SQ20081022798
公开日2009年4月22日 申请日期2008年12月4日 优先权日2008年12月4日
发明者嘉 倪, 庄小凡 申请人:北京世纪红山科技有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:庄小凡;倪嘉
  • 技术所有人:北京世纪红山科技有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
计算机虚拟化技术相关技术
系统虚拟化技术相关技术
网络虚拟化技术相关技术
网络设备虚拟化技术相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2