一种虚拟用户认证系统(10),包括:虚拟机管理器(VMM)(16),通信地耦合到用户操作系统(OS)(12)和服务OS(14),所述VMM(16)被配置为接收去往在用户OS(12)上运行的应用(20)的键击输入并且将所述键击输入传送到所述服务OS(14),所述键击输入由所述服务OS(14)来处理。
【技术实现步骤摘要】
【国外来华专利技术】虛拟用户i/a正系统和方法
技术介绍
通常通过验证与用户相关的一个或多个安全凭证(credential )(例 如,用户名、密码、个人识别码(PIN)等)来认证计算平台的用户。 认证信息也可以与密码令牌(cryptographic token)或智能卡结合使用来提供多因素认证以加强用户的安全性和真实性。然而,存在执行存 储器扫描和/或鍵击记录(keystroke logging)的各种程序。因此,容易危及安全凭证的安全性(例如,当用来访问强化安全的 (security-hardened)密码令牌或智能卡时)。附图说明为了更全面地理解本专利技术及其优点,现在结合附图参考下面作出的 描述,附图中图1是示出根据本专利技术的虛拟用户认证系统的实施例的图; 图2A和2B是示出根据本专利技术的虛拟用户认证方法的实施例的流程 图;以及图3是示出根据本专利技术的虛拟用户认证系统的另 一实施例的图。 具体实施例方式通过参考附图1 - 3可以最好地理解本专利技术的优选实施例及其优点, 相似的附图标记被用于各个附图中的相似和相应部分。图1是示出根椐本专利技术的虛拟用户认证系统10的实施例的图。在 图1所示出的实施例中,系统10包括用户操作系统(0S)12、服务0S 14 和虛拟机管理器(VMM) 16。 VMM 16包括软件层以虛拟化到布置在分区 的存储器空间上的用户OS 12和服务0S 14中的每一个的硬件接口。在 图1所示出的实施例中,操作系统的两个实例被示出为由VMM 16来连 接(interface)。然而,应当理解,更多的操作系统可以使用VMM 16 来虚拟化。在图l所示出的实施例中,用户OS 12被配置为主操作系统,由计 算平台的用户使用其来访问和/或以其他方式使用各种应用(application) 20,例如但不限于文字处理应用、互联网浏览器或者 财务管理应用。服务0S 14用来处理从键盘/键击输入设备30所接收的 键击,该键击是去往一个(或)应用20的(例如,被输入以便向该特 定应用20提供信息)。例如,服务0S 14被配置为与VMM 16以及驻留 在用户0S 12上的键击代理70连接以确定由用户输入的特定键击是否 与用于特定应用20的安全敏感凭证(例如,用户名、密码、个人识别 码(PIN)、社会安全号码或者其它类型的其安全受到关注的信息)相 关。服务OS 14处理对应于特定应用20的键击输入并且促进将该键击 输入提供给特定应用20,使得可以与用户OS 12的键盘/输入协议栈相 关和/或以其他方式与其集成的键击记录器和/或扫描应用不被给予用 户的真实键击输入,从而提供增强的用户认证和/或安全凭证的安全性。 在图1所示出的实施例中,VMM 16包括虛拟鍵盘驱动器32,该虚 拟键盘驱动器32可以包括硬件、软件、固件或其组合。虛拟鍵盘驱动 器32从键盘/键击输入设备30接收输入并将该键击输入传送到服务OS 14(来自键盘/键击输入设备30的输入在图1中被标识为键击输入40)。 因此,在操作中,来自键盘/键击输入设备30的、去往驻留和/或以其 他方式运行在用户0S 12上的特定应用20的输入被VMM 16截取并发送 到服务OS 14。在图1中,服务OS 14包括物理鍵盘驱动器50、过滤驱动器52和 键击緩沖器54。物理键盘驱动器50和过滤驱动器52可以包括软件、硬 件、固件或其组合。物理键盘驱动器50接收和/或以其他方式处理从VMM 16接收的键击输入40。过滤驱动器52与物理键盘驱动器50和/或应用 20连接以确定键击输入40是否与安全凭证相关。例如,在本专利技术的一 些实施例中,响应于用户启动(launch)和/或以其他方式运行特定应 用20和/或与特定应用20相关的功能,过滤驱动器52与应用20连接 以确定鍵击输入40是否与用于应用20的安全凭证输入(例如,用于用 户名、密码或其它类型的安全凭证的输入窗口 )相关。如果过滤驱动器 52确定键击输入40与安全凭证相关,则过滤驱动器52生成与形成键击 输入40的字符对应的任意的和/或混杂的(miscellaneous)占位符字 符串。例如,如果键击输入40包括被定义为"BLD1 359"的密码,则过 滤驱动器52为键击输入40的每一个字符都生成任意字符。因此,在该 示例中,过滤驱动器52可以生成被定义为"P**$&N2,,的字符串。应当理解,任意的占位符字符可以包括预定的字符串(例如,全星号)或者 随机生成的字符串。任意的占位符字符由过滤驱动器52发送到与用户OS 12相关的虛 拟键盘驱动器60,如图1中的箭头62所表示的。虛拟键盘驱动器60从 过滤驱动器52接收任意的占位符字符并且处理该任意的占位符字符就 好像该任意的占位符字符是键击输入40。例如,虛拟键盘驱动器60可 以将该任意的占位符字符显示在用户界面和/或对应于应用20的输入窗 口内的显示设备上。然而,应当理解,至少对于与安全凭证相关的键击 输入40,键击输入4D不被虛拟键盘驱动器60接收和/或以其他方式处 理。因此,可以被附接到和/或以其他方式与虛拟键盘驱动器60连接的 键击记录器和/或扫描器将会具有到键击输入40的受限访问和/或不能 访问4建击输入40。优选地,过滤驱动器52也使得键击输入40被緩冲在键击緩沖器54 内。在图1中,驻留在用户OS 12上的键击代理70 (其可以包括硬件、 软件、固件或其组合)响应于由服务OS 14所接收的鍵击输入40的终 止字符而与过滤驱动器52和/或鍵击緩冲器54连接。如在这里使用的, 键击输入40的终止字符通常被定义为后面跟着标准"回车,,(CR)字 符的或者在用户以其他方式发出表示输入结束的信号(例如,点击"0K" 按钮,等等)时的特定键击输入的最后的或最终的字符。因此,例如, 对于定义为"BLD 1 359"的密码,输入的终止可以用信号表示为数字"9" 的字符,其后面跟着回车(ENTER键)序列或应用内动作的启用(例如, 点击"OK"按钮)。响应于接收到鍵击输入40的终止字符,键击代理 70与键击緩沖器54连接以从键击緩沖器54自动取回(retrieve )键击 输入40并将键击输入40提供给键击输入40要去往的(destined)特 定应用20。因此,在该示例中,大大减少了可以扫描存储器位置以确定 和/或以其他方式识别安全凭证的时间周期。在上述示例中,鍵击输入 40被存储和/或緩存在键击緩沖器54中直到接收到终止字符。然而,同 样应当理解,可以在将键击输入40提供给去往的(destined)应用20 之前不緩冲键击输入40的所有字符的情况下,处理键击输入40。例如, 在本专利技术一些实施例中,键击代理70可以被配置为连续地或周期性地 取回键击输入40的各个字符和/或字符组并将这样的键击输入40提供 给去往的应用20。在上述实施例中,如果键击输入40与安全凭证相关则过滤驱动器 52生成任意的占位符字符。然而,应当理解,过滤驱动器52可以被配 置为对所有类型的键击输入40 (例如,无论其是否与安全凭证相关)都 生成任意的占位符字符并将其发送到虛拟键盘驱动器60。此外,应当理 解,如果键击输入40不与安全凭证相关,则键击输入40可以被直接传 送到虚拟键盘驱动器60从而用于处理。本文档来自技高网...
【技术保护点】
一种虚拟用户认证系统(10),包括: 虚拟机管理器(VMM)(16),其通信地耦合到用户操作系统(OS)(12)和服务OS(14),所述VMM(16)被配置为接收去往在所述用户OS(12)上运行的应用(20)的键击输入并且将所述键击输 入传送到所述服务OS(14),所述键击输入由所述服务OS(14)来处理。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:M诺沃亚,VY阿利,MJ阿尔滕多夫,
申请(专利权)人:惠普开发有限公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。