身份鉴别产品架构:
1,登录凭据
2,客户端界面
3,设备监控
4,策略通讯(网络版)
模块简介:
登录凭据模块:微软提供的一套公开的登录凭据接口,分为三大类,凭据过滤类,登录凭据类,登录验证类,登录过滤类:过滤其他的凭据,如果有多个凭据生效,可能造成界面显示不正常或登录界面被覆盖等问题,登录凭据类则是控制登录界面各个控件的显示,登录验证类则是处理验证登录账户密码信息及处理密码过期修改等逻辑
客户端界面:处理秘钥设备的信息显示,基本操作(修改PIN,解锁PIN,录入指纹信息,绑定解绑账户信息),日志审计
设备监控:监控设备的插拔,及时响应策略锁屏或注销,防止泄密
策略通讯:与服务器进行通讯,同步策略,上报审计日志,下发升级包
具体实现如下:
登录模块:总共有三大类
1)ICredentialProviderFilter,主要处理过滤凭据(凭据注册表中可能挂接了多个凭据),根据凭据的GUID实现过滤
2)ICredentialProvider 凭据提供者类,主要提供对登录界面上所有控件的展示
3)ICredentialProviderCredential 凭据认证类,主要实现对账户密码的认证,密码修改,凭据认证类在win8以后系统,是采用的第二摊凭据认证类ICredentialProviderCredential2
客户端界面:Qt编写客户端界面,分为三大菜单,一主要针对设备的具体内部固件操作(修改PIN,解锁PIN,录入指纹信息),都是调用秘钥设备的驱动进行操作,二主要是对设备进行与账户的关联操作(绑定,解绑,备份,还原),绑定:将秘钥设备与账户关联绑定,存储在秘钥设备中本地文件。备份:备份秘钥设备的绑定关联信息,三日志审计:主要是记录用户的基本操作,包括对秘钥设备操作及系统的登录登出操作
设备监控:MFC实现程序,注册usb设备的消息,当系统消息出现usb设备变化消息时,检测登录的秘钥设备,如果不存在,执行相应的策略操作
策略通讯:采用openssl与BIO模式实现https与服务器进行通讯,通讯前采用一次"握手"通讯,服务器返回tokenID与加密秘钥值,客户端用这个秘钥对下次通讯的内容进行加密,并带上tokenID值