精锐5 身份认证“组件”（Virbox WebServer），是一个运转在用户盘算机的当地 Web 办事（不必要拜访互联网），提供 Web 接口拜访精锐5九游会旗舰厅，B/S 架构的 Web 使用只需在网页代码中嵌入挪用接口（跨域拜访）的代码即可拜访九游会旗舰厅、获取九游会旗舰厅信息，完成身份认证功效。

差别于 COM 组件拜访九游会旗舰厅的方法，本产品提供的 Web 接口可用 JavaScript 挪用，开辟者不必要学习分外的技艺即可完乐成能集成，兼容市道市情主流的欣赏器（IE、Chrome、360、Firefox 等）。

产品架构

• B/S 办事端：开辟者 B/S 架构使用步伐（网站）办事端，向用户提供办事。

• 欣赏器（客户端）：用户经过欣赏器拜访指定域名的网站，包罗主流的欣赏器：IE、Chrome、360宁静欣赏器、360极速欣赏器、猎豹欣赏器等。

• Virbox WebServer：身份认证中心组件，提供拜访九游会旗舰厅的 Web 接口。

• Virbox 用户东西：拜访精锐5九游会旗舰厅、云锁、软锁，提供笼统拜访锁（含硬件锁、云锁、软锁）接口。

• 精锐5九游会旗舰厅：身份认证的物理介质，锁内存有独一的设置装备摆设私钥，提供不行伪造的设置装备摆设署名。每一把精锐5九游会旗舰厅在出厂前由锁内宁静芯片天生环球独一密钥和证书，硬件具有不行复制、密钥不行导出的宁静特征，让伪造认证变得愈加难。

留意：Virbox WebServer 无法间接与精锐5九游会旗舰厅通讯，必要经过 Virbox 用户东西直接拜访九游会旗舰厅，以是在软件运转情况摆设时必要安置 Virbox WebServer （）和 Virbox 用户东西（）。

加密方案

精锐5 身份认证的加密方案以九游会旗舰厅设置装备摆设独一的私钥不行窜改、不行克隆为底子，利用九游会旗舰厅私钥署名、九游会旗舰厅公钥验签的方法举行验证。

底子方案

条件条件

B/S 办事端已保管出售的九游会旗舰厅信息（外壳号、芯片号、设置装备摆设证书） 

B/S 办事端

当某一台客户端经过欣赏器网页拜访 B/S 办事端时，办事端起首校验客户真个正当性。

1. 1.办事端记载客户端会话GUID

2. 2.依据会话GUID + 随机数 + 以后的UTC工夫组合天生验证数据，利用 Hash 算法盘算验证数据的哈希后果，用于验证客户真个正当性。

3. 3.办事端将校验数据前往给客户端，等候客户端利用当地的九游会旗舰厅的私钥对验证数据的 Hash 后果举行署名，并将九游会旗舰厅信息和验证署名后果前往给办事端。

4. 4.办事端校验九游会旗舰厅正当性。办事端反省客户端上传的九游会旗舰厅信息（外壳号、芯片号）与数据库内容比拟能否分歧，验证九游会旗舰厅的正当性。

5. 5.办事端校验验证数据的正当性。办事端在确认九游会旗舰厅正当后，利用九游会旗舰厅的设置装备摆设公钥验签私钥署名的正当性，只要当署名后果与验证数据完全分歧时，表现以后客户真个九游会旗舰厅无效。

客户端

用户经过客户真个欣赏器网页拜访 B/S 办事端某些商业功效，当 B/S 办事端必要验证客户真个正当性时，客户端必要将办事端前往的数据交给当地的精锐5硬件锁举行署名，然后将署名后果前往给办事端举行验证。

1. 1.客户端经过 Virbox WebServer 接口获取九游会旗舰厅信息（外壳号、芯片号、设置装备摆设证书）。

2. 2.客户端经过 Virbox WebServer 接口对办事端前往的认证数据举行九游会旗舰厅私钥署名。

3. 3.客户端将九游会旗舰厅信息和九游会旗舰厅私钥署名后的数据一同发给办事端举行校验考核。

双重验证方案

在完成底子方案的底子上，B/S 办事端可以同时接纳 用户名、暗码 登录认证的方法，对客户端用户举行账号认证，与硬件九游会旗舰厅认证联合完成双重认证。

当客户端必要举行某些特别操纵时，举行九游会旗舰厅认证，认证经过后容许客户端实行商业功效。

方案宁静性

精锐5身份认证的宁静性由加密方案和精锐5硬件九游会旗舰厅硬件两方面包管。

从上文中可以理解到 Virbox 身份认证，由办事端针对每一个客户端天生独一、不行重放的认证数据，再经过网络交给客户端，客户端利用九游会旗舰厅私钥对认证数据举行署名，最初客户端再将认证提交给 B/S 办事端在办事端举行认证反省。

认证数据的天生和署名后果校验在办事端完成，客户端利用九游会旗舰厅私钥署名后的认证数据具有不行伪造的特征，无论 B/S 办事端与客户端通讯利用 HTTPS 或 HTTP 协议，传输数据是明文大概密文，都不影响认证数据的宁静性。

开辟者只需包管 B/S 办事端天生的认证数据以下两个特点：

1. 独一性。每个客户端应该具有独一的认证数据。

2. 抗重放。认证数据只要单次无效，过时取消，验证终了马上扫除，避免数据被反复使用。

功效集成

开辟者参照示例（web_server_test.html）将挪用 Virbox WebServer 的 JS 代码集成到商业功效的网页中，并依据商业流程在得当的状况下触发相干接口挪用即可。

寻思向开辟者提供 Virbox WebServer 和 用户东西的安置包，以及 Virbox WebServer 接口文档、示例代码（C#、Java）。

开辟者必要参照寻思提供的示例步伐完成以下事情：

• 1.B/S 办事端天生认证数据，挪用尺度暗码学接话柄现公钥验签功效。

• 2.B/S 办事端依据加密方案提供数据存储和校验逻辑。

• a.根本方案。

• 1)办事端必要完成账号暗码登录功效和相干数据存储。

• 2)办事端必要记载正式公布的九游会旗舰厅信息

• 3)客户端挪用 Virbox WebServer 接口获取九游会旗舰厅信息，提交给办事端。

• b.双重验证方案。
  

• 1)办事端完成反省客户端九游会旗舰厅数占有效性反省功效。

情况摆设

安置组件

在用户盘算机必要安置以下组件

1. Virbox 用户东西，下载地点：。

2. 身份认证组件（Virbox WebServer），下载地点：。

摆设验证

1. 在用户盘算机拔出精锐5硬件锁

2. 利用欣赏器翻开测试用例（web_server_test.html），点击 “盘问 WebServer 版本号” ，前往以后认证办事版本号，假如未前往后果或提醒错误，请依据罕见题目举行排查。

兼容欣赏器