[发明专利]基于智能密钥和数字签名的虚拟资产保护方法

说明书

技术领域

本发明涉及一种虚拟资产保护方法，特别涉及一种适用于网络游戏中虚拟装备、游戏币、网游帐号、Q币等虚拟货币、银行、证券等行业电子数据保护的基于智能密钥和数字签名的虚拟资产保护方法。

背景技术

随着网络游戏及虚拟交易的发展，虚拟资产的安全问题日益突出，在利益的驱动下，玩家帐号被盗、装备丢失的情况层出不穷，盗号现象已形成巨大的灰色产业链，玩家的经济损失数以亿计。同时，一些玩家将盗号问题归罪于游戏运营商的防盗不力，甚至怀疑运营商监守自盗，导致虚拟资产纠纷问题时有发生。

目前，游戏运营商为了防盗号提供了密保卡、动态口令卡等方案，但这些方案一定程度上增加了盗号的难度，但存在大量的问题，且无法杜绝盗号，具体情况如下：

1、矩阵密保卡，密保卡采用数字矩阵的方式显示密码，直观方便；但由于玩家为了方便经常将密保卡存储在本地硬盘，易于被木马盗取。另外，木马会长时间潜伏在机器上记录下矩阵中每个密码，因此密保卡无法解决帐号被盗的问题。

2、短信密保，短信密保通过手机向玩家发送短信验证码进行身份验证。  手机密保一方面要求玩家必须配备手机，而且操作较为繁琐，更重要的是无法短信延迟无法避免，会造成大量玩家无法正常登录游戏。

3、PC密保，PC密保通过绑定PC硬件进行身份认证，该方法的问题是娱乐环境固定，不适用在网吧等场所使用。

4、动态令牌，动态令牌基于时间同步生成动态口令保护帐号安全，但由于动态令牌的时间漂移问题，通常在一段时间内产生的动态口令全部有效，这使得木马有机会通过镜像游戏实时获取帐号的动态口令，并实现盗号。 

从以上帐号保护的方案来看，目前还没有一种产品或方案可以彻底解决盗号问题。另外，玩家在盗号发生后通常会向运营商找回装备，但由于运营商和玩家之间互相不信任，导致虚拟资产纠纷问题愈发严重。造成盗号及虚拟资产纠纷问题的原因就是现有的帐号保护机制无法提供一种不能复制的身份凭证，且没有一种有效的技术手段在玩家和运营商之间发生纠纷时可以迅速判断责任。

综上所述，针对现有技术的缺陷，特别需要一种基于智能密钥和数字签名的虚拟资产保护方法，以解决以上提到的问题。

发明内容

本发明的目的在于提供一种基于智能密钥和数字签名的虚拟资产保护方法，解决上述现有技术的缺陷，能够有效的保护帐号，从技术上和本质上同时解决盗号问题，而且通过将虚拟资产离线存储使得运营商可以将保管虚拟资产的责任置于玩家，从而避免虚拟资产纠纷问题。

本发明所解决的技术问题可以采用以下技术方案来实现：

一种基于智能密钥和数字签名的虚拟资产保护方法，其特征在于，它包括如下步骤：

1）使用智能密钥作为硬件介质为每个用户签发证书并绑定游戏帐号；

2）用户使用智能密钥进行身份认证登录游戏；

3）用户请求导出游戏中的虚拟资产；

4）游戏服务器使用服务器端私钥对虚拟资产数据进行签名并打包下发到游戏客户端；

5）游戏客户端验证虚拟资产及其签名信息后，再使用用户智能密钥对该信息签名；

6）游戏客户端将附有服务器端签名及用户签名的虚拟资产信息保存到智能密钥的存储区，同时删除服务器端的用户虚拟资产。

本发明的一个实施例中，所述虚拟资产包括游戏装备、游戏币，但不限于游戏中的虚拟 资产，还包括Q币等虚拟货币以及银行、证券等行业的电子数据。

本发明的一个实施例中，所述智能密钥包括USBKey、IC卡和所有证书硬件介质。

本发明的一个实施例中，在上述步骤1）中，使用智能密钥进行身份认证时，需要对服务器端返回的随机数进行客户端签名，服务器端通过验证客户端签名及证书进行强身份认证。

本发明的一个实施例中，在上述步骤4）中，需要使用服务器端私钥对虚拟资产进行签名，确保虚拟资产不可篡改以及服务器端对签名的虚拟资产不可抵赖。

本发明的一个实施例中，在上述步骤5）中，客户端接收到虚拟资产及签名信息后，需要对虚拟资产签名信息进行验证，确保该虚拟资产在传输过程中未篡改，且是服务器端认可的数据。

本发明的一个实施例中，在上述步骤5）中，验证服务端签名后需要使用智能密钥对虚拟资产及服务器端签名信息进行客户端签名，确保数据未篡改，且是用户认可的虚拟资产数据。

本发明的一个实施例中，在上述步骤6）中，需将虚拟资产及签名信息保存在智能密钥的存储区域，同时删除服务器端的虚拟资产数据，从而达到虚拟资产离线存储随身存储的目的。