一種基于USB-Key的虛擬桌面安全認(rèn)證方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種基于USB-Key的虛擬桌面安全認(rèn)證方法及系統(tǒng)��。本方法為:1)瘦客戶端首先基于usbkey的PIN碼認(rèn)證���,通過(guò)后向云管理中心申請(qǐng)簽名所用的隨機(jī)數(shù)x��;2)客戶端用隨機(jī)數(shù)x產(chǎn)生驗(yàn)簽數(shù)據(jù)包p7�����,進(jìn)行云管理中心的證書與簽名認(rèn)證�����;3)驗(yàn)證通過(guò)則云管理中心選擇對(duì)應(yīng)的鏡像文件信息發(fā)送至客戶端����;4)虛擬桌面服務(wù)端根據(jù)保存的客戶端秘密值和向虛擬桌面服務(wù)端申請(qǐng)的隨機(jī)數(shù)y計(jì)算出新的動(dòng)態(tài)口令�����;5)客戶端根據(jù)該秘密值�、隨機(jī)數(shù)y計(jì)算出本次登錄虛擬桌面時(shí)所需動(dòng)態(tài)口令,并將其發(fā)送給虛擬桌面服務(wù)端進(jìn)行驗(yàn)證���,驗(yàn)證通過(guò)�����,則將虛擬桌面返回至客戶端��。本發(fā)明整個(gè)認(rèn)證過(guò)程只需要輸入一次pin碼即可���,既便捷又提高了安全性。
【專利說(shuō)明】—種基于USB-Key的虛擬桌面安全認(rèn)證方法及系統(tǒng)
【技術(shù)領(lǐng)域】
:
[0001]本發(fā)明屬于終端安全領(lǐng)域���,涉及一種安全認(rèn)證方法及系統(tǒng)����,主要涉及一種基于USB-Key的虛擬桌面安全認(rèn)證方法及系統(tǒng)。
【背景技術(shù)】
:
[0002]在虛擬桌面架構(gòu)(Virtualizat1nDesktop Infrastructure,簡(jiǎn)稱 VDI 或桌面云)系統(tǒng)中����,用戶使用客戶端軟件并通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)登錄位于服務(wù)器上的虛擬桌面系統(tǒng)。用戶在登錄到虛擬桌面系統(tǒng)前�,VDI系統(tǒng)需要驗(yàn)證用戶的身份信息,確認(rèn)用戶身份信息合法的前提下����,才允許用戶訪問(wèn)目標(biāo)虛擬桌面系統(tǒng),因此VDI系統(tǒng)必須具有安全���、可靠的身份認(rèn)證機(jī)制�,保證用戶的接入安全���。
[0003]現(xiàn)有技術(shù)中����,VDI系統(tǒng)通常將目標(biāo)虛擬桌面信息直接提供給用戶��,并選擇用戶的賬戶名和口令作為唯一的身份認(rèn)證信息,鑒別技術(shù)單一且簡(jiǎn)單��,致使用戶身份很容易被冒用�����,如果目標(biāo)虛擬桌面遭到非授權(quán)訪問(wèn)����,將直接導(dǎo)致重要數(shù)據(jù)的泄露,甚至攻破整個(gè)VDI系統(tǒng)等�。還有一種虛擬化環(huán)境下的認(rèn)證方式是只認(rèn)證虛擬桌面虛擬機(jī)的操作系統(tǒng)�,而忽略了鏡像文件的認(rèn)證。
[0004]目前虛擬化【技術(shù)領(lǐng)域】中優(yōu)秀的身份認(rèn)證方案大致如下:
[0005](I)用戶向桌面分發(fā)中心發(fā)出虛擬桌面的登錄請(qǐng)求����;
[0006](2)用戶將自己的身份信息(用戶名和口令)加密傳輸給桌面分發(fā)中心;
[0007](3)桌面分發(fā)中心驗(yàn)證用戶身份信息并返回相關(guān)的虛擬桌面信息���;
[0008](4)用戶使用指定的協(xié)議和虛擬桌面信息嘗試連接到對(duì)應(yīng)的虛擬桌面�����;
[0009](5)虛擬桌面驗(yàn)證用戶身份信息(用戶名和口令)并建立數(shù)據(jù)鏈路�,供用戶訪問(wèn)。以上技術(shù)方案的安全性和可靠性方面都存在不足�����,主要存在以下幾點(diǎn):
[0010](I)用戶身份信息的承載方式過(guò)于簡(jiǎn)單��,很容易被他人獲?��?���;
[0011](2)盡管進(jìn)行了兩次身份驗(yàn)證����,但每次驗(yàn)證的信息相同,可靠性較低����;
[0012](3)虛擬化環(huán)境下認(rèn)證范圍不全。
【發(fā)明內(nèi)容】
[0013]針對(duì)現(xiàn)有技術(shù)存在的技術(shù)問(wèn)題��,本發(fā)明的目的在于提供一種基于USB-Key的虛擬桌面多因子安全認(rèn)證方法及系統(tǒng)�����。本發(fā)明利用USB-Key來(lái)存放用戶的身份信息,且身份信息以證書和簽名形式提供�����;并且引入動(dòng)態(tài)口令機(jī)制����,虛擬桌面認(rèn)證采用一次一密;本發(fā)明解決了用戶身份信息承載方式過(guò)于簡(jiǎn)單和身份信息容易破解的問(wèn)題��,增強(qiáng)了認(rèn)證的可靠性���。
[0014]本發(fā)明技術(shù)方案存在以下兩個(gè)關(guān)鍵點(diǎn):
[0015](I)引入三種身份鑒別技術(shù):基于USB-Key的PIN碼認(rèn)證����,證書與簽名認(rèn)證��,用戶名與動(dòng)態(tài)口令認(rèn)證�����;首先是瘦客戶端的基于usbkey的PIN碼認(rèn)證���,由用戶在客戶端界面中輸入�,用于控制插入在瘦客戶端上的usbkey的訪問(wèn)權(quán)限��,其次是云管理中心的證書與簽名認(rèn)證�,用戶證書存放于usbkey中,用于用戶身份鑒別����,在驗(yàn)證合法身份情況下,通過(guò)與鏡像文件的匹配選擇用戶對(duì)應(yīng)的桌面鏡像文件信息���,最后是虛擬桌面內(nèi)的挑戰(zhàn)響應(yīng)型動(dòng)態(tài)口令認(rèn)證�����,虛擬桌面和客戶端均采用相同類型的秘密值��、隨機(jī)數(shù)�、用戶信息和HASH算法分別計(jì)算得到動(dòng)態(tài)口令��,虛擬桌面驗(yàn)證客戶端的動(dòng)態(tài)口令����。整個(gè)認(rèn)證過(guò)程只需要輸入一次pin碼就可以了,既便捷又提高了安全性���。
[0016](2)引入雙層認(rèn)證技術(shù):用戶鏡像文件認(rèn)證和虛擬桌面系統(tǒng)認(rèn)證����,每層認(rèn)證的身份信息不相同。用戶鏡像文件認(rèn)證:根據(jù)用戶的證書和簽名信息的驗(yàn)證結(jié)果����,決定是否返回用戶的虛擬鏡像文件信息,驗(yàn)證失敗時(shí)���,用戶無(wú)法獲知任何鏡像文件信息�;虛擬桌面系統(tǒng)認(rèn)證:用戶通過(guò)獲取的虛擬鏡像文件信息�、用戶名以及動(dòng)態(tài)口令,嘗試登錄虛擬桌面���,由虛擬桌面的相關(guān)安全服務(wù)程序驗(yàn)證�,僅在驗(yàn)證通過(guò)情況下�����,才返還虛擬桌面的控制權(quán)給用戶���。用戶鏡像認(rèn)證是利用創(chuàng)建鏡像文件時(shí)分配的唯一 uuid��,匹配用戶及權(quán)限���,建立一個(gè)數(shù)據(jù)庫(kù),依靠算法進(jìn)行匹配��。
[0017]本發(fā)明的技術(shù)方案為:
[0018]一種基于USB-Key的虛擬桌面安全認(rèn)證方法����,其步驟為:
[0019]I)用戶在客戶端的瘦客戶機(jī)上插入U(xiǎn)SB-Key,輸入U(xiǎn)SB-Key的PIN碼�����,客戶端檢測(cè)USB-Key存在并驗(yàn)證PIN碼���;其中�����,該USB-Key存放該用戶的用戶證書和用戶私鑰����,瘦客戶機(jī)上保存該用戶證書利用隨機(jī)數(shù)生成的用戶的數(shù)字簽名;瘦客戶機(jī)PIN碼驗(yàn)證通過(guò)后����,該客戶端向云管理中心的認(rèn)證模塊申請(qǐng)簽名所用的隨機(jī)數(shù);該認(rèn)證模塊生成一隨機(jī)數(shù)X并將其返回給該客戶端�;
[0020]2)該客戶端從該USB-Key中獲取用戶名、用戶證書����,然后用該隨機(jī)數(shù)x通過(guò)HASH對(duì)待簽名數(shù)據(jù)做摘要,通過(guò)用戶私鑰對(duì)摘要數(shù)據(jù)進(jìn)行簽名��,產(chǎn)生驗(yàn)簽數(shù)據(jù)包P7 �;
[0021]3)該客戶端將用戶名和驗(yàn)簽數(shù)據(jù)包p7經(jīng)云管理中心的認(rèn)證模塊轉(zhuǎn)發(fā)至該認(rèn)證服務(wù)器的驗(yàn)簽?zāi)K進(jìn)行身份驗(yàn)證;
[0022]4)該認(rèn)證模塊獲取該認(rèn)證服務(wù)器的身份驗(yàn)證結(jié)果�����,如果驗(yàn)證通過(guò)則將用戶的用戶名信息發(fā)送至云管理中心的桌面分配模塊����,選擇對(duì)應(yīng)的鏡像文件信息發(fā)送至該客戶端;如果身份驗(yàn)證失敗���,則返回一個(gè)異常信息至該客戶端;
[0023]5)該客戶端與虛擬桌面服務(wù)端建立安全會(huì)話,虛擬桌面服務(wù)端根據(jù)初始化時(shí)保存的該客戶端秘密值和向虛擬桌面服務(wù)端申請(qǐng)的隨機(jī)數(shù)y計(jì)算出新的動(dòng)態(tài)口令�,依此來(lái)重置該鏡像文件的虛擬桌面登錄口令;
[0024]6)該客戶端根據(jù)該USB-Key中的秘密值���、隨機(jī)數(shù)y計(jì)算出本次登錄虛擬桌面時(shí)所需的動(dòng)態(tài)口令����,并將該動(dòng)態(tài)口令和用戶名發(fā)送給虛擬桌面服務(wù)端進(jìn)行驗(yàn)證���,如果驗(yàn)證通過(guò)�,則將虛擬桌面返回至客戶端�����。
[0025]進(jìn)一步的��,所述驗(yàn)簽數(shù)據(jù)包p7含有用戶證書和簽名的身份信息�。
[0026]進(jìn)一步的,所述云管理中心創(chuàng)建鏡像文件時(shí)為每一鏡像文件分配一唯一 uuid�����,匹配用戶及權(quán)限����,并將鏡像文件uuid和用戶的綁定信息保存到一數(shù)據(jù)庫(kù)中���,所述桌面分配模塊根據(jù)該數(shù)據(jù)庫(kù)選擇該用戶對(duì)應(yīng)的鏡像文件。
[0027]進(jìn)一步的�����,步驟I)中��,所述用戶證書對(duì)隨機(jī)數(shù)進(jìn)行HASH運(yùn)算�����,生成用戶的數(shù)字簽名����。
[0028]一種基于USB-Key的虛擬桌面安全認(rèn)證系統(tǒng),其特征在于包括客戶端�����、USB-Key,虛擬桌面服務(wù)端���、云管理中心和認(rèn)證服務(wù)器���;其中����,客戶端通過(guò)網(wǎng)絡(luò)分別與虛擬桌面服務(wù)端�、云管理中心連接��,云管理中心通過(guò)網(wǎng)絡(luò)與認(rèn)證服務(wù)器連接���;
[0029]所述客戶端���,用于接入所述USB-Key,并驗(yàn)證輸入的USB-Key的PIN碼��;驗(yàn)證通過(guò)后�����,該客戶端向云管理中心的認(rèn)證模塊申請(qǐng)簽名所用的隨機(jī)數(shù)X�����,然后用該隨機(jī)數(shù)X通過(guò)HASH對(duì)待簽名數(shù)據(jù)做摘要�,通過(guò)用戶私鑰對(duì)摘要數(shù)據(jù)進(jìn)行簽名����,產(chǎn)生驗(yàn)簽數(shù)據(jù)包p7 ;其中�,該USB-Key存放用戶的用戶證書和私鑰,該客戶端的瘦客戶機(jī)上保存該用戶證書利用隨機(jī)數(shù)生成的用戶的數(shù)字簽名�;
[0030]所述云管理中心,包括一認(rèn)證模塊�、一桌面分配模塊;其中��,該認(rèn)證模塊根據(jù)客戶端請(qǐng)求生成一隨機(jī)數(shù)X并將其返回給該客戶端���,并將所述驗(yàn)簽數(shù)據(jù)包P7轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器�;桌面分配模塊根據(jù)用戶的用戶名信息把鏡像文件分配給該客戶端�����;
[0031]所述認(rèn)證服務(wù)器�����,包括驗(yàn)簽?zāi)K�����,用于建立與云管理中心的安全鏈接并認(rèn)證用戶身份;
[0032]所述虛擬桌面服務(wù)端����,用于生成動(dòng)態(tài)口令、驗(yàn)證用戶身份以及提供應(yīng)用服務(wù)�����。
[0033]進(jìn)一步的����,所述云管理中心創(chuàng)建鏡像文件時(shí)為每一鏡像文件分配一唯一 uuid��,匹配用戶及權(quán)限���,并將鏡像文件uuid和用戶的綁定信息保存到一鏡像文件匹配信息數(shù)據(jù)庫(kù)中���,所述桌面分配模塊根據(jù)該鏡像文件匹配信息數(shù)據(jù)庫(kù)選擇該用戶對(duì)應(yīng)的鏡像文件。
[0034]與現(xiàn)有技術(shù)相比�,本發(fā)明的積極效果:
[0035](I)身份信息難仿冒:完整的身份信息包括PIN碼、用戶名�、動(dòng)態(tài)口令(秘密值)、證書和簽名��,且不同身份數(shù)據(jù)在不同的階段和驗(yàn)證模塊中使用,使得非授權(quán)用戶極難偽造出合法的身份信息��。
[0036](2)鏡像文件認(rèn)證采用的證書認(rèn)證方法���,脫離了微軟的證書認(rèn)證模式���,此次鏡像文件采用PKI/CA證書認(rèn)證,需要證書與虛擬化的鏡像文件信息進(jìn)行綁定和匹配��。
[0037](3)防止VDI系統(tǒng)中特權(quán)用戶非法訪問(wèn):VDI系統(tǒng)的管理員容易通過(guò)系統(tǒng)平臺(tái)獲得用戶的虛擬桌面鏡像信息����,進(jìn)而容易非授權(quán)訪問(wèn)用戶虛擬桌面,而本發(fā)明引入了動(dòng)態(tài)口令機(jī)制��,大大增加了 VDI系統(tǒng)的管理員的非授權(quán)訪問(wèn)難度�,基本禁止了管理員訪問(wèn)虛擬桌面。
【專利附圖】
【附圖說(shuō)明】
[0038]附圖為虛擬桌面安全認(rèn)證系統(tǒng)的安全認(rèn)證過(guò)程圖���。
【具體實(shí)施方式】
[0039]下面結(jié)合附圖對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)描述��。
[0040](I)本發(fā)明的虛擬桌面系統(tǒng)基本架構(gòu)包括:
[0041]客戶端:主要包括瘦客戶機(jī)(硬件)����,客戶端軟件和USB-Key (硬件)。用于登錄���、顯示和操作虛擬化桌面�����。
[0042]云管理中心:主要包括認(rèn)證模塊�、桌面分發(fā)模塊和數(shù)據(jù)庫(kù)��。負(fù)責(zé)觸發(fā)用戶身份的認(rèn)證行為和分發(fā)桌面給客戶端�。
[0043]認(rèn)證服務(wù)器:負(fù)責(zé)建立與云管理中心的安全鏈接并認(rèn)證用戶身份�����。
[0044]虛擬化桌面:包括動(dòng)態(tài)口令模塊����、相關(guān)安全服務(wù)程序以及操作系統(tǒng)桌面。負(fù)責(zé)生成動(dòng)態(tài)口令����、驗(yàn)證用戶身份以及提供應(yīng)用服務(wù)。
[0045](2)安全認(rèn)證系統(tǒng)包括:
[0046]a.采用三種(三因子)身份鑒別技術(shù)=USB-Key的PIN碼識(shí)別�、USB-Key證書認(rèn)證和動(dòng)態(tài)口令認(rèn)證�����,即:
[0047]USB-Key的PIN碼識(shí)別:由用戶在客戶端界面中輸入�����,用于控制插入在客戶機(jī)上的USB-Key的訪問(wèn)權(quán)限�����。
[0048]USB-Key證書認(rèn)證:用戶證書存放于USB-Key中�����,用于用戶身份鑒別��,并在驗(yàn)證合法身份情況下�����,依此選擇用戶對(duì)應(yīng)的桌面鏡像文件信息�����。
[0049]動(dòng)態(tài)口令認(rèn)證:虛擬桌面和客戶端均采用相同類型的秘密值��、隨機(jī)數(shù)����、用戶信息和算法分別計(jì)算得到動(dòng)態(tài)口令,虛擬桌面驗(yàn)證客戶端的動(dòng)態(tài)口令���。
[0050]b.采用雙層認(rèn)證技術(shù):虛擬鏡像文件認(rèn)證和虛擬桌面系統(tǒng)認(rèn)證��,即:
[0051]虛擬鏡像文件認(rèn)證:根據(jù)用戶的證書和簽名信息的驗(yàn)證結(jié)果����,決定是否返回用戶的虛擬鏡像文件信息�,驗(yàn)證失敗時(shí),用戶無(wú)法獲知任何鏡像文件信息����。
[0052]虛擬桌面系統(tǒng)認(rèn)證:用戶通過(guò)獲取的虛擬鏡像文件信息����、用戶名以及動(dòng)態(tài)口令,嘗試登錄虛擬桌面���,由虛擬桌面的相關(guān)安全服務(wù)程序驗(yàn)證�����,僅在驗(yàn)證通過(guò)情況下�,才返還虛擬桌面的控制權(quán)給用戶。
[0053]c.安全認(rèn)證過(guò)程和組件間的數(shù)據(jù)交互過(guò)程可參考附圖��,具體描述如下:
[0054]步驟1���,用戶在客戶機(jī)上插入U(xiǎn)SB-Key����,在客戶端軟件界面上輸入U(xiǎn)SB-Key的PIN碼����,客戶端檢測(cè)USB-Key存在并驗(yàn)證PIN碼的正確性。
[0055]步驟2�����,客戶端軟件向云管理中心認(rèn)證模塊申請(qǐng)簽名所用的隨機(jī)數(shù)X ;云管理中心認(rèn)證模塊收到請(qǐng)求后產(chǎn)生隨機(jī)數(shù)X��,并返回至客戶端軟件�。
[0056]步驟3�,客戶端軟件從USB-Key中獲取用戶名����、用戶證書,然后用該隨機(jī)數(shù)x通過(guò)HASH對(duì)待簽名數(shù)據(jù)做摘要���,通過(guò)用戶私鑰對(duì)摘要數(shù)據(jù)進(jìn)行簽名�����,產(chǎn)生驗(yàn)簽數(shù)據(jù)包p7包(含有用戶證書和簽名的身份信息�,簽名的身份信息是在瘦客戶端的軟件中通過(guò)HASH算法生成的信息����,即數(shù)字簽名)。
[0057]步驟4�,客戶端軟件將用戶名和驗(yàn)簽數(shù)據(jù)包發(fā)送給云管理中心的認(rèn)證模塊。
[0058]步驟5�����,云管理中心的認(rèn)證模塊在收到客戶端軟件發(fā)送的信息后��,轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器�����,由認(rèn)證服務(wù)器的驗(yàn)簽?zāi)K完成用戶身份驗(yàn)證���;認(rèn)證模塊用于與客戶端建立安全會(huì)話����、生成簽名隨機(jī)數(shù)���、接收認(rèn)證請(qǐng)求���、交互認(rèn)證信息及結(jié)果。
[0059]步驟6�,云管理中心的認(rèn)證模塊獲取身份驗(yàn)證結(jié)果,如果驗(yàn)證通過(guò)�����,則將用戶的用戶名信息發(fā)送至云管理中心的桌面分配模塊��,由桌面分配模塊根據(jù)數(shù)據(jù)庫(kù)(用戶與鏡像文件的匹配信息�����,依靠鏡像文件的uuid和用戶及權(quán)限進(jìn)行綁定)選擇該用戶對(duì)應(yīng)的鏡像文件(含有操作系統(tǒng)桌面和應(yīng)用環(huán)境等)信息,返回至客戶端軟件����;如果身份驗(yàn)證失敗,則桌面分配模塊返回一個(gè)異常信息至客戶端軟件��。
[0060]步驟7�,虛擬桌面服務(wù)端根據(jù)初始化時(shí)保存的用戶身份信息(即秘密值,此秘密值是一開(kāi)始就在usbkey和虛擬桌面服務(wù)端程序中的)計(jì)算出新的動(dòng)態(tài)口令����,依此來(lái)重置桌面系統(tǒng)的登錄口令,并返還生成動(dòng)態(tài)口令所需的隨機(jī)數(shù)至客戶端軟件���;客戶端軟件根據(jù)USB-Key中的秘密值和虛擬桌面服務(wù)端申請(qǐng)來(lái)的隨機(jī)數(shù)y等��,通過(guò)HASH算法計(jì)算出本次登錄虛擬桌面時(shí)所需的口令��,發(fā)起虛擬桌面連接會(huì)話���,在會(huì)話中攜帶用戶名和動(dòng)態(tài)口令,交由虛擬桌面服務(wù)端程序驗(yàn)證�����;驗(yàn)證通過(guò)后��,將虛擬桌面返回至客戶端����。如果驗(yàn)證失敗,用戶無(wú)法獲取虛擬桌面��。
【權(quán)利要求】
1.一種基于USB-Key的虛擬桌面安全認(rèn)證方法��,其步驟為: 1)用戶在客戶端的瘦客戶機(jī)上插入U(xiǎn)SB-Key���,輸入U(xiǎn)SB-Key的PIN碼�,客戶端檢測(cè)USB-Key存在并驗(yàn)證PIN碼�����;其中�����,該USB-Key存放該用戶的用戶證書和用戶私鑰�����,瘦客戶機(jī)上保存該用戶證書利用隨機(jī)數(shù)生成的用戶的數(shù)字簽名;瘦客戶機(jī)PIN碼驗(yàn)證通過(guò)后�,該客戶端向云管理中心的認(rèn)證模塊申請(qǐng)簽名所用的隨機(jī)數(shù);該認(rèn)證模塊生成一隨機(jī)數(shù)X并將其返回給該客戶端��; 2)該客戶端從該USB-Key中獲取用戶名���、用戶證書�����,然后用該隨機(jī)數(shù)x通過(guò)HASH對(duì)待簽名數(shù)據(jù)做摘要����,通過(guò)用戶私鑰對(duì)摘要數(shù)據(jù)進(jìn)行簽名���,產(chǎn)生驗(yàn)簽數(shù)據(jù)包P7 �����; 3)該客戶端將用戶名和驗(yàn)簽數(shù)據(jù)包p7經(jīng)云管理中心的認(rèn)證模塊轉(zhuǎn)發(fā)至該認(rèn)證服務(wù)器的驗(yàn)簽?zāi)K進(jìn)行身份驗(yàn)證�����; 4)該認(rèn)證模塊獲取該認(rèn)證服務(wù)器的身份驗(yàn)證結(jié)果���,如果驗(yàn)證通過(guò)則將該用戶的用戶名信息發(fā)送至云管理中心的桌面分配模塊�����,選擇對(duì)應(yīng)的鏡像文件信息發(fā)送至該客戶端;如果身份驗(yàn)證失敗��,則返回一個(gè)異常信息至該客戶端��; 5)該客戶端與虛擬桌面服務(wù)端建立安全會(huì)話����,虛擬桌面服務(wù)端根據(jù)初始化時(shí)保存的該客戶端秘密值和向虛擬桌面服務(wù)端申請(qǐng)的隨機(jī)數(shù)y計(jì)算出新的動(dòng)態(tài)口令,依此來(lái)重置該鏡像文件的虛擬桌面登錄口令��; 6)該客戶端根據(jù)該USB-Key中的秘密值����、隨機(jī)數(shù)y計(jì)算出本次登錄虛擬桌面時(shí)所需的動(dòng)態(tài)口令,并將該動(dòng)態(tài)口令和用戶名發(fā)送給虛擬桌面服務(wù)端進(jìn)行驗(yàn)證�,如果驗(yàn)證通過(guò),則將虛擬桌面返回至客戶端��。
2.如權(quán)利要求1所述的方法��,其特征在于所述驗(yàn)簽數(shù)據(jù)包p7含有用戶證書和簽名的身份信息。
3.如權(quán)利要求1或2所述的方法����,其特征在于所述云管理中心創(chuàng)建鏡像文件時(shí)為每一鏡像文件分配一唯一 UUid,匹配用戶及權(quán)限�,并將鏡像文件UUid和用戶的綁定信息保存到一數(shù)據(jù)庫(kù)中,所述桌面分配模塊根據(jù)該數(shù)據(jù)庫(kù)選擇該用戶對(duì)應(yīng)的鏡像文件�。
4.如權(quán)利要求1所述的方法,其特征在于步驟I)中��,所述用戶證書對(duì)隨機(jī)數(shù)進(jìn)行HASH運(yùn)算�����,生成用戶的數(shù)字簽名�。
5.一種基于USB-Key的虛擬桌面安全認(rèn)證系統(tǒng),其特征在于包括客戶端���、USB_Key�、虛擬桌面服務(wù)端����、云管理中心和認(rèn)證服務(wù)器;其中,客戶端通過(guò)網(wǎng)絡(luò)分別與虛擬桌面服務(wù)端����、云管理中心連接,云管理中心通過(guò)網(wǎng)絡(luò)與認(rèn)證服務(wù)器連接�; 所述客戶端,用于接入所述USB-Key,并驗(yàn)證輸入的USB-Key的PIN碼����;驗(yàn)證通過(guò)后�����,該客戶端向云管理中心的認(rèn)證模塊申請(qǐng)簽名所用的隨機(jī)數(shù)X����,然后用該隨機(jī)數(shù)X通過(guò)HASH對(duì)待簽名數(shù)據(jù)做摘要,通過(guò)用戶私鑰對(duì)摘要數(shù)據(jù)進(jìn)行簽名�,產(chǎn)生驗(yàn)簽數(shù)據(jù)包P7 ;其中,該USB-Key存放用戶的用戶證書和私鑰����,該客戶端的瘦客戶機(jī)上保存該用戶證書利用隨機(jī)數(shù)生成的用戶的數(shù)字簽名; 所述云管理中心�����,包括一認(rèn)證模塊、一桌面分配模塊�;其中,該認(rèn)證模塊根據(jù)客戶端請(qǐng)求生成一隨機(jī)數(shù)X并將其返回給該客戶端���,并將所述驗(yàn)簽數(shù)據(jù)包P7轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器�����;桌面分配模塊根據(jù)用戶的用戶名信息把鏡像文件分配給該客戶端�����; 所述認(rèn)證服務(wù)器�����,包括驗(yàn)簽?zāi)K�,用于建立與云管理中心的安全鏈接并認(rèn)證用戶身份�����; 所述虛擬桌面服務(wù)端����,用于生成動(dòng)態(tài)口令����、驗(yàn)證用戶身份以及提供應(yīng)用服務(wù)����。
6.如權(quán)利要求5所述的系統(tǒng),其特征在于所述云管理中心創(chuàng)建鏡像文件時(shí)為每一鏡像文件分配一唯一 uuid,匹配用戶及權(quán)限����,并將鏡像文件UUid和用戶的綁定信息保存到一鏡像文件匹配信息數(shù)據(jù)庫(kù)中,所述桌面分配模塊根據(jù)該鏡像文件匹配信息數(shù)據(jù)庫(kù)選擇該用戶對(duì)應(yīng)的鏡像文件�。
【文檔編號(hào)】H04L9/32GK104378206SQ201410557737
【公開(kāi)日】2015年2月25日 申請(qǐng)日期:2014年10月20日 優(yōu)先權(quán)日:2014年10月20日
【發(fā)明者】黃偉慶, 范偉, 王冉晴, 劉超, 呂彬, 張萌 申請(qǐng)人:中國(guó)科學(xué)院信息工程研究所