基于帶外認(rèn)證的虛擬桌面云連接方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及基于帶外認(rèn)證的虛擬桌面云連接方法�,屬于身份認(rèn)證領(lǐng)域。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)管理可分為帶外管理(out-of-band)和帶內(nèi)管理(in-band)兩種管理模式����。所謂帶內(nèi)管理,是指網(wǎng)絡(luò)的管理控制信息與用戶網(wǎng)絡(luò)的承載業(yè)務(wù)信息通過同一個(gè)邏輯信道傳送�����;而在帶外管理模式中���,網(wǎng)絡(luò)的管理控制信息與用戶網(wǎng)絡(luò)的承載業(yè)務(wù)信息在不同的邏輯信道傳送�����。
[0003]目前��,在遠(yuǎn)程桌面連接時(shí)���,網(wǎng)絡(luò)身份認(rèn)證模式是服務(wù)請(qǐng)求網(wǎng)段(帶內(nèi)網(wǎng)段)與身份認(rèn)證網(wǎng)段(帶外網(wǎng)段)是同一個(gè)網(wǎng)段,或者說是可以相互進(jìn)行通訊的網(wǎng)段��。即使服務(wù)請(qǐng)求網(wǎng)段的數(shù)據(jù)和身份認(rèn)證網(wǎng)段的數(shù)據(jù)是經(jīng)過高強(qiáng)度的加密和解密的��,但是因?yàn)榉?wù)請(qǐng)求網(wǎng)段和身份認(rèn)證網(wǎng)段的相互聯(lián)系,通過這種傳輸方式傳輸?shù)男畔?huì)被不法分子監(jiān)聽和竊取�。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供基于帶外認(rèn)證的虛擬桌面云連接方法,主要解決現(xiàn)有遠(yuǎn)程桌面連接時(shí)����,傳統(tǒng)的網(wǎng)絡(luò)身份認(rèn)證模式安全性低的問題。
[0005]為了實(shí)現(xiàn)上述目的�,本發(fā)明采用的技術(shù)方案如下:
基于帶外認(rèn)證的虛擬桌面云連接方法,包括如下步驟:
(1)在服務(wù)請(qǐng)求網(wǎng)段內(nèi)進(jìn)行遠(yuǎn)程桌面資源配置����,將遠(yuǎn)程桌面的信息與用戶的賬號(hào)信息相互關(guān)聯(lián);
(2)用戶在服務(wù)請(qǐng)求網(wǎng)段上使用上網(wǎng)設(shè)備訪問云虛擬桌面并登錄遠(yuǎn)程桌面���,身份認(rèn)證系統(tǒng)生成二維碼并顯示在云虛擬桌面上�,然后系統(tǒng)關(guān)閉服務(wù)請(qǐng)求網(wǎng)段�;
(3)用戶在信任設(shè)備上完成本地登錄認(rèn)證,然后使用信任設(shè)備掃描二維碼并生成一次性憑證�����,通過身份認(rèn)證網(wǎng)段將一次性憑證發(fā)送身份認(rèn)證系統(tǒng)�����;
(4)身份認(rèn)證系統(tǒng)進(jìn)行判定認(rèn)證��,若通過則將判定結(jié)果通過身份認(rèn)證網(wǎng)段通知網(wǎng)關(guān)系統(tǒng)�����,進(jìn)行步驟(5);若不通過�����,則認(rèn)證失?。徽J(rèn)證結(jié)束后系統(tǒng)關(guān)閉身份認(rèn)證網(wǎng)段�����;
(5)網(wǎng)關(guān)系統(tǒng)通過服務(wù)請(qǐng)求網(wǎng)段授權(quán)開放上網(wǎng)設(shè)備訪問遠(yuǎn)程桌面的信道和權(quán)限��,遠(yuǎn)程桌面登錄成功����,然后系統(tǒng)關(guān)閉服務(wù)請(qǐng)求網(wǎng)段。
[0006]具體地�����,所述步驟(I)中,遠(yuǎn)程桌面的信息包括遠(yuǎn)程桌面的IP地址��、通訊方式����、登錄遠(yuǎn)程桌面的賬號(hào)和密碼。
[0007]其中�,信任設(shè)備是指通過注冊(cè)認(rèn)證的智能設(shè)備,該智能設(shè)備在管理者處具有唯一識(shí)別的信息和硬件的信息��,而唯一識(shí)別的信息和硬件的信息成為了每次都需要認(rèn)證的授權(quán)信息的一個(gè)部分��。用戶在使用智能設(shè)備欲訪問遠(yuǎn)程桌面時(shí)��,身份認(rèn)證系統(tǒng)首先會(huì)對(duì)該智能設(shè)備進(jìn)行判斷����,確實(shí)其是否為信任設(shè)備。身份認(rèn)證系統(tǒng)可以由一個(gè)服務(wù)器提供身份認(rèn)證��。
[0008]信任設(shè)備的注冊(cè)流程為:
Ca)用戶通過信任設(shè)備掃描注冊(cè)二維碼�����; (b)用戶設(shè)置登陸密碼�;
(c)信任設(shè)備按照策略讀取信任設(shè)備的硬件信息,形成含有設(shè)備信息和硬件信息的加密的信息包�;
Cd)信任設(shè)備生成注冊(cè)信息并將注冊(cè)信息發(fā)送至身份認(rèn)證系統(tǒng);
(e)身份認(rèn)證系統(tǒng)解密注冊(cè)信息�����,并判定注冊(cè)信息是否正確����,若是,則根據(jù)注冊(cè)信息生成驗(yàn)證碼��;若否�����,返回錯(cuò)誤結(jié)果��;
Cf)身份認(rèn)證系統(tǒng)加密形成包含有驗(yàn)證碼的私鑰�;
(g)身份認(rèn)證系統(tǒng)預(yù)存私鑰,同時(shí)����,發(fā)送私鑰給信任設(shè)備;
(h)信任設(shè)備保存私鑰并使用私鑰生成確認(rèn)注冊(cè)的一次性憑證OTA����,一次性憑證OTA包含有:設(shè)備信息�、用戶信息及對(duì)應(yīng)的權(quán)限信息����;
(i)信任設(shè)備將確認(rèn)注冊(cè)信息連同一次性憑證OTA發(fā)送到身份認(rèn)證系統(tǒng);
(j)身份認(rèn)證系統(tǒng)接收確認(rèn)注冊(cè)信息并判斷確認(rèn)注冊(cè)信息是否正確�����,若是�,則執(zhí)行下一步,若否����,則返回錯(cuò)誤結(jié)果;
(k)身份認(rèn)證系統(tǒng)轉(zhuǎn)存對(duì)應(yīng)的設(shè)備信息����、用戶信息及對(duì)應(yīng)的權(quán)限信息到正式注冊(cè)表,返回注冊(cè)成功���。
[0009]進(jìn)一步地���,所述步驟(2)的具體實(shí)現(xiàn)過程為:
(21)用戶使用上網(wǎng)設(shè)備訪問云虛擬桌面并登錄遠(yuǎn)程桌面���,云虛擬桌面通過服務(wù)請(qǐng)求網(wǎng)段發(fā)送登錄請(qǐng)求到網(wǎng)關(guān)系統(tǒng);
(22)網(wǎng)關(guān)系統(tǒng)通過服務(wù)請(qǐng)求網(wǎng)段轉(zhuǎn)發(fā)身份認(rèn)證請(qǐng)求到身份認(rèn)證系統(tǒng)��;
(23)身份認(rèn)證系統(tǒng)生成二維碼并顯示在云虛擬桌面上�,二維碼為QR碼���,該QR碼包含生成一次性憑證所必備的信息�,該必備的信息包含信任設(shè)備的設(shè)備信息�����、用戶信息以及權(quán)限信息����;
(24)系統(tǒng)關(guān)閉服務(wù)請(qǐng)求網(wǎng)段。
[0010]更進(jìn)一步地��,所述步驟(3)的具體實(shí)現(xiàn)過程為:
(31)用戶輸入密碼取回私鑰����,根據(jù)私鑰及輸入信息登錄信任設(shè)備,完成本地登錄認(rèn)證;
(32)使用信任設(shè)備掃描QR碼�����,信任設(shè)備根據(jù)私鑰生成身份認(rèn)證的一次性憑證-0ΤΑ�,OTA包含信任設(shè)備的設(shè)備信息、用戶信息以及權(quán)限信息�;
(33)信任設(shè)備通過身份認(rèn)證網(wǎng)段將OTA發(fā)送身份認(rèn)證系統(tǒng)。
[0011]再進(jìn)一步地����,所述步驟(4)的具體實(shí)現(xiàn)過程為:
(41)身份認(rèn)證系統(tǒng)解密OTA;
(42)身份認(rèn)證系統(tǒng)判定認(rèn)證OTA的設(shè)備信息、用戶信息以及權(quán)限信息���,若認(rèn)證通過�,則將判定結(jié)果通過身份認(rèn)證網(wǎng)段通知網(wǎng)關(guān)系統(tǒng)�;若認(rèn)證不通過,則認(rèn)證失?���。?br> (43)認(rèn)證結(jié)束后系統(tǒng)關(guān)閉身份認(rèn)證網(wǎng)段��。
[0012]與現(xiàn)有技術(shù)相比���,本發(fā)明具有以下有益效果:
(I)本發(fā)明使得辦公的場所不再拘泥于辦公室�����,也使得全國各地的人們?cè)谕粋€(gè)“局域網(wǎng)”內(nèi)完成工作�����,只有擁有注冊(cè)的用戶才能在這個(gè)“局域網(wǎng)”內(nèi)工作��,而登陸這個(gè)局域網(wǎng)的方式不再是之前的賬號(hào)和密碼�����,而是基于帶外認(rèn)證的方式完成��。
[0013](2)本發(fā)明不同實(shí)現(xiàn)過程在不同的網(wǎng)段內(nèi)進(jìn)行����,其中使用上網(wǎng)設(shè)備登錄遠(yuǎn)程桌面在帶內(nèi)網(wǎng)段內(nèi)進(jìn)行�,使用信任設(shè)備驗(yàn)證在帶外網(wǎng)段進(jìn)行,授權(quán)上網(wǎng)設(shè)備登錄又在帶內(nèi)網(wǎng)段進(jìn)行�����,并且三個(gè)過程不同時(shí)進(jìn)行,即每個(gè)過程進(jìn)行時(shí)網(wǎng)段是唯一的�,避免了不法分子監(jiān)聽和竊取,提高了安全性����。
【具體實(shí)施方式】
[0014]下面結(jié)合實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明,本發(fā)明的實(shí)施方式包括但不限于下列實(shí)施例���。
[0015]我們稱服務(wù)請(qǐng)求網(wǎng)段為帶內(nèi)網(wǎng)段�����,相對(duì)于服務(wù)請(qǐng)求網(wǎng)段����,身份認(rèn)證網(wǎng)段就被稱之為帶外網(wǎng)段�����。這種通過兩個(gè)網(wǎng)段�����,或者說通過兩個(gè)獨(dú)立的網(wǎng)絡(luò)的身份認(rèn)證模式就是雙通道帶外認(rèn)證���。
實(shí)施例
[0016]基于帶外認(rèn)證的虛擬桌面云連接方法����,首先在遠(yuǎn)程桌面登錄以前,需要對(duì)遠(yuǎn)程桌面資源進(jìn)行配置�,在配置完成后才能正常登錄遠(yuǎn)程桌面。
[0017](一)遠(yuǎn)程桌面資源配置�,具體的配置過程為:
帶內(nèi)網(wǎng)段操作(服務(wù)請(qǐng)求網(wǎng)段):
1.1管理員登錄配置系統(tǒng);
1.2管理員在配置系統(tǒng)中選擇“添加資源”�;
1.3管理員在配置系統(tǒng)中填寫遠(yuǎn)程桌面