技術(shù)領(lǐng)域

本發(fā)明涉及桌面云安全技術(shù)領(lǐng)域，尤其是一種結(jié)合USB?KEY實(shí)現(xiàn)桌面云數(shù)據(jù)中心的登錄驗(yàn)證方法。

背景技術(shù)

現(xiàn)有的桌面云數(shù)據(jù)中心或稱為桌面云服務(wù)器通常采用普通的用戶名和密碼方式進(jìn)行用戶登錄；結(jié)合微軟的域服務(wù)器進(jìn)行用戶身份驗(yàn)證。這種用戶名密碼方式安全強(qiáng)度較弱，易被猜測(cè)和暴力破解從而影響整個(gè)系統(tǒng)的安全性。同時(shí)由于桌面云中的虛擬桌面IP通常是直接暴露給用戶的，存在惡意用戶對(duì)虛擬桌面進(jìn)行攻擊從而繞過(guò)桌面云系統(tǒng)安全機(jī)制而獲取虛擬桌面數(shù)據(jù)的風(fēng)險(xiǎn)。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問(wèn)題是：從根本上消除上述風(fēng)險(xiǎn)。本發(fā)明在瘦終端和桌面云數(shù)據(jù)中心的網(wǎng)絡(luò)信道之間加裝接入安全網(wǎng)關(guān)，將安全網(wǎng)關(guān)的用戶身份認(rèn)證與桌面云數(shù)據(jù)中心的登陸認(rèn)證結(jié)合，完成桌面云的接入認(rèn)證過(guò)程。

本發(fā)明采用的技術(shù)方案具體如下：

本發(fā)明提供了一種通過(guò)接入控制保護(hù)桌面云服務(wù)的方法，包括：

步驟1：瘦終端通過(guò)安全網(wǎng)關(guān)與桌面云數(shù)據(jù)中心連接；安全網(wǎng)關(guān)中存儲(chǔ)有用戶身份證書(shū)與用于登錄桌面的用戶名及密碼之間映射關(guān)系；

步驟2：用戶將用于標(biāo)示身份的USB?KEY插入到瘦終端上；瘦終端向安全網(wǎng)關(guān)發(fā)起認(rèn)證請(qǐng)求，并將從USB?KEY中讀取的用戶身份證書(shū)中的密鑰的簽名信息發(fā)送給安全網(wǎng)關(guān)；

步驟3：安全網(wǎng)關(guān)對(duì)所述簽名信息進(jìn)行驗(yàn)簽，驗(yàn)簽通過(guò)后將該用戶身份證書(shū)對(duì)應(yīng)的用于登錄桌面的用戶名及密碼傳輸給桌面云數(shù)據(jù)中心，同時(shí)安全網(wǎng)關(guān)將該瘦終端發(fā)送給桌面云數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行放行；

步驟4：桌面云數(shù)據(jù)中心對(duì)所述用戶名及密碼進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)后完成用戶登錄。

進(jìn)一步，步驟3中，安全網(wǎng)關(guān)將所述用于登錄桌面的用戶名及密碼填入到POST包中，并通過(guò)HTTP協(xié)議傳輸給桌面云數(shù)據(jù)中心。

進(jìn)一步，步驟4中，桌面云數(shù)據(jù)中心對(duì)收到的POST包進(jìn)行解析得到所述用戶名及密碼。

本發(fā)明還提供了一種通過(guò)接入控制保護(hù)桌面云服務(wù)的系統(tǒng)，包括：

安全網(wǎng)關(guān)客戶端，位于瘦終端上，用于讀取插入瘦終端的USB?KEY中的用戶身份證書(shū)中的密鑰的簽名信息，向安全網(wǎng)關(guān)模塊發(fā)起認(rèn)證請(qǐng)求并將所述簽名信息傳輸給所述安全網(wǎng)關(guān)模塊；

安全網(wǎng)關(guān)模塊，位于安全網(wǎng)關(guān)上，用于對(duì)所述簽名信息進(jìn)行驗(yàn)簽，驗(yàn)簽通過(guò)后將該用戶身份證書(shū)對(duì)應(yīng)的用于登錄桌面的用戶名及密碼傳輸給桌面云數(shù)據(jù)中心上的登錄模塊，同時(shí)將該瘦終端發(fā)送給桌面云數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行放行；

登錄模塊，位于桌面云數(shù)據(jù)中心上，用于對(duì)所述用戶名及密碼進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)后完成用戶登錄。

進(jìn)一步，安全網(wǎng)關(guān)模塊還用于將所述用于登錄桌面的用戶名及密碼填入到POST包中，并通過(guò)HTTP協(xié)議傳輸給桌面云數(shù)據(jù)中心。

進(jìn)一步，登錄模塊還用于對(duì)收到的POST包進(jìn)行解析得到所述用戶名及密碼。

綜上所述，由于采用了上述技術(shù)方案，本發(fā)明的有益效果是：

1.集成密碼設(shè)備USB?KEY，實(shí)現(xiàn)對(duì)云桌面用戶的強(qiáng)身份驗(yàn)證，彌補(bǔ)目前桌面云環(huán)境中單一的“用戶名+密碼”驗(yàn)證帶來(lái)的安全缺陷；

2.對(duì)原有系統(tǒng)改動(dòng)小，不受桌面云技術(shù)實(shí)現(xiàn)方式和架構(gòu)影響；

3.密碼設(shè)備USB?KEY支持多種算法，如國(guó)產(chǎn)商密算法SM1、SM2、SM3和通用算法DES、RSA等；

4.能完全杜絕虛擬桌面到瘦終端的非授權(quán)數(shù)據(jù)流動(dòng)；

5.安全網(wǎng)關(guān)對(duì)每次瘦終端的認(rèn)證請(qǐng)求進(jìn)行記錄，即使發(fā)生惡意訪問(wèn)的情況，通過(guò)查詢安全網(wǎng)關(guān)的認(rèn)證請(qǐng)求記錄可以快速定位到進(jìn)行惡意訪問(wèn)的瘦終端。

附圖說(shuō)明

本發(fā)明將通過(guò)例子并參照附圖的方式說(shuō)明，其中：

圖1為本發(fā)明中瘦終端、安全網(wǎng)關(guān)及桌面云數(shù)據(jù)中心的連接關(guān)系圖。

圖2為本發(fā)明的流程圖。

具體實(shí)施方式

本說(shuō)明書(shū)中公開(kāi)的所有特征，或公開(kāi)的所有方法或過(guò)程中的步驟，除了互相排斥的特征和/或步驟以外，均可以以任何方式組合。

本說(shuō)明書(shū)中公開(kāi)的任一特征，除非特別敘述，均可被其他等效或具有類似目的的替代特征加以替換。即，除非特別敘述，每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子而已。

如圖1，在瘦終端與桌面云數(shù)據(jù)中心之間接入安全網(wǎng)關(guān)，安全網(wǎng)關(guān)提供內(nèi)、外兩個(gè)網(wǎng)口，外網(wǎng)口用于連接瘦終端，內(nèi)網(wǎng)口用于連接桌面云數(shù)據(jù)中心。

如圖2，本發(fā)明公開(kāi)的方法包括：

步驟1：瘦終端通過(guò)安全網(wǎng)關(guān)與桌面云數(shù)據(jù)中心連接；安全網(wǎng)關(guān)中存儲(chǔ)有用戶身份證書(shū)與用于登錄桌面的用戶名及密碼之間映射關(guān)系；