一種通過接入控制保護(hù)桌面云服務(wù)的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種通過接入控制保護(hù)桌面云服務(wù)的方法及系統(tǒng)，涉及桌面云安全【技術(shù)領(lǐng)域】，旨在針對(duì)現(xiàn)有的用戶名和密碼方式進(jìn)行用戶登錄桌面方式安全強(qiáng)度較弱的問題提供一種通過接入控制保護(hù)桌面云服務(wù)的方法，包括：步驟1：瘦終端通過安全網(wǎng)關(guān)與桌面云數(shù)據(jù)中心連接；步驟2：用戶將用于標(biāo)示身份的USBKEY插入到瘦終端上；瘦終端向安全網(wǎng)關(guān)發(fā)起認(rèn)證請(qǐng)求，并將從USBKEY中讀取的用戶身份證書中密鑰的簽名信息發(fā)送給安全網(wǎng)關(guān)；步驟3：安全網(wǎng)關(guān)對(duì)簽名信息進(jìn)行驗(yàn)簽，驗(yàn)簽通過后將該用戶身份證書對(duì)應(yīng)的用于登錄桌面的用戶名及密碼傳輸給桌面云數(shù)據(jù)中心；步驟4：桌面云數(shù)據(jù)中心對(duì)所述用戶名及密碼進(jìn)行驗(yàn)證，驗(yàn)證通過后完成用戶登錄。
【專利說明】一種通過接入控制保護(hù)桌面云服務(wù)的方法及系統(tǒng)

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及桌面云安全【技術(shù)領(lǐng)域】，尤其是一種結(jié)合USB KEY實(shí)現(xiàn)桌面云數(shù)據(jù)中心的登錄驗(yàn)證方法。

【背景技術(shù)】
[0002]現(xiàn)有的桌面云數(shù)據(jù)中心或稱為桌面云服務(wù)器通常采用普通的用戶名和密碼方式進(jìn)行用戶登錄；結(jié)合微軟的域服務(wù)器進(jìn)行用戶身份驗(yàn)證。這種用戶名密碼方式安全強(qiáng)度較弱，易被猜測(cè)和暴力破解從而影響整個(gè)系統(tǒng)的安全性。同時(shí)由于桌面云中的虛擬桌面IP通常是直接暴露給用戶的，存在惡意用戶對(duì)虛擬桌面進(jìn)行攻擊從而繞過桌面云系統(tǒng)安全機(jī)制而獲取虛擬桌面數(shù)據(jù)的風(fēng)險(xiǎn)。


【發(fā)明內(nèi)容】

[0003]本發(fā)明所要解決的技術(shù)問題是:從根本上消除上述風(fēng)險(xiǎn)。本發(fā)明在瘦終端和桌面云數(shù)據(jù)中心的網(wǎng)絡(luò)信道之間加裝接入安全網(wǎng)關(guān)，將安全網(wǎng)關(guān)的用戶身份認(rèn)證與桌面云數(shù)據(jù)中心的登陸認(rèn)證結(jié)合，完成桌面云的接入認(rèn)證過程。
[0004]本發(fā)明采用的技術(shù)方案具體如下:
本發(fā)明提供了一種通過接入控制保護(hù)桌面云服務(wù)的方法，包括:
步驟1:瘦終端通過安全網(wǎng)關(guān)與桌面云數(shù)據(jù)中心連接；安全網(wǎng)關(guān)中存儲(chǔ)有用戶身份證書與用于登錄桌面的用戶名及密碼之間映射關(guān)系；
步驟2:用戶將用于標(biāo)示身份的USB KEY插入到瘦終端上；瘦終端向安全網(wǎng)關(guān)發(fā)起認(rèn)證請(qǐng)求，并將從USB KEY中讀取的用戶身份證書中的密鑰的簽名信息發(fā)送給安全網(wǎng)關(guān)；
步驟3:安全網(wǎng)關(guān)對(duì)所述簽名信息進(jìn)行驗(yàn)簽，驗(yàn)簽通過后將該用戶身份證書對(duì)應(yīng)的用于登錄桌面的用戶名及密碼傳輸給桌面云數(shù)據(jù)中心，同時(shí)安全網(wǎng)關(guān)將該瘦終端發(fā)送給桌面云數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行放行；
步驟4:桌面云數(shù)據(jù)中心對(duì)所述用戶名及密碼進(jìn)行驗(yàn)證，驗(yàn)證通過后完成用戶登錄。
[0005]進(jìn)一步，步驟3中，安全網(wǎng)關(guān)將所述用于登錄桌面的用戶名及密碼填入到POST包中，并通過HTTP協(xié)議傳輸給桌面云數(shù)據(jù)中心。
[0006]進(jìn)一步，步驟4中，桌面云數(shù)據(jù)中心對(duì)收到的POST包進(jìn)行解析得到所述用戶名及密碼。
[0007]本發(fā)明還提供了一種通過接入控制保護(hù)桌面云服務(wù)的系統(tǒng)，包括:
安全網(wǎng)關(guān)客戶端，位于瘦終端上，用于讀取插入瘦終端的USB KEY中的用戶身份證書中的密鑰的簽名信息，向安全網(wǎng)關(guān)模塊發(fā)起認(rèn)證請(qǐng)求并將所述簽名信息傳輸給所述安全網(wǎng)關(guān)模塊；
安全網(wǎng)關(guān)模塊，位于安全網(wǎng)關(guān)上，用于對(duì)所述簽名信息進(jìn)行驗(yàn)簽，驗(yàn)簽通過后將該用戶身份證書對(duì)應(yīng)的用于登錄桌面的用戶名及密碼傳輸給桌面云數(shù)據(jù)中心上的登錄模塊，同時(shí)將該瘦終端發(fā)送給桌面云數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行放行； 登錄模塊，位于桌面云數(shù)據(jù)中心上，用于對(duì)所述用戶名及密碼進(jìn)行驗(yàn)證，驗(yàn)證通過后完成用戶登錄。
[0008]進(jìn)一步，安全網(wǎng)關(guān)模塊還用于將所述用于登錄桌面的用戶名及密碼填入到POST包中，并通過HTTP協(xié)議傳輸給桌面云數(shù)據(jù)中心。
[0009]進(jìn)一步，登錄模塊還用于對(duì)收到的POST包進(jìn)行解析得到所述用戶名及密碼。
[0010]綜上所述，由于采用了上述技術(shù)方案，本發(fā)明的有益效果是:
1.集成密碼設(shè)備USBKEY，實(shí)現(xiàn)對(duì)云桌面用戶的強(qiáng)身份驗(yàn)證，彌補(bǔ)目前桌面云環(huán)境中單一的“用戶名+密碼”驗(yàn)證帶來的安全缺陷；
2.對(duì)原有系統(tǒng)改動(dòng)小，不受桌面云技術(shù)實(shí)現(xiàn)方式和架構(gòu)影響；
3.密碼設(shè)備USBKEY支持多種算法，如國產(chǎn)商密算法SMl、SM2、SM3和通用算法DES、RSA 等；
4.能完全杜絕虛擬桌面到瘦終端的非授權(quán)數(shù)據(jù)流動(dòng)；
5.安全網(wǎng)關(guān)對(duì)每次瘦終端的認(rèn)證請(qǐng)求進(jìn)行記錄，即使發(fā)生惡意訪問的情況，通過查詢安全網(wǎng)關(guān)的認(rèn)證請(qǐng)求記錄可以快速定位到進(jìn)行惡意訪問的瘦終端。

【專利附圖】

【附圖說明】
[0011]本發(fā)明將通過例子并參照附圖的方式說明，其中:
圖1為本發(fā)明中瘦終端、安全網(wǎng)關(guān)及桌面云數(shù)據(jù)中心的連接關(guān)系圖。
[0012]圖2為本發(fā)明的流程圖。

【具體實(shí)施方式】
[0013]本說明書中公開的所有特征，或公開的所有方法或過程中的步驟，除了互相排斥的特征和/或步驟以外，均可以以任何方式組合。
[0014]本說明書中公開的任一特征，除非特別敘述，均可被其他等效或具有類似目的的替代特征加以替換。即，除非特別敘述，每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子而已。
[0015]如圖1，在瘦終端與桌面云數(shù)據(jù)中心之間接入安全網(wǎng)關(guān)，安全網(wǎng)關(guān)提供內(nèi)、外兩個(gè)網(wǎng)口，外網(wǎng)口用于連接瘦終端，內(nèi)網(wǎng)口用于連接桌面云數(shù)據(jù)中心。
[0016]如圖2，本發(fā)明公開的方法包括:
步驟1:瘦終端通過安全網(wǎng)關(guān)與桌面云數(shù)據(jù)中心連接；安全網(wǎng)關(guān)中存儲(chǔ)有用戶身份證書與用于登錄桌面的用戶名及密碼之間映射關(guān)系；
步驟2:用戶將用于標(biāo)示身份的USB KEY插入到瘦終端上；瘦終端向安全網(wǎng)關(guān)發(fā)起認(rèn)證請(qǐng)求，并將從USB KEY中讀取的用戶身份證書中的密鑰的簽名信息發(fā)送給安全網(wǎng)關(guān)；
步驟3:安全網(wǎng)關(guān)對(duì)簽名信息進(jìn)行驗(yàn)簽從而確定用戶身份，驗(yàn)簽通過后將該用戶身份證書對(duì)應(yīng)的用于登錄桌面的用戶名及密碼傳輸給桌面云數(shù)據(jù)中心，同時(shí)安全網(wǎng)關(guān)將該瘦終端發(fā)送給桌面云數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行放行；
步驟4:桌面云數(shù)據(jù)中心對(duì)所述用戶名及密碼進(jìn)行驗(yàn)證，驗(yàn)證通過后完成用戶登錄。
[0017]登錄完成后，桌面云數(shù)據(jù)中心通過安全網(wǎng)關(guān)向瘦終端發(fā)送虛擬桌面IP地址以及登錄令牌。瘦終端利用虛擬桌面IP地址及登錄令牌對(duì)虛擬桌面進(jìn)行數(shù)據(jù)訪問。
[0018]其他具體實(shí)施例的步驟3包括，安全網(wǎng)關(guān)將所述用于登錄桌面的用戶名及密碼填入到POST包中，并通過HTTP協(xié)議傳輸給桌面云數(shù)據(jù)中心。
[0019]步驟4包括，桌面云數(shù)據(jù)中心對(duì)收到的POST包進(jìn)行解析得到所述用戶名及密碼。
[0020]本發(fā)明并不局限于前述的【具體實(shí)施方式】。本發(fā)明擴(kuò)展到任何在本說明書中披露的新特征或任何新的組合，以及披露的任一新的方法或過程的步驟或任何新的組合。
【權(quán)利要求】
1.一種通過接入控制保護(hù)桌面云服務(wù)的方法，其特征在于，包括: 步驟1:瘦終端通過安全網(wǎng)關(guān)與桌面云數(shù)據(jù)中心連接；安全網(wǎng)關(guān)中存儲(chǔ)有用戶身份證書與用于登錄桌面的用戶名及密碼之間映射關(guān)系； 步驟2:用戶將用于標(biāo)示身份的USB KEY插入到瘦終端上；瘦終端向安全網(wǎng)關(guān)發(fā)起認(rèn)證請(qǐng)求，并將從USB KEY中讀取的用戶身份證書中的密鑰的簽名信息發(fā)送給安全網(wǎng)關(guān)； 步驟3:安全網(wǎng)關(guān)對(duì)所述簽名信息進(jìn)行驗(yàn)簽，驗(yàn)簽通過后將該用戶身份證書對(duì)應(yīng)的用于登錄桌面的用戶名及密碼傳輸給桌面云數(shù)據(jù)中心，同時(shí)安全網(wǎng)關(guān)將該瘦終端發(fā)送給桌面云數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行放行； 步驟4:桌面云數(shù)據(jù)中心對(duì)所述用戶名及密碼進(jìn)行驗(yàn)證，驗(yàn)證通過后完成用戶登錄。
2.根據(jù)權(quán)利要求1所述的一種通過接入控制保護(hù)桌面云服務(wù)的方法，其特征在于，步驟3中，安全網(wǎng)關(guān)將所述用于登錄桌面的用戶名及密碼填入到POST包中，并通過HTTP協(xié)議傳輸給桌面云數(shù)據(jù)中心。
3.根據(jù)權(quán)利要求2所述的一種通過接入控制保護(hù)桌面云服務(wù)的方法，其特征在于，步驟4中，桌面云數(shù)據(jù)中心對(duì)收到的POST包進(jìn)行解析得到所述用戶名及密碼。
4.一種通過接入控制保護(hù)桌面云服務(wù)的系統(tǒng)，其特征在于，包括: 安全網(wǎng)關(guān)客戶端，位于瘦終端上，用于讀取插入瘦終端的USB KEY中的用戶身份證書中的密鑰的簽名信息，向安全網(wǎng)關(guān)模塊發(fā)起認(rèn)證請(qǐng)求并將所述簽名信息傳輸給所述安全網(wǎng)關(guān)模塊； 安全網(wǎng)關(guān)模塊，位于安全網(wǎng)關(guān)上，用于對(duì)所述簽名信息進(jìn)行驗(yàn)簽，驗(yàn)簽通過后將該用戶身份證書對(duì)應(yīng)的用于登錄桌面的用戶名及密碼傳輸給桌面云數(shù)據(jù)中心上的登錄模塊，同時(shí)將該瘦終端發(fā)送給桌面云數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行放行； 登錄模塊，位于桌面云數(shù)據(jù)中心上，用于對(duì)所述用戶名及密碼進(jìn)行驗(yàn)證，驗(yàn)證通過后完成用戶登錄。
5.根據(jù)權(quán)利要求4所述的一種通過接入控制保護(hù)桌面云服務(wù)的系統(tǒng)，其特征在于，安全網(wǎng)關(guān)模塊，還用于將所述用于登錄桌面的用戶名及密碼填入到POST包中，并通過HTTP協(xié)議傳輸給桌面云數(shù)據(jù)中心。
6.根據(jù)權(quán)利要求5所述的一種通過接入控制保護(hù)桌面云服務(wù)的系統(tǒng)，其特征在于，登錄模塊還用于對(duì)收到的POST包進(jìn)行解析得到所述用戶名及密碼。
【文檔編號(hào)】H04L29/06GK104394214SQ201410689562
【公開日】2015年3月4日 申請(qǐng)日期:2014年11月26日 優(yōu)先權(quán)日:2014年11月26日
【發(fā)明者】王華磊 申請(qǐng)人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司