本技術(shù)涉及云桌面，尤其涉及一種虛擬云桌面身份認(rèn)證量子安全增強(qiáng)方法。

背景技術(shù)：

1、隨著云計(jì)算技術(shù)的迅速發(fā)展，企業(yè)和個(gè)人都享受到了云服務(wù)帶來(lái)的便捷性和高效性。低成本的云服務(wù)為企業(yè)業(yè)務(wù)及辦公帶來(lái)了極大的便利性，其中虛擬云桌面作為企業(yè)辦公中最常見(jiàn)的應(yīng)用方式之一，允許員工在任何地點(diǎn)和時(shí)間登錄到企業(yè)的虛擬云桌面服務(wù)器，實(shí)現(xiàn)隨時(shí)隨地的辦公需求。

2、通過(guò)將終端主機(jī)轉(zhuǎn)變?yōu)樘摂M云桌面，用戶(hù)的操作系統(tǒng)集中在云計(jì)算中心的服務(wù)器主機(jī)上，從而實(shí)現(xiàn)硬件基礎(chǔ)資源的高效利用。然而，隨著虛擬云桌面的廣泛應(yīng)用，企業(yè)內(nèi)部網(wǎng)絡(luò)面臨了新的安全挑戰(zhàn)。用戶(hù)在瘦客戶(hù)端上通過(guò)網(wǎng)絡(luò)連接到自己的虛擬云桌面，類(lèi)似于使用一臺(tái)實(shí)體主機(jī)，進(jìn)行各種網(wǎng)絡(luò)操作。在云計(jì)算中心，用戶(hù)通過(guò)瘦客戶(hù)端與云計(jì)算中心進(jìn)行注冊(cè)認(rèn)證，從而進(jìn)入自己的云桌面。多個(gè)用戶(hù)的云桌面共享網(wǎng)絡(luò)和虛擬交換機(jī)資源。通常情況下，數(shù)據(jù)傳輸以明文形式進(jìn)行，這種方式為企業(yè)的數(shù)據(jù)和信息安全帶來(lái)了巨大的隱患，因此必須確保用戶(hù)虛擬云桌面與應(yīng)用服務(wù)器之間的數(shù)據(jù)傳輸安全以及身份認(rèn)證的安全性。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)提供一種虛擬云桌面身份認(rèn)證量子安全增強(qiáng)方法，以解決虛擬云桌面身份認(rèn)證中安全性不足的問(wèn)題。

2、本技術(shù)提供一種虛擬云桌面身份認(rèn)證量子安全增強(qiáng)方法，應(yīng)用于基于量子安全的虛擬云桌面系統(tǒng)，所述系統(tǒng)包括云中心、安全隔離區(qū)、量子密鑰終端、客戶(hù)端；所述安全隔離區(qū)分別與所述云中心、所述量子密鑰終端以及所述客戶(hù)端通信連接；所述方法包括：

3、將含有密鑰信息的u盾與客戶(hù)端連接，以使所述客戶(hù)端獲得所述密鑰信息；所述密鑰信息包括用戶(hù)賬號(hào)、初始口令、認(rèn)證證書(shū)、認(rèn)證證書(shū)私鑰、認(rèn)證服務(wù)模塊公鑰以及量子密鑰；

4、通過(guò)所述客戶(hù)端上預(yù)先安裝的云桌面服務(wù)器進(jìn)入虛擬云桌面系統(tǒng)客戶(hù)端，并通過(guò)所述安全隔離區(qū)向所述云中心發(fā)送登錄申請(qǐng)和通信數(shù)據(jù)；所述通信數(shù)據(jù)包括：用戶(hù)名、ssl協(xié)議版本號(hào)、加密算法以及密鑰交換策略；

5、所述云中心根據(jù)所述登錄申請(qǐng)和所述通信數(shù)據(jù)生成身份驗(yàn)證請(qǐng)求信息，并通過(guò)所述安全隔離區(qū)發(fā)送至所述客戶(hù)端；所述身份驗(yàn)證請(qǐng)求信息包括客戶(hù)端認(rèn)證證書(shū)請(qǐng)求、云桌面特征值和隨機(jī)數(shù)；

6、所述客戶(hù)端根據(jù)所述密鑰信息對(duì)所述身份驗(yàn)證請(qǐng)求信息進(jìn)行驗(yàn)證，以驗(yàn)證所述云中心的真實(shí)性；

7、所述客戶(hù)端還根據(jù)所述身份驗(yàn)證請(qǐng)求信息和所述密鑰信息生成驗(yàn)證信息，并通過(guò)所述安全隔離區(qū)將所述驗(yàn)證信息發(fā)送至所述云中心；

8、所述云中心根據(jù)認(rèn)證證書(shū)公鑰對(duì)所述驗(yàn)證信息進(jìn)行驗(yàn)證，以驗(yàn)證所述客戶(hù)端的真實(shí)性；

9、根據(jù)所述用戶(hù)賬號(hào)和所述初始口令登錄虛擬云桌面系統(tǒng)客戶(hù)端，以完成用戶(hù)身份驗(yàn)證。

10、本技術(shù)采用量子密鑰增強(qiáng)ssl會(huì)話(huà)通道的建立，能夠提供無(wú)條件安全的信息防護(hù)，可提高ssl會(huì)話(huà)通道的安全性；并且通過(guò)第一個(gè)要素和第二個(gè)要素相結(jié)合形成的雙因素認(rèn)證，從云桌面的身份認(rèn)證和信息安全防護(hù)上提供量子安全技術(shù)支撐能力，解決當(dāng)前虛擬云桌面身份認(rèn)證中安全性不足的問(wèn)題。

11、可選的，所述云中心根據(jù)認(rèn)證證書(shū)公鑰對(duì)所述驗(yàn)證信息進(jìn)行驗(yàn)證后，所述方法還包括：

12、所述云中心根據(jù)所述通信數(shù)據(jù)對(duì)所述云中心的量子密鑰進(jìn)行協(xié)商，以生成會(huì)話(huà)密鑰和云中心mac值；

13、所述云中心向所述客戶(hù)端發(fā)送所述云中心mac值；

14、所述客戶(hù)端根據(jù)所述通信數(shù)據(jù)對(duì)所述客戶(hù)端的量子密鑰進(jìn)行協(xié)商，以生成會(huì)話(huà)密鑰和客戶(hù)端mac值；

15、所述客戶(hù)端向所述云中心發(fā)送所述客戶(hù)端mac值。

16、所述云中心和所述客戶(hù)端通過(guò)量子密鑰協(xié)商生成的會(huì)話(huà)密鑰具有更高的安全性，通過(guò)互相交換mac值，可以確認(rèn)對(duì)方的身份，防止中間人攻擊等安全威脅，以增強(qiáng)系統(tǒng)的安全性，保護(hù)敏感數(shù)據(jù)的機(jī)密性。

17、可選的，將含有密鑰信息的u盾與客戶(hù)端連接前，所述方法還包括：

18、所述量子密鑰終端通過(guò)所述安全隔離區(qū)向所述云中心發(fā)送注冊(cè)請(qǐng)求，以申請(qǐng)?zhí)摂M云桌面使用權(quán)限；

19、所述云中心對(duì)所述量子密鑰終端的合法性進(jìn)行驗(yàn)證后，根據(jù)所述注冊(cè)請(qǐng)求生成密鑰信息，并通過(guò)所述安全隔離區(qū)發(fā)送至所述量子密鑰終端；

20、所述量子密鑰終端將所述密鑰信息下載到u盾中。

21、通過(guò)所述安全隔離區(qū)進(jìn)行通信，可確保注冊(cè)請(qǐng)求和密鑰信息的傳輸過(guò)程免受外部攻擊和竊聽(tīng)。同時(shí)，所述云中心對(duì)所述量子密鑰終端的合法性進(jìn)行驗(yàn)證，進(jìn)一步保障系統(tǒng)的安全性。此外，將密鑰信息下載到u盾中，也可增加密鑰信息的安全性和保密性。

22、可選的，所述量子密鑰終端將所述密鑰信息下載到u盾的方式為離線(xiàn)充注。

23、離線(xiàn)充注的方式可在網(wǎng)絡(luò)環(huán)境不可信或無(wú)法保證安全的情況下，確保所述密鑰信息的安全性和完整性。

24、可選的，所述方法還包括：

25、當(dāng)所述認(rèn)證證書(shū)過(guò)期或所述量子密鑰消耗完之后，所述量子密鑰終端通過(guò)所述安全隔離區(qū)向所述云中心發(fā)送證書(shū)更新請(qǐng)求或充注密鑰請(qǐng)求，以請(qǐng)求認(rèn)證證書(shū)更新或充注密鑰。

26、所述量子密鑰終端可在認(rèn)證證書(shū)過(guò)期或量子密鑰消耗完畢時(shí)立即通過(guò)所述安全隔離區(qū)向所述云中心發(fā)送請(qǐng)求，不僅可實(shí)現(xiàn)實(shí)時(shí)更新和充注，還可避免因證書(shū)過(guò)期或密鑰耗盡而導(dǎo)致的服務(wù)中斷，以保障系統(tǒng)的連續(xù)性和穩(wěn)定性。

27、可選的，所述云中心包括業(yè)務(wù)模塊、量子安全模塊、認(rèn)證服務(wù)模塊；

28、所述云中心對(duì)所述量子密鑰終端的合法性進(jìn)行驗(yàn)證后，根據(jù)所述注冊(cè)請(qǐng)求生成密鑰信息的步驟包括：

29、所述業(yè)務(wù)模塊根據(jù)所述注冊(cè)請(qǐng)求驗(yàn)證所述量子密鑰終端的合法性；

30、當(dāng)所述量子密鑰終端的合法性驗(yàn)證通過(guò)后，所述量子安全模塊下發(fā)量子密鑰、認(rèn)證證書(shū)私鑰以及認(rèn)證服務(wù)模塊公鑰；

31、所述認(rèn)證服務(wù)模塊下發(fā)用戶(hù)賬號(hào)、初始口令以及認(rèn)證證書(shū)。

32、所述業(yè)務(wù)模塊對(duì)所述量子密鑰終端的合法性進(jìn)行驗(yàn)證，確保只有經(jīng)過(guò)授權(quán)的終端才能接入系統(tǒng)，有效地預(yù)防非法訪(fǎng)問(wèn)和攻擊。下發(fā)的量子密鑰、認(rèn)證證書(shū)私鑰、認(rèn)證服務(wù)模塊公鑰、用戶(hù)賬號(hào)、初始口令以及認(rèn)證證書(shū)中均采用加密技術(shù)，可保證信息的安全性，有效地保護(hù)系統(tǒng)的數(shù)據(jù)安全。

33、可選的，所述云中心根據(jù)所述登錄申請(qǐng)和所述通信數(shù)據(jù)生成身份驗(yàn)證請(qǐng)求信息的步驟包括：

34、所述認(rèn)證服務(wù)模塊根據(jù)所述登錄申請(qǐng)和通信數(shù)據(jù)選擇合適的加密方法，以對(duì)所述客戶(hù)端的加密能力進(jìn)行判斷；

35、當(dāng)所述客戶(hù)端的加密能力判斷合格，所述業(yè)務(wù)模塊下發(fā)與所述用戶(hù)名對(duì)用的虛擬云桌面特征值；所述量子安全模塊下發(fā)隨機(jī)數(shù)；所述認(rèn)證服務(wù)模塊生成客戶(hù)端認(rèn)證證書(shū)請(qǐng)求；

36、根據(jù)所述客戶(hù)端認(rèn)證證書(shū)請(qǐng)求、所述虛擬云桌面特征值和所述隨機(jī)數(shù)生成身份驗(yàn)證請(qǐng)求信息。

37、所述認(rèn)證服務(wù)模塊通過(guò)選擇合適的加密方法對(duì)所述客戶(hù)端的加密能力進(jìn)行判斷，確保只有具備足夠加密能力的所述客戶(hù)端才能接入系統(tǒng)，有效預(yù)防非法訪(fǎng)問(wèn)和攻擊。在所述客戶(hù)端加密能力判斷合格后，根據(jù)所述客戶(hù)端認(rèn)證證書(shū)請(qǐng)求、所述虛擬云桌面特征值和所述隨機(jī)數(shù)生成的身份驗(yàn)證請(qǐng)求信息，具有很高的安全性，進(jìn)一步保護(hù)系統(tǒng)的數(shù)據(jù)安全。

38、可選的，所述客戶(hù)端還根據(jù)所述身份驗(yàn)證請(qǐng)求信息和所述密鑰信息生成驗(yàn)證信息的步驟包括：

39、所述客戶(hù)端基于所述量子密鑰加密所述認(rèn)證證書(shū)，以生成加密證書(shū)；

40、通過(guò)所述認(rèn)證服務(wù)模塊公鑰加密所述隨機(jī)數(shù)和所述云桌面特征值；

41、將所述加密證書(shū)以及加密后的隨機(jī)數(shù)和云桌面特征值組成所述驗(yàn)證信息。

42、通過(guò)使用量子密鑰對(duì)認(rèn)證證書(shū)進(jìn)行加密，可確保認(rèn)證證書(shū)在傳輸和存儲(chǔ)過(guò)程中的安全性。利用認(rèn)證模塊的公鑰對(duì)隨機(jī)數(shù)和云桌面特征值進(jìn)行加密，進(jìn)一步增強(qiáng)這些敏感信息的安全性，這種雙重加密機(jī)制有效地防止數(shù)據(jù)泄露和篡改。

43、由以上技術(shù)方案可知，本技術(shù)提供一種虛擬云桌面身份認(rèn)證量子安全增強(qiáng)方法，所述方法包括：將含有密鑰信息的u盾與客戶(hù)端連接，以使所述客戶(hù)端獲得所述密鑰信息；所述密鑰信息包括用戶(hù)賬號(hào)、初始口令、認(rèn)證證書(shū)、認(rèn)證證書(shū)私鑰、認(rèn)證服務(wù)模塊公鑰以及量子密鑰；通過(guò)所述客戶(hù)端上預(yù)先安裝的云桌面服務(wù)器進(jìn)入虛擬云桌面系統(tǒng)客戶(hù)端，并通過(guò)所述安全隔離區(qū)向所述云中心發(fā)送登錄申請(qǐng)和通信數(shù)據(jù)；所述通信數(shù)據(jù)包括：用戶(hù)名、ssl協(xié)議版本號(hào)、加密算法以及密鑰交換策略；所述云中心根據(jù)所述登錄申請(qǐng)和所述通信數(shù)據(jù)生成身份驗(yàn)證請(qǐng)求信息，并通過(guò)所述安全隔離區(qū)發(fā)送至所述客戶(hù)端；所述身份驗(yàn)證請(qǐng)求信息包括客戶(hù)端認(rèn)證證書(shū)請(qǐng)求、云桌面特征值和隨機(jī)數(shù)；所述客戶(hù)端根據(jù)所述密鑰信息對(duì)所述身份驗(yàn)證請(qǐng)求信息進(jìn)行驗(yàn)證，以驗(yàn)證所述云中心的真實(shí)性；所述客戶(hù)端還根據(jù)所述身份驗(yàn)證請(qǐng)求信息和所述密鑰信息生成驗(yàn)證信息，并通過(guò)所述安全隔離區(qū)將所述驗(yàn)證信息發(fā)送至所述云中心；所述云中心根據(jù)認(rèn)證證書(shū)公鑰對(duì)所述驗(yàn)證信息進(jìn)行驗(yàn)證，以驗(yàn)證所述客戶(hù)端的真實(shí)性，解決虛擬云桌面身份認(rèn)證中安全性不足的問(wèn)題。