一种通过接入控制保护桌面云服务的方法及系统的制作方法
【专利摘要】本发明公开了一种通过接入控制保护桌面云服务的方法及系统,涉及桌面云安全【技术领域】,旨在针对现有的用户名和密码方式进行用户登录桌面方式安全强度较弱的问题提供一种通过接入控制保护桌面云服务的方法,包括:步骤1:瘦终端通过安全网关与桌面云数据中心连接;步骤2:用户将用于标示身份的USBKEY插入到瘦终端上;瘦终端向安全网关发起认证请求,并将从USBKEY中读取的用户身份证书中密钥的签名信息发送给安全网关;步骤3:安全网关对签名信息进行验签,验签通过后将该用户身份证书对应的用于登录桌面的用户名及密码传输给桌面云数据中心;步骤4:桌面云数据中心对所述用户名及密码进行验证,验证通过后完成用户登录。
【专利说明】一种通过接入控制保护桌面云服务的方法及系统
【技术领域】
[0001]本发明涉及桌面云安全【技术领域】,尤其是一种结合USB KEY实现桌面云数据中心的登录验证方法。
【背景技术】
[0002]现有的桌面云数据中心或称为桌面云服务器通常采用普通的用户名和密码方式进行用户登录;结合微软的域服务器进行用户身份验证。这种用户名密码方式安全强度较弱,易被猜测和暴力破解从而影响整个系统的安全性。同时由于桌面云中的虚拟桌面IP通常是直接暴露给用户的,存在恶意用户对虚拟桌面进行攻击从而绕过桌面云系统安全机制而获取虚拟桌面数据的风险。
【发明内容】
[0003]本发明所要解决的技术问题是:从根本上消除上述风险。本发明在瘦终端和桌面云数据中心的网络信道之间加装接入安全网关,将安全网关的用户身份认证与桌面云数据中心的登陆认证结合,完成桌面云的接入认证过程。
[0004]本发明采用的技术方案具体如下:
本发明提供了一种通过接入控制保护桌面云服务的方法,包括:
步骤1:瘦终端通过安全网关与桌面云数据中心连接;安全网关中存储有用户身份证书与用于登录桌面的用户名及密码之间映射关系;
步骤2:用户将用于标示身份的USB KEY插入到瘦终端上;瘦终端向安全网关发起认证请求,并将从USB KEY中读取的用户身份证书中的密钥的签名信息发送给安全网关;
步骤3:安全网关对所述签名信息进行验签,验签通过后将该用户身份证书对应的用于登录桌面的用户名及密码传输给桌面云数据中心,同时安全网关将该瘦终端发送给桌面云数据中心的数据进行放行;
步骤4:桌面云数据中心对所述用户名及密码进行验证,验证通过后完成用户登录。
[0005]进一步,步骤3中,安全网关将所述用于登录桌面的用户名及密码填入到POST包中,并通过HTTP协议传输给桌面云数据中心。
[0006]进一步,步骤4中,桌面云数据中心对收到的POST包进行解析得到所述用户名及密码。
[0007]本发明还提供了一种通过接入控制保护桌面云服务的系统,包括:
安全网关客户端,位于瘦终端上,用于读取插入瘦终端的USB KEY中的用户身份证书中的密钥的签名信息,向安全网关模块发起认证请求并将所述签名信息传输给所述安全网关模块;
安全网关模块,位于安全网关上,用于对所述签名信息进行验签,验签通过后将该用户身份证书对应的用于登录桌面的用户名及密码传输给桌面云数据中心上的登录模块,同时将该瘦终端发送给桌面云数据中心的数据进行放行; 登录模块,位于桌面云数据中心上,用于对所述用户名及密码进行验证,验证通过后完成用户登录。
[0008]进一步,安全网关模块还用于将所述用于登录桌面的用户名及密码填入到POST包中,并通过HTTP协议传输给桌面云数据中心。
[0009]进一步,登录模块还用于对收到的POST包进行解析得到所述用户名及密码。
[0010]综上所述,由于采用了上述技术方案,本发明的有益效果是:
1.集成密码设备USBKEY,实现对云桌面用户的强身份验证,弥补目前桌面云环境中单一的“用户名+密码”验证带来的安全缺陷;
2.对原有系统改动小,不受桌面云技术实现方式和架构影响;
3.密码设备USBKEY支持多种算法,如国产商密算法SMl、SM2、SM3和通用算法DES、RSA 等;
4.能完全杜绝虚拟桌面到瘦终端的非授权数据流动;
5.安全网关对每次瘦终端的认证请求进行记录,即使发生恶意访问的情况,通过查询安全网关的认证请求记录可以快速定位到进行恶意访问的瘦终端。
【专利附图】
【附图说明】
[0011]本发明将通过例子并参照附图的方式说明,其中:
图1为本发明中瘦终端、安全网关及桌面云数据中心的连接关系图。
[0012]图2为本发明的流程图。
【具体实施方式】
[0013]本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
[0014]本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
[0015]如图1,在瘦终端与桌面云数据中心之间接入安全网关,安全网关提供内、外两个网口,外网口用于连接瘦终端,内网口用于连接桌面云数据中心。
[0016]如图2,本发明公开的方法包括:
步骤1:瘦终端通过安全网关与桌面云数据中心连接;安全网关中存储有用户身份证书与用于登录桌面的用户名及密码之间映射关系;
步骤2:用户将用于标示身份的USB KEY插入到瘦终端上;瘦终端向安全网关发起认证请求,并将从USB KEY中读取的用户身份证书中的密钥的签名信息发送给安全网关;
步骤3:安全网关对签名信息进行验签从而确定用户身份,验签通过后将该用户身份证书对应的用于登录桌面的用户名及密码传输给桌面云数据中心,同时安全网关将该瘦终端发送给桌面云数据中心的数据进行放行;
步骤4:桌面云数据中心对所述用户名及密码进行验证,验证通过后完成用户登录。
[0017]登录完成后,桌面云数据中心通过安全网关向瘦终端发送虚拟桌面IP地址以及登录令牌。瘦终端利用虚拟桌面IP地址及登录令牌对虚拟桌面进行数据访问。
[0018]其他具体实施例的步骤3包括,安全网关将所述用于登录桌面的用户名及密码填入到POST包中,并通过HTTP协议传输给桌面云数据中心。
[0019]步骤4包括,桌面云数据中心对收到的POST包进行解析得到所述用户名及密码。
[0020]本发明并不局限于前述的【具体实施方式】。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
【权利要求】
1.一种通过接入控制保护桌面云服务的方法,其特征在于,包括: 步骤1:瘦终端通过安全网关与桌面云数据中心连接;安全网关中存储有用户身份证书与用于登录桌面的用户名及密码之间映射关系; 步骤2:用户将用于标示身份的USB KEY插入到瘦终端上;瘦终端向安全网关发起认证请求,并将从USB KEY中读取的用户身份证书中的密钥的签名信息发送给安全网关; 步骤3:安全网关对所述签名信息进行验签,验签通过后将该用户身份证书对应的用于登录桌面的用户名及密码传输给桌面云数据中心,同时安全网关将该瘦终端发送给桌面云数据中心的数据进行放行; 步骤4:桌面云数据中心对所述用户名及密码进行验证,验证通过后完成用户登录。
2.根据权利要求1所述的一种通过接入控制保护桌面云服务的方法,其特征在于,步骤3中,安全网关将所述用于登录桌面的用户名及密码填入到POST包中,并通过HTTP协议传输给桌面云数据中心。
3.根据权利要求2所述的一种通过接入控制保护桌面云服务的方法,其特征在于,步骤4中,桌面云数据中心对收到的POST包进行解析得到所述用户名及密码。
4.一种通过接入控制保护桌面云服务的系统,其特征在于,包括: 安全网关客户端,位于瘦终端上,用于读取插入瘦终端的USB KEY中的用户身份证书中的密钥的签名信息,向安全网关模块发起认证请求并将所述签名信息传输给所述安全网关模块; 安全网关模块,位于安全网关上,用于对所述签名信息进行验签,验签通过后将该用户身份证书对应的用于登录桌面的用户名及密码传输给桌面云数据中心上的登录模块,同时将该瘦终端发送给桌面云数据中心的数据进行放行; 登录模块,位于桌面云数据中心上,用于对所述用户名及密码进行验证,验证通过后完成用户登录。
5.根据权利要求4所述的一种通过接入控制保护桌面云服务的系统,其特征在于,安全网关模块,还用于将所述用于登录桌面的用户名及密码填入到POST包中,并通过HTTP协议传输给桌面云数据中心。
6.根据权利要求5所述的一种通过接入控制保护桌面云服务的系统,其特征在于,登录模块还用于对收到的POST包进行解析得到所述用户名及密码。
【文档编号】H04L29/06GK104394214SQ201410689562
【公开日】2015年3月4日 申请日期:2014年11月26日 优先权日:2014年11月26日
【发明者】王华磊 申请人:成都卫士通信息产业股份有限公司