基于带外认证的虚拟桌面云连接方法
【技术领域】
[0001]本发明涉及基于带外认证的虚拟桌面云连接方法,属于身份认证领域。
【背景技术】
[0002]网络管理可分为带外管理(out-of-band)和带内管理(in-band)两种管理模式。所谓带内管理,是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送;而在带外管理模式中,网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。
[0003]目前,在远程桌面连接时,网络身份认证模式是服务请求网段(带内网段)与身份认证网段(带外网段)是同一个网段,或者说是可以相互进行通讯的网段。即使服务请求网段的数据和身份认证网段的数据是经过高强度的加密和解密的,但是因为服务请求网段和身份认证网段的相互联系,通过这种传输方式传输的信息会被不法分子监听和窃取。
【发明内容】
[0004]本发明的目的在于提供基于带外认证的虚拟桌面云连接方法,主要解决现有远程桌面连接时,传统的网络身份认证模式安全性低的问题。
[0005]为了实现上述目的,本发明采用的技术方案如下:
基于带外认证的虚拟桌面云连接方法,包括如下步骤:
(1)在服务请求网段内进行远程桌面资源配置,将远程桌面的信息与用户的账号信息相互关联;
(2)用户在服务请求网段上使用上网设备访问云虚拟桌面并登录远程桌面,身份认证系统生成二维码并显示在云虚拟桌面上,然后系统关闭服务请求网段;
(3)用户在信任设备上完成本地登录认证,然后使用信任设备扫描二维码并生成一次性凭证,通过身份认证网段将一次性凭证发送身份认证系统;
(4)身份认证系统进行判定认证,若通过则将判定结果通过身份认证网段通知网关系统,进行步骤(5);若不通过,则认证失败;认证结束后系统关闭身份认证网段;
(5)网关系统通过服务请求网段授权开放上网设备访问远程桌面的信道和权限,远程桌面登录成功,然后系统关闭服务请求网段。
[0006]具体地,所述步骤(I)中,远程桌面的信息包括远程桌面的IP地址、通讯方式、登录远程桌面的账号和密码。
[0007]其中,信任设备是指通过注册认证的智能设备,该智能设备在管理者处具有唯一识别的信息和硬件的信息,而唯一识别的信息和硬件的信息成为了每次都需要认证的授权信息的一个部分。用户在使用智能设备欲访问远程桌面时,身份认证系统首先会对该智能设备进行判断,确实其是否为信任设备。身份认证系统可以由一个服务器提供身份认证。
[0008]信任设备的注册流程为:
Ca)用户通过信任设备扫描注册二维码; (b)用户设置登陆密码;
(c)信任设备按照策略读取信任设备的硬件信息,形成含有设备信息和硬件信息的加密的信息包;
Cd)信任设备生成注册信息并将注册信息发送至身份认证系统;
(e)身份认证系统解密注册信息,并判定注册信息是否正确,若是,则根据注册信息生成验证码;若否,返回错误结果;
Cf)身份认证系统加密形成包含有验证码的私钥;
(g)身份认证系统预存私钥,同时,发送私钥给信任设备;
(h)信任设备保存私钥并使用私钥生成确认注册的一次性凭证OTA,一次性凭证OTA包含有:设备信息、用户信息及对应的权限信息;
(i)信任设备将确认注册信息连同一次性凭证OTA发送到身份认证系统;
(j)身份认证系统接收确认注册信息并判断确认注册信息是否正确,若是,则执行下一步,若否,则返回错误结果;
(k)身份认证系统转存对应的设备信息、用户信息及对应的权限信息到正式注册表,返回注册成功。
[0009]进一步地,所述步骤(2)的具体实现过程为:
(21)用户使用上网设备访问云虚拟桌面并登录远程桌面,云虚拟桌面通过服务请求网段发送登录请求到网关系统;
(22)网关系统通过服务请求网段转发身份认证请求到身份认证系统;
(23)身份认证系统生成二维码并显示在云虚拟桌面上,二维码为QR码,该QR码包含生成一次性凭证所必备的信息,该必备的信息包含信任设备的设备信息、用户信息以及权限信息;
(24)系统关闭服务请求网段。
[0010]更进一步地,所述步骤(3)的具体实现过程为:
(31)用户输入密码取回私钥,根据私钥及输入信息登录信任设备,完成本地登录认证;
(32)使用信任设备扫描QR码,信任设备根据私钥生成身份认证的一次性凭证-0ΤΑ,OTA包含信任设备的设备信息、用户信息以及权限信息;
(33)信任设备通过身份认证网段将OTA发送身份认证系统。
[0011]再进一步地,所述步骤(4)的具体实现过程为:
(41)身份认证系统解密OTA;
(42)身份认证系统判定认证OTA的设备信息、用户信息以及权限信息,若认证通过,则将判定结果通过身份认证网段通知网关系统;若认证不通过,则认证失败;
(43)认证结束后系统关闭身份认证网段。
[0012]与现有技术相比,本发明具有以下有益效果:
(I)本发明使得办公的场所不再拘泥于办公室,也使得全国各地的人们在同一个“局域网”内完成工作,只有拥有注册的用户才能在这个“局域网”内工作,而登陆这个局域网的方式不再是之前的账号和密码,而是基于带外认证的方式完成。
[0013](2)本发明不同实现过程在不同的网段内进行,其中使用上网设备登录远程桌面在带内网段内进行,使用信任设备验证在带外网段进行,授权上网设备登录又在带内网段进行,并且三个过程不同时进行,即每个过程进行时网段是唯一的,避免了不法分子监听和窃取,提高了安全性。
【具体实施方式】
[0014]下面结合实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
[0015]我们称服务请求网段为带内网段,相对于服务请求网段,身份认证网段就被称之为带外网段。这种通过两个网段,或者说通过两个独立的网络的身份认证模式就是双通道带外认证。
实施例
[0016]基于带外认证的虚拟桌面云连接方法,首先在远程桌面登录以前,需要对远程桌面资源进行配置,在配置完成后才能正常登录远程桌面。
[0017](一)远程桌面资源配置,具体的配置过程为:
带内网段操作(服务请求网段):
1.1管理员登录配置系统;
1.2管理员在配置系统中选择“添加资源”;
1.3管理员在配置系统中填写远程桌面