CN104811455A - 一种云计算身份认证方法 - Google Patents

Abstract

本发明提供一种云计算身份认证方法，该方法包括步骤：(1)云终端对***的密码设备进行识别，识别后向云服务器发送登录请求消息；(2)云服务器接收消息后，向云终端发送验证消息；(3)云终端根据验证消息提取密码设备中的数字证书，并对数字证书进行加密后发送给云服务器；(4)云服务器根据数字证书验证用户身份，当验证通过后，云服务器中所对应的虚拟机通过RDP协议直接与云终端建立连接。本发明集成密码设备，可实现对虚拟桌面用户的强身份认证，弥补目前云计算中单一的“用户名+密码”验证带来的安全隐患。

Description

一种云计算身份认证方法

技术领域

本发明涉及一种云计算安全技术领域，尤其是涉及一种云计算身份认证方法。

背景技术

目前，云计算技术得到普遍应用，现有云计算身份认证技术多借助于微软的AD(Active Directory)域，并结合基于OPenID等协议的单点登录技术实现身份认证，这种认证方式多采用“用户名+密码”的方式实现身份认证，认证强度不够，这种情况在VMware、Citrix等主流云计算平台中普遍存在。此外，现有云计算平台中使用远程桌面协议(RDP、SPICE等)传输数据时多采用云服务器对云终端的单方认证，这会导致出现“中间人攻击”的安全隐患。

发明内容

本发明的目的在于：针对现有技术存在的问题，提供一种能满足接入安全、通道安全、应用安全等安全需求的云计算身份认证方法，其能有效地解决现有基于AD域技术和远程桌面协议的云计算身份认证中的安全问题。

本发明的发明目的通过以下技术方案来实现：

一种云计算身份认证方法，其特征在于，该方法包括步骤：

(1)云终端对***的密码设备进行识别，识别后向云服务器发送登录请求消息；

(2)云服务器接收消息后，向云终端发送验证消息；

(3)云终端根据验证消息提取密码设备中的数字证书，并对数字证书进行加密后发送给云服务器；

(4)云服务器根据数字证书验证用户身份，当验证通过后，云服务器中所对应的虚拟机通过RDP协议直接与云终端建立连接。

作为进一步的方案，所述登录请求消息是将用户输入的登录云服务器的账户进行加密后得到。

作为进一步的方案，所述验证用户身份的步骤为：先对数字证书进行认证，认证通过后，将登录请求消息同数字证书中的信息进行验证。

作为进一步的方案，所述云服务器中所对应的虚拟机通过RDP协议直接与云终端建立连接的方法包括步骤：云终端通过RDP协议将密码设备重定向至虚拟机中，虚拟机可获取密码设备中的证书来完成虚拟桌面中操作***的安全登录，虚拟机通过RDP协议将获取的图像信息传输到云终端上，云终端也同样通过RDP协议将输入信息传输到虚拟机中。

作为进一步的方案，所述RDP协议包括TCP层、ISO层、TLS层、MCS层、SEC层和RDP层。

作为进一步的方案，所述云终端通过RDP协议将密码设备重定向至虚拟机中的方法步骤为：

A、当云终端的密码设备向云服务器传输信息时：

1)密码设备将数据传输到云终端中；

2)过滤层拦截驱动程序发送的中断和数据包；

3)该过滤层将该数据包和中断通过RDP协议发送给云服务器；

4)云服务器获得数据包与中断，将数据包发送给虚拟出的密码设备驱动器；

B、当云服务器向云终端密码设备传输信息时：

1)云服务器的应用层向虚拟的密码设备驱动器发送数据包和中断；

2)虚拟的密码设备驱动器将数据包和中断通过RDP协议发送给云终端；

3)云终端的密码设备驱动器响应该中断。

与现有技术相比，本发明具有以下优点：

1、集成密码设备，实现对虚拟桌面用户的强身份认证，弥补目前云计算中单一的“用户名+密码”验证带来的安全隐患；

2、实现云终端用户安全登录以及虚拟桌面用户安全认证，通过在云终端和云服务器分别部署安全插件，在用户和虚拟桌面间建立一条安全可控的通道，恶意用户无法连入到虚拟桌面中，安全管理员可方便地实施访问控制；

3、插件式架构，易用友好，可与现有桌面云平台(VMware、Citrix等)无缝集成；

4、支持多种算法，满足不同业务需求，支持算法包括国产商密算法和通用算法；

5、实现“一次登录，多次认证”，通过输入一次PIN码，利用数字证书技术能实现终端用户连接认证和用户身份认证，以及虚拟桌面用户登陆认证。

附图说明

图1为云计算身份认证***的模型图；

图2为云终端认证的方法流程图；

图3为云服务器认证的方法流程图；

图4为增强后RDP协议架构图；

图5为USB重定向原理图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

实施例

本发明提供一种基于USBKey和安全增强RDP的云计算身份认证方法，该方法是以USBKey作为密码设备，运用数字证书技术、SSL(Secure Socket Layer，安全套接字层)加密技术、安全增强后的远程桌面协议RDP(Remote Desktop Protocol，远程桌面协议)，通过在云终端、云服务器分别部署安全组件，实现云终端用户登陆云服务器强身份认证和虚拟桌面用户安全认证。

本发明将在云终端(TC或传统PC终端)中使用USBKey，利用“USBKEY+PIN码”的方式实现“双因子”强身份认证，并结合数字证书技术，对现有RDP协议进行安全增强，将云终端的USBKey设备安全可控地映射至虚拟桌面中，建立虚拟桌面连接安全通道，实现用户登陆云服务器强身份认证和虚拟桌面连接安全认证。

本发明通过建立基于USBKey的云服务器安全登录模型，提出了云计算中基于USBKey的身份认证方法。基于USBKey的云服务器安全登录模型如图1所示，其在在云终端中部署有证书获取模块、USBKey监控模块和SSL加密模块，在云服务器中部署有USBKey监听模块、安全认证模块、统一用户管理模块、CA模块、虚拟机管理模块和增强RDP模块。基于USBKey的身份认证方法包括云终端用户安全接入和身份认证、通道保护和虚拟桌面用户安全认证。利用云终端部署证书获取模块、USBKey监控模块和云服务器部署安全认证模块、统一用户管理模块、CA模块实现云终端用户基于USBKey密码设备的安全接入和身份认证。利用云终端部署的SSL加密模块和云服务器部署的安全认证模块中的SSL加密模块，实现云终端与云服务器之间的通道安全，有效解决数字证书传输、云终端与云服务器信息交互时的数据安全问题。在RDP协议的ISO层与TCP层之间***TLS协议，以增加云服务器与云终端之间的双向签名证书认证，通过认证来保证通信双方身份的合法性，确保虚拟桌面用户身份的合法性。

本发明方法的主要创新点是：云终端用户在访问云服务器中的虚拟机之前，首先要经过身份认证，认证通过后，云服务器的监听模块将根据用户授权情况决定用户是否具有访问所需虚拟桌面资源的权限。基于USBKey的云服务器登录模型通过数字证书技术来验证用户身份的合法性，并提供安全数据传输通道。通过在RDP中加入TLS层，增加云服务器与云终端之间的双向签名证书认证，通过认证来保证对方身份的合法性，建立安全的虚拟桌面连接通道，确保桌面应用安全。

本发明的具体流程如下：

步骤1：当USBKey***到云终端的USB接口后，云终端首先利用已部署的USBKey监控模块对USBKey进行识别，识别通过后再向云服务器发送登录请求消息R。

步骤2：云服务器基于已部署的USBKey监听模块响应云终端的登录请求，并向云终端发送一个验证信息V；云终端根据所接收到的验证信息V提取USBKey中的数字证书，通过SSL加密模块加密后发送至云服务器进行用户身份认证。

步骤3：云服务器使用安全认证模块验证用户身份，当身份认证通过后，云服务器中虚拟机管理模块将根据用户需求和虚拟机资源情况给云终端用户下发虚拟桌面。

步骤4：虚拟机将通过增强后RDP模块直接与云终端建立安全连接与身份认证，完成云终端用户安全登录虚拟桌面过程。

下面从云终端侧、云服务器侧、通道侧分别详细说明云终端用户登录云服务器的身份认证的具体实现过程。

1、云终端侧

云终端用户在向云服务器发送登录请求前，首先检测USBKey的***情况，当USBKey***到云终端的USB接口后，云终端将会对USBKey进行识别，识别时，需要用户属于USBKey的PIN码，识别通过后则提醒用户输入登录云服务器的账户，加密后发送至云服务器请求登录。云服务器接收到登录请求消息R后，向云终端发送验证信息V，云终端中的USBKey监控模块根据验证信息V调用证书获取模块从USBKey中获取数字证书，并将其发送至SSL加密模块进行加密，加密后再将其发送至云服务器进行认证；认证通过后云服务器中所对应的虚拟机将通过RDP协议直接与云终端建立连接。云终端的请求登录流程如图2所示。

2、云服务器侧

云服务器中的USBKey监听模块检测到云终端发送的登录请求消息R后，将其传至安全认证模块中的连接请求认证子模块，连接请求认证子模块根据接收到的登录请求消息R给云终端发送验证信息V；云终端根据此验证信息V将获取到的数字证书发送至云服务器。USBKey监听模块检测到数字证书信息后，将其传至安全认证模块中的数字证书认证子模块，此模块对接收到的数字证书进行认证，认证通过后，连接认证子模块将会对接收到的登录请求消息R同数字证书中的信息进行验证，验证通过后，则调用用户申请的虚拟机资源，通过RDP协议建立虚拟桌面与用户的联系，并建立虚拟桌面应用安全通道。云服务器的身份认证流程如图3所示。

3、通道侧

在登录云服务器后，云终端将通过RDP协议直接与云服务器中的虚拟机进行交互。云终端通过RDP协议将USBKey重定向至虚拟机中，虚拟机可获取USBKey中的证书来完成虚拟桌面中操作***的安全登录。虚拟机通过RDP协议将获取的图像信息传输到云终端上，云终端也同样通过RDP协议将输入信息传输到虚拟机中。虚拟机通过验证终端的USBKey提供的应用服务证书，确认用户是否具有获取某种应用服务的权限，实现应用安全。由于RDP协议在连接认证阶段所采用的安全策略是云服务器对云终端的单方认证，所以云终端很容易受到中间人攻击，攻击者可以采用欺骗等方法伪装成云服务器与云终端进行数据交换，从而和云终端建立一个虚假的连接，以骗取云终端的敏感信息。因此，对协议的改进可以从认证的角度进行，直接在RDP协议的ISO层与TCP层之间***TLS(Transport Layer Security，安全传输层)协议，以增加云服务器与云终端之间的双向签名证书认证，通过认证来保证对方身份的合法性，从而增强RDP协议的安全性。增强后的RDP协议如图4所示。

RDP协议中USBKey重定向的原理如图5所示。其实现步骤如下所示。

当云终端USBKey向云服务器传输信息时，步骤如下：

1)USBKey将数据传输到云终端中。

2)过滤层拦截驱动程序发送的中断和数据包。

3)该过滤层将该数据包和中断通过RDP协议发送给服务端。

4)云服务器获得数据包与中断，将数据包发送给虚拟出的USB驱动。

当云服务器向云终端USBKey传输信息时，步骤如下：

1)云服务器的应用层向虚拟的USBKey驱动器发送数据包和中断。

2)虚拟的USBKey驱动器将数据包和中断通过RDP协议发送给云终端。

3)云终端的USBKey驱动器相响应该中断。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，应当指出的是，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种云计算身份认证方法，其特征在于，该方法包括步骤：

(1)云终端对***的密码设备进行识别，识别后向云服务器发送登录请求消息；

(2)云服务器接收消息后，向云终端发送验证消息；

(3)云终端根据验证消息提取密码设备中的数字证书，并对数字证书进行加密后发送给云服务器；

(4)云服务器根据数字证书验证用户身份，当验证通过后，云服务器中所对应的虚拟机通过RDP协议直接与云终端建立连接。

2.根据权利要求1所述的一种云计算身份认证方法，其特征在于，所述登录请求消息是将用户输入的登录云服务器的账户进行加密后得到。

3.根据权利要求1所述的一种云计算身份认证方法，其特征在于，所述验证用户身份的步骤为：先对数字证书进行认证，认证通过后，将登录请求消息同数字证书中的信息进行验证。

4.根据权利要求1所述的一种云计算身份认证方法，其特征在于，所述云服务器中所对应的虚拟机通过RDP协议直接与云终端建立连接的方法包括步骤：云终端通过RDP协议将密码设备重定向至虚拟机中，虚拟机可获取密码设备中的证书来完成虚拟桌面中操作***的安全登录，虚拟机通过RDP协议将获取的图像信息传输到云终端上，云终端也同样通过RDP协议将输入信息传输到虚拟机中。

5.根据权利要求4所述的一种云计算身份认证方法，其特征在于，所述RDP协议包括TCP层、ISO层、TLS层、MCS层、SEC层和RDP层。

6.根据权利要求4所述的一种云计算身份认证方法，其特征在于，所述云终端通过RDP协议将密码设备重定向至虚拟机中的方法步骤为：

A、当云终端的密码设备向云服务器传输信息时：

1)密码设备将数据传输到云终端中；

2)过滤层拦截驱动程序发送的中断和数据包；

3)该过滤层将该数据包和中断通过RDP协议发送给云服务器；

4)云服务器获得数据包与中断，将数据包发送给虚拟出的密码设备驱动器；

B、当云服务器向云终端密码设备传输信息时：

1)云服务器的应用层向虚拟的密码设备驱动器发送数据包和中断；

2)虚拟的密码设备驱动器将数据包和中断通过RDP协议发送给云终端；

3)云终端的密码设备驱动器响应该中断。