[发明专利]一种基于USB‑Key的虚拟桌面安全认证方法及系统

说明书

技术领域：

本发明属于终端安全领域，涉及一种安全认证方法及系统，主要涉及一种基于USB-Key的虚拟桌面安全认证方法及系统。

背景技术：

在虚拟桌面架构(Virtualization Desktop Infrastructure，简称VDI或桌面云)系统中，用户使用客户端软件并通过计算机网络来登录位于服务器上的虚拟桌面系统。用户在登录到虚拟桌面系统前，VDI系统需要验证用户的身份信息，确认用户身份信息合法的前提下，才允许用户访问目标虚拟桌面系统，因此VDI系统必须具有安全、可靠的身份认证机制，保证用户的接入安全。

现有技术中，VDI系统通常将目标虚拟桌面信息直接提供给用户，并选择用户的账户名和口令作为唯一的身份认证信息，鉴别技术单一且简单，致使用户身份很容易被冒用，如果目标虚拟桌面遭到非授权访问，将直接导致重要数据的泄露，甚至攻破整个VDI系统等。还有一种虚拟化环境下的认证方式是只认证虚拟桌面虚拟机的操作系统，而忽略了镜像文件的认证。

目前虚拟化技术领域中优秀的身份认证方案大致如下：

(1)用户向桌面分发中心发出虚拟桌面的登录请求；

(2)用户将自己的身份信息(用户名和口令)加密传输给桌面分发中心；

(3)桌面分发中心验证用户身份信息并返回相关的虚拟桌面信息；

(4)用户使用指定的协议和虚拟桌面信息尝试连接到对应的虚拟桌面；

(5)虚拟桌面验证用户身份信息(用户名和口令)并建立数据链路，供用户访问。以上技术方案的安全性和可靠性方面都存在不足，主要存在以下几点：

(1)用户身份信息的承载方式过于简单，很容易被他人获取；

(2)尽管进行了两次身份验证，但每次验证的信息相同，可靠性较低；

(3)虚拟化环境下认证范围不全。

发明内容

针对现有技术存在的技术问题，本发明的目的在于提供一种基于USB-Key的虚拟桌面多因子安全认证方法及系统。本发明利用USB-Key来存放用户的身份信息，且身份信息以证书和签名形式提供；并且引入动态口令机制，虚拟桌面认证采用一次一密；本发明解决了用户身份信息承载方式过于简单和身份信息容易破解的问题，增强了认证的可靠性。

本发明技术方案存在以下两个关键点：

(1)引入三种身份鉴别技术：基于USB-Key的PIN码认证，证书与签名认证，用户名与动态口令认证；首先是瘦客户端的基于usbkey的PIN码认证，由用户在客户端界面中输入，用于控制插入在瘦客户端上的usbkey的访问权限，其次是云管理中心的证书与签名认证，用户证书存放于usbkey中，用于用户身份鉴别，在验证合法身份情况下，通过与镜像文件的匹配选择用户对应的桌面镜像文件信息，最后是虚拟桌面内的挑战响应型动态口令认证，虚拟桌面和客户端均采用相同类型的秘密值、随机数、用户信息和HASH算法分别计算得到动态口令，虚拟桌面验证客户端的动态口令。整个认证过程只需要输入一次pin码就可以了，既便捷又提高了安全性。

(2)引入双层认证技术：用户镜像文件认证和虚拟桌面系统认证，每层认证的身份信息不相同。用户镜像文件认证：根据用户的证书和签名信息的验证结果，决定是否返回用户的虚拟镜像文件信息，验证失败时，用户无法获知任何镜像文件信息；虚拟桌面系统认证：用户通过获取的虚拟镜像文件信息、用户名以及动态口令，尝试登录虚拟桌面，由虚拟桌面的相关安全服务程序验证，仅在验证通过情况下，才返还虚拟桌面的控制权给用户。用户镜像认证是利用创建镜像文件时分配的唯一uuid，匹配用户及权限，建立一个数据库，依靠算法进行匹配。

本发明的技术方案为：

一种基于USB-Key的虚拟桌面安全认证方法，其步骤为：

1)用户在客户端的瘦客户机上插入USB-Key，输入USB-Key的PIN码，客户端检测USB-Key存在并验证PIN码；其中，该USB-Key存放该用户的用户证书和用户私钥，瘦客户机上保存该用户证书利用随机数生成的用户的数字签名；瘦客户机PIN码验证通过后，该客户端向云管理中心的认证模块申请签名所用的随机数；该认证模块生成一随机数x并将其返回给该客户端；

2)该客户端从该USB-Key中获取用户名、用户证书，然后用该随机数x通过HASH对待签名数据做摘要，通过用户私钥对摘要数据进行签名，产生验签数据包p7；

3)该客户端将用户名和验签数据包p7经云管理中心的认证模块转发至该认证服务器的验签模块进行身份验证；