CN103780393B - 一种面向多安全等级的虚拟桌面安全认证系统及方法 - Google Patents

Abstract

本发明公开了一种面向多安全等级虚拟桌面安全认证方法及系统，涉及基于用户行为的身份认证方式及系统实现，首先，安全认证方法引入用户行为认证机制，提出用户域内与跨域行为的收集、判定和预测方法，实现角色权限结合用户行为的安全认证方法设计；其次，认证方法中的加密部分采用基于椭圆曲线的数字签名，签名算法中引入对称加密算法，为了降低算法计算复杂度，签名方程中消除了大整数求逆运算，提高了签名的效率，保证了认证方法及系统的安全性；最后，该系统实现用户的统一身份认证，减少认证服务器的部署，降低成本。本机制可以广泛用于云计算虚拟桌面安全认证，多安全等级等相关领域。

Description

一种面向多安全等级的虚拟桌面安全认证系统及方法

技术领域

本发明涉及虚拟化技术领域，尤其涉及信息加密和认证技术。

背景技术

目前，虚拟化技术已经成为计算机技术研究的热点之一，虚拟化技术主要包括应用虚拟化、桌面虚拟化、服务器虚拟化。其中，桌面虚拟化发展越来越快，具有广阔的应用前景。但是，在政府、军工等安全级别要求特别高的部门或企业，若采用虚拟桌面技术，无疑其安全问题必须引起人们的高度重视。在实际应用中，用户一般只能访问一种密级网络的虚拟桌面，而用户根据权限级别的不同访问多个安全等级虚拟桌面的发明专利较少。用户访问多安全等级虚拟桌面，如何对用户进行有效的认证并防止非法用户的跨网络攻击，避免非法用户以攻占低密级虚拟桌面为跳板，进而攻占高密级虚拟桌面窃取重要信息的安全问题值得深入研究。

目前，关于认证的研究，主要集中于两个方面：第一方面是基于身份的认证研究，第二方面是基于属性的认证研究。具有较好应用的认证协议为Kerberos认证协议，已经发展到第5版，对保持消息的完整性和保密性具有很好的效果，但是协议采用DES加密算法，人们开始质疑它的安全强度。属性认证是在身份认证的基础上发展而来的，2005年，Sahai和Waters在提出模糊基于身份加密体制的同时，引出了基于属性加密体制(Attribute-basedencryp-tion，ABE)的概念，开创了基于属性的密码体制的先河，该体制中实现了(t，n)门限访问结构。研究学者做了进一步的研究分析，分析认证的安全性，涌现出了大量的改进算法。其中，Wang等人在kerberos协议中加入智能卡，改进了密钥交换模型，提出了新的安全认证方法，等人为了实现匿名访问，提出了新的隐私保护模型，分析了改进的kerberos协议在单域、多域中的应用效率。

在虚拟桌面技术的研究方面已经相对成熟，可以为用户提供满意的虚拟服务。在安全认证技术的研究方面也是研究的较多，前人提出了很多安全的认证协议。但是，针对虚拟桌面安全认证技术的研究较少，这不仅对用户访问单个虚拟桌面服务器带来安全隐患以外，还将对用户访问多密级虚拟桌面服务器带来巨大的安全隐患。Ju L等人提出在访问虚拟资源时，用组合公钥对用户身份进行验证，并将用户与虚拟机联合防止可能出现的欺诈行为，作者也对提出的方法做了性能分析。Tian L等人在云计算环境中引入用户行为认证，弥补了一些云环境下传统认证的缺点。陈亚睿等人对行为认证集的确立、行为证据的获得、行为认证的策略做了详细的分析，提出了基于云计算虚拟环境的用户行为认证的机制。本发明结合前人对认证的研究，发现在多安全等级虚拟桌面安全认证的研究中，引入用户行为的认证研究较少，缺少统一的、完整的数学模型的理论方法和有效的定量分析方法。

发明内容

针对以上现有技术中的不足，本发明的目的在于提供一种提高认证的安全性、提高认证效率的面向多安全等级虚拟桌面安全认证系统及方法，本发明的技术方案如下：一种面向多安全等级虚拟桌面安全认证系统，其包括客户端、安全认证中心及多安全等级虚拟桌面服务器，其中，客户端与安全认证中心相连接，所述安全认证中心与多安全等级虚拟桌面服务器相连接；

所述安全认证中心包括用户身份认证模块M1、用户行为侦测模块M2、关系映射模块M3、数据安全转发模块M4及令牌生成模块M5；其中客户端分别与用户身份认证模块M1及数据安全转发模块M4相连接，用户身份认证模块M1分别与用户行为侦测模块M2、关系映射模块M3相连接，关系映射模块M3与令牌生成模块M5相连接，用户行为侦测模块M2与关系映射模块M3及数据安全转发模块M4相连接，所述数据安全转发模块M4与多安全等级虚拟桌面服务器相连接进行数据安全转发；所述用户身份认证模块M1用于对客户端用户发出的安全认证请求进行验证，并为用户生成身份特征码，其中身份特征码是用户注册时根据用户的角色、权限生成；所述用户行为侦测模块M2用于对用户验证成功后在虚拟桌面服务器上的操作行为进行数据统计；所述关系映射模块M3用于存储通过了认证的用户的行为属性与密级虚拟桌面属性的对应关系；所述数据安全转发模块M4用于转发用户的安全认证请求给所述多安全等级虚拟桌面服务器；所述令牌生成模块M5用于对验证通过后的用户生成令牌，用户根据令牌访问所述多安全等级虚拟桌面服务器。

一种基于所述系统的虚拟桌面安全认证方法，其包括以下步骤：

201、用户通过客户端输入用户ID、口令和密级虚拟桌面等级grade，然后安全认证中心对用户进行初步认证，初步认证成功后用户与安全认证中心建立连接，安全认证中心为用户分发安全认证中心公钥、服务器公钥，其中安全认证中心公钥在安全认证中心，服务器公钥在服务器端；

202、用户输入用户身份特征码FC，利用步骤201中分发到的安全认证中心公钥，并通过动态口令牌获取随机数k及用户密钥，客户端生成加密签名；然后发送所述加密签名及加密消息M到安全认证中心；

203、所述安全认证中心验证用户的加密签名和认证用户身份，如果验证通过则提取用户行为属性，发送并存储到关系映射模块，并通过令牌生成模块M5生成特征码令牌tiket_FC与等级令牌tiket_grade，返回给用户；所述关系映射模块M3用于存储通过了认证的用户的行为属性与密级虚拟桌面属性的对应关系；

204、用户收到特征码令牌tiket_FC与等级令牌tiket_grade后，用户向多安全等级虚拟桌面服务器发送访问请求签名，若验证合法则多安全等级虚拟桌面服务器选取随机数θ，结合tiket_FC生成第一令牌subtiket_S->AC，返回密级网络属性、第一令牌subtiket_S->AC给安全认证中心；

205、安全认证中心获取服务器密级网络属性对应的用户行为属性向量A_S＝(a₁,...,a_t)，并根据用户异常行为统计值H_class(1),H_class(2),...,H_class(t)，计算用户异常行为统计值权重如果大于门限值T1，则安全认证中心生成第二令牌subtiket_AC->C，发送第二令牌subtiket_AC->C到多安全等级虚拟桌面服务器，计算出第一令牌subtiket_S->AC与第二令牌subtiket_AC->C的哈希值hash(subtiket_S->AC||subtiket_AC->C)，并通过安全认证中心加密后发送至用户，用户解密获取hash(subtiket_S->AC||subtiket_AC->C)，依据此hash值请求访问对应的多安全等级虚拟桌面服务器；

206、当用户要切换访问同种密级或者不同密级虚拟桌面服务器时，安全认证中心读取用户角色与密级虚拟桌面服务器的映射关系是否满足，若满足，则计算跨域行为权重，超过设定的门限值T2，则生成切换令牌subtiket'_AC->C，发送subtiket'_AC->C至多安全等级虚拟桌面服务器，并发送第一令牌subtiket_S->AC与第二令牌subtiket_AC->C、切换令牌subtiket'_AC->C哈希运算后的哈希值hash(subtiket_S->AC||subtiket_AC->C||subtiket'_AC->C)给用户，用户根据此hash值向多安全等级虚拟桌面服务器提出访问请求，完成切换访问。

步骤206中所述跨域行为权重其中T₁到T_n为n次用户成功登录系统后产生的跨域行为统计，tim₁到tim_n为对应的时间值，υ₁、υ₂为权重值，相加之和为1。

步骤202中采用改进的基于椭圆曲线的数字签名进行加密签名。

本发明的优点及有益效果如下：

本发明认证过程中客户端通过动态口令牌动态提供随机数及私钥，加密和签名使用对称密钥，减轻客户端计算压力，并提高认证的安全性。在提高认证效率方面，其中使用椭圆曲线的加密方式，既提高了效率，有保证了安全性。本发明的另一优点是实现统一身份认证，主要面对多种安全等级的虚拟桌面，实现虚拟桌面用户只需要进行一次登录就可以凭借用户的过往行为方便的切换不同安全等级的虚拟桌面。

附图说明

图1是本发明的系统整体架构示意图；

图2是本发明的系统实施结构示意图；

图3是本发明的访问多虚拟桌面示意图；

图4是本发明的用户行为侦测系统部署结构图；

图5是本发明的认证中心认证流程图。

具体实施方式

下面结合附图给出一个非限定性的实施例对本发明作进一步的阐述。

如图1所示为本发明的系统整体架构图。

如图2所示为本发明的系统实施结构图。其中包括：安全认证中心，客户端，多安全等级虚拟桌面服务器。

参照图1，具体说明本发明的系统整体架构图，用户只能通过安全认证中心与多安全等级虚拟桌面进行通信。系统架构中认证中心部署不需要在每个安全等级服务器都部署认证中心，而是采用统一认证中心的方式实现用户跨域访问虚拟桌面的安全认证。

参照图2，具体说明本发明的系统实施结构图，认证中心由用户身份认证模块(M1)、用户行为侦测模块(M2)、关系映射模块(M3)、数据安全转发模块(M4)、令牌生成模块(M5)构成。用户不直接与服务器交互，而是通过认证中心转发，其优点是可以统一控制用户与服务器之间的通信信息，截获虚假信息。首先，用户需要通过用户身份认证模块的验证，提取用户行为特征值。其次，认证中心根据用户请求虚拟桌面安全等级不同，认证中心通过安全转发模块将请求信息转发给服务器，服务器返回虚拟桌面安全等级属性，计算验证。最后，验证通过后，用户依据令牌访问对应等级虚拟桌面服务。用户若要切换到其他安全等级虚拟桌面服务，先进行用户行为特征计算验证，若通过，则直接提供虚拟桌面服务，否则，拒绝服务，返回提示信息。这样增强了访问高安全等级虚拟桌面的安全性，降低了切换多安全等级虚拟桌面服务器的认证开销。

本发明采用基于椭圆曲线的加密算法及签名，基于椭圆曲线的对称加密方式具有计算负担小，运行速度快，安全性高的特点。本发明的安全认证过程中由于要频繁的进行加密、解密操作使得椭圆曲线的加密体制能够充分的体现出它的加密效率高的特点。其中，进行用户认证获取加密公钥和私钥的流程具体为：认证中心根据初始化加密信息，随机选取私钥d_AC生成认证中心自身的公钥Q_AC；认证中心先将加密信息发至服务端，获取服务端公钥Q_S；认证中心将Q_AC、Q_S发送至用户；用户使用动态口令牌随机生成私钥d_C、随机数k，并计算公钥Q_C，利用从认证中心获取的加密信息，实现加密签名。

在本发明系统中的签名分为用户向认证中心发送签名、用户向多安全等级虚拟桌面服务器发送签名。其中签名方法由以下例子说明：

在此先假设Alice向Bob发送签名，所述生成签名具体为：根据椭圆曲线初始化加密信息，Bob随机选取私钥生成自身的公钥Q_Bob＝d_Bob*G；Alice根据动态口令牌随机提供私钥d_Alice及随机数k，生成公钥Q_Alice；签名算法根据Alice提供的公钥Q_Bob，生成(K_x,K_y)＝k*Q_Bob＝k*d_Bob*G，利用对称加密算法加密消息计算s＝M+k-r*d_Alice(mod n)；验证算法根据签名(r,s)、Q_Alice、M，计算(K_x,K_y)＝d_Bob*(s-M)*G+d_Bob*r*Q_Alice，取V＝K_x(modn)，若V＝r，则接受签名，否则拒绝签名。

如图3，具体说明本发明访问多虚拟桌面过程：步骤R1，用户输入请求访问的虚拟桌面服务器的安全等级；步骤R2，用户经过初始的身份认证和认证中心对用户行为的判定，用户获取认证中心和请求的虚拟桌面服务器生成的访问令牌的hash值，步骤R3，用户需要切换其他安全等级虚拟桌面时，需要获取认证中心预测用户行为是否正常，并生成切换令牌，结合步骤R2生成的令牌重新生成hash值，认证中心将hash值发送至用户；步骤R4，用户凭借认证中心提供的令牌hash值请求虚拟桌面服务，服务器验证通过后，通过远程访问协议实现用户访问虚拟桌面功能。

如图4所示为本发明的用户行为侦测系统部署结构图。本发明设定在每个安全等级的虚拟桌面服务器内设定用户行为侦测系统，并在用户退出虚拟桌面时，将统计数据发到认证中心的用户行为侦测模块。用户行为的统计过程，具体分为：

1)域内直接行为统计

域内直接行为包括用户使用虚拟桌面服务器产生的系统行为和用户对虚拟桌面服务器内相关文件操作行为。在这一部分主要用来建立用户行为属性模型，收集用户正常行为作为初始数据，按照设定的规则进行行为属性相似度聚类，通过聚类分析形成用户行为轮廓。

本发明采用MacQueen提出的k-means聚类算法实现用户正常行为轮廓的刻画。假设分成2t类，应用聚类算法形成的正常行为中心点为T_class(1),T_class(2),...,T_class(t)，形成异常行为中心点N_class(1),N_class(2),...,N_class(t)，也就是用户初始正常行为轮廓有t种中心点，异常行为轮廓有t种中心点。

若有一次用户行为，经过聚类行为分析后，可以计算X到t中T_class(1),T_class(2),...,T_class(t)轮廓与N_class(1),N_class(2),...,N_class(t)轮廓中心的距离，分别计算最近值d_T,min、d_N,min。本发明判断为异常的概率为λ*(d_T,min-d₁)+(1-λ)*(d_N,min-d₂)>μ，d_T,min>d₁、d_N,min<d₂，(λ为异常行为因子，d₁与d₂为门限值)，将异常行为添加到对应的异常行为轮廓中继续训练常，个数H记为该类行为的一次异常行为，则H_class(1),H_class(2),...,H_class(t)代表异常行为属性攻击统计值加1。如果λ*(d_T,min-d₁)+(1-λ)*(d_N,min-d₂)<μ，d_T,min>d₁、d_N，min<d₂，则认为是对正常行为的误检，将行为添加到正常行为属性集中继续训练。

2)跨域历史行为统计

假设α代表正常行为次数，β代表异常行为次数，用户由密级虚拟机A到密级虚拟机B次数为α+β次。另外，设ω为密级虚拟机A对密级虚拟机B信任度，其中ω等于1代表A、B属于同种密级，ω大于1代表A的密级低于B的密级，ω小于1代表A的密级高于B的密级。根据贝叶斯公式计算密级虚拟机A对密级虚拟机B的统计信任值χ的分布概率，其数学期望为：因此，用户通过密级虚拟机A的一次跨域行为统计T_B为：

跨域历史行为采用队列的存储方式，存储n个历史行为，若多于n个，则将时间久远的移除，新的行为添加到队列中。对用户行为的信任具有随时间衰减的特性，越长久时间之前的信任影响越低，越近期信任越有效。统计用户跨域历史行为公式为其中T₁到T_n为n次用户成功登录系统后产生的跨域行为统计，tim₁到tim_n为对应的时间值，υ₁、υ₂为权重值，相加之和为1。

如图5，具体说明本发明多安全等级虚拟桌面安全认证过程，执行如下步骤：

步骤1，用户通过客户端输入用户ID、口令和密级虚拟桌面等级grade，然后安全认证中心对用户进行初步认证，初步认证成功后用户与安全认证中心建立连接，安全认证中心为用户分发安全认证中心公钥、服务器公钥，其中安全认证中心公钥在安全认证中心，服务器公钥在服务器；

步骤2，用户输入用户身份特征码FC，通过动态口令牌获取随机数及密钥用于加密签名，发送签名到认证中心；步骤3，认证中心验证用户签名和认证用户身份，如果条件满足则提取用户行为属性，发送到关系映射模块，生成特征码令牌tiket_FC与等级令牌tiket_grade，返回给用户；步骤4，用户向服务器发送访问请求签名，验证合法则选取随机数κ，结合tiket_FC生成第一个令牌subtiket_S->AC，返回密级属性、令牌给认证中心；步骤5，认证中心获取服务器密级网络属性对用户行为属性向量A_S＝(a₁,...,a_t)，结合用户异常行为统计值H_class(1),H_class(2),...,H_class(t)，计算权重如果大于门限值T1(例如：T1＝100)，则生成第二个令牌subtiket_AC->C。发送subtiket_AC->C到服务器，计算hash(subtiket_S->AC||subtiket_AC->C)认证中心加密后发送至用户，用户加密获取hash(subtiket_S->AC||subtiket_AC->C)，并依据此hash值请求访问对应的虚拟桌面服务器；步骤6，用户若要切换虚拟桌面服务器，访问同种密级或者不同密级虚拟桌面时，认证中心读取用户角色映射关系是否满足，若满足，则计算跨域行为权重超过设定的门限值T2(例如：T2＝100)，则生成切换令牌subtiket'_AC->C，发送subtiket'_AC->C至服务器，发送hash(subtiket_S->AC||subtiket_AC->C||subtiket'_AC->C)至用户，用户根据此hash值向服务器提出访问请求。

本发明提出的面向多安全等级虚拟桌面安全认证方法及系统引入用户行为的认证机制，解决敌手窃取到合法用户的信息窃取信息，认证薄弱的问题。认证系统及用户只需要存储椭圆曲线的基本信息，不需要长期存储公钥及私钥，解决了认证系统的密钥管理的问题，节省了资源。认证系统动态的生成公钥、私钥，用户通过自己持有智能卡生成信息，提高了认证系统的安全性。认证系统的加密方式采用基于椭圆曲线的加密算法及签名，提高了认证系统的加密效率，并且也确保了安全性，进一步提高了用户的使用体验。

以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后，技术人员可以对本发明作各种改动或修改，这些等效变化和修饰同样落入本发明方法权利要求所限定的范围。

Claims (4)

1.一种面向多安全等级虚拟桌面安全认证系统，其特征在于：包括客户端、安全认证中心及多安全等级虚拟桌面服务器，其中，客户端与安全认证中心相连接，所述安全认证中心与多安全等级虚拟桌面服务器相连接；

所述安全认证中心包括用户身份认证模块M1、用户行为侦测模块M2、关系映射模块M3、数据安全转发模块M4及令牌生成模块M5；其中客户端分别与用户身份认证模块M1及数据安全转发模块M4相连接，用户身份认证模块M1分别与用户行为侦测模块M2、关系映射模块M3相连接，关系映射模块M3与令牌生成模块M5相连接，用户行为侦测模块M2与关系映射模块M3及数据安全转发模块M4相连接，所述数据安全转发模块M4与多安全等级虚拟桌面服务器相连接进行数据安全转发；所述用户身份认证模块M1用于对客户端用户发出的安全认证请求进行验证，并为用户生成身份特征码，其中身份特征码是用户注册时根据用户的角色、权限生成；所述用户行为侦测模块M2用于对用户验证成功后在虚拟桌面服务器上的操作行为进行数据统计；所述关系映射模块M3用于存储通过了认证的用户的行为属性与密级虚拟桌面属性的对应关系；所述数据安全转发模块M4用于转发用户的安全认证请求给所述多安全等级虚拟桌面服务器；所述令牌生成模块M5用于对验证通过后的用户生成令牌，用户根据令牌访问所述多安全等级虚拟桌面服务器。

2.一种基于权利要求1所述系统的虚拟桌面安全认证方法，其特征在于包括以下步骤：

201、用户通过客户端输入用户ID、口令和密级虚拟桌面等级grade，然后安全认证中心对用户进行初步认证，初步认证成功后用户与安全认证中心建立连接，安全认证中心为用户分发安全认证中心公钥、服务器公钥，其中安全认证中心公钥在安全认证中心，服务器公钥在服务器；

202、用户输入用户身份特征码FC，利用步骤201中分发到的安全认证中心公钥，并通过动态口令牌获取随机数k及用户密钥，客户端生成加密签名；然后发送所述加密签名及加密消息M到安全认证中心；

203、所述安全认证中心验证用户的加密签名和认证用户身份，如果验证通过则提取用户行为属性，发送并存储到关系映射模块，并通过令牌生成模块M5生成特征码令牌tiket_FC与等级令牌tiket_grade，返回给用户；所述关系映射模块M3用于存储通过了认证的用户的行为属性与密级虚拟桌面属性的对应关系；

204、用户收到特征码令牌tiket_FC与等级令牌tiket_grade后，用户向多安全等级虚拟桌面服务器发送访问请求签名，若验证合法则多安全等级虚拟桌面服务器选取随机数θ，结合tiket_FC生成第一令牌subtiket_S->AC，返回密级网络属性、第一令牌subtiket_S->AC给安全认证中心；

205、安全认证中心获取服务器密级网络属性对应的用户行为属性向量A_S＝(a₁,...,a_t)，并根据用户异常行为统计值H_class(1),H_class(2),...,H_class(t)，计算用户异常行为统计值权重如果大于门限值T1，则安全认证中心生成第二令牌subtiket_AC->C，发送第二令牌subtiket_AC->C到多安全等级虚拟桌面服务器，计算出第一令牌subtiket_S->AC与第二令牌subtiket_AC->C的哈希值hash(subtiket_S->AC||subtiket_AC->C)，并通过安全认证中心加密后发送至用户，用户解密获取hash(subtiket_S->AC||subtiket_AC->C)，依据此hash值请求访问对应的多安全等级虚拟桌面服务器；

206、当用户要切换访问同种密级或者不同密级虚拟桌面服务器时，安全认证中心读取用户角色与密级虚拟桌面服务器的映射关系是否满足，若满足，则计算跨域行为权重，超过设定的门限值T2，则生成切换令牌subtiket'_AC->C，发送subtiket'_AC->C至多安全等级虚拟桌面服务器，并发送第一令牌subtiket_S->AC与第二令牌subtiket_AC->C、切换令牌subtiket'_AC->C哈希运算后的哈希值hash(subtiket_S->AC||subtiket_AC->C||subtiket'_AC->C)给用户，用户根据此hash值向多安全等级虚拟桌面服务器提出访问请求，完成切换访问。

3.根据权利要求2所述的虚拟桌面安全认证方法，其特征在于：步骤206中所述跨域行为权重其中T₁到T_n为n次用户成功登录系统后产生的跨域行为统计，tim₁到tim_n为对应的时间值，υ₁、υ₂为权重值，相加之和为1。

4.根据权利要求2所述的虚拟桌面安全认证方法，其特征在于：步骤202中采用改进的基于椭圆曲线的数字签名进行加密签名。