一种云桌面认证方法、装置、电子设备和可读存储介质
技术领域
本发明涉及云桌面认证技术领域,尤其涉及一种云桌面认证方法、装置、电子设备和可读存储介质。
背景技术
云桌面又称桌面虚拟化、云电脑,是替代传统电脑的一种新模式;采用云桌面后,用户无需再购买电脑主机,主机所包含的CPU、内存、硬盘等组件全部在后端的服务器中虚拟出来,单台高性能服务器可以虚拟1-50台不等的虚拟主机;前端设备主流的是采用瘦客户机(与电视机顶盒类似的设备)连接显示器和键鼠,用户安装客户端后通过特有的通信协议访问后端服务器上的虚拟机主机来实现交互式操作,达到与电脑一致的体验效果;同时,云桌面不仅支持用于替换传统电脑,还支持手机、平板等其他智能设备在互联网上访问,也是移动办公的最新解决方案。
现有云桌面身份认证通常采用域账号进行认证,需要经过云桌面身份认证系统、虚拟机操作系统2重身份认证,需要至少输入2次账号密码,用户使用体验较差。而且验证过程中,缺乏对云桌面身份认证系统服务器的身份认证,存在认证系统服务器被冒充身份的安全风险。
发明内容
本发明提供了一种云桌面认证方法、装置、电子设备和可读存储介质,用于解决现有云桌面身份认证方法需要经过云桌面身份认证系统、虚拟机操作系统2重身份认证,需要至少输入2次账号密码,用户使用体验较差的技术问题。
本发明提供了一种云桌面认证方法,涉及瘦终端、身份认证系统、虚拟机和云桌面认证网关与域控服务器;所述瘦终端具有身份令牌;所述的方法包括:
当用户进行云桌面登录时,所述身份认证系统接收所述瘦终端发送的认证请求;
所述身份认证系统基于所述认证请求,向所述云桌面认证网关发送所述认证请求对应的绑定信息;所述绑定信息包括用户数据证书和域账号;
所述云桌面认证网关将所述绑定信息发送至所述域控服务器进行域认证;
当认证通过时,所述云桌面认证网关获取所述绑定信息对应的虚拟机信息,并将所述虚拟机信息发送至所述瘦终端;所述瘦终端用于基于所述虚拟机信息将所述身份令牌发送至所述虚拟机;
所述身份认证系统接收所述虚拟机发送的所述身份令牌,并对所述身份令牌进行认证,当认证通过时,向所述虚拟机发送所述绑定信息;
所述虚拟机将所述绑定信息发送至所述域控服务器进行域认证,当认证通过时,向所述瘦终端返回认证结果。
可选地,所述认证请求中携带有用户身份信息;所述身份认证系统基于所述认证请求,向所述云桌面认证网关发送所述认证请求对应的绑定信息的步骤,包括:
所述身份认证系统响应所述认证请求,对所述用户身份信息进行身份认证,当认证通过时,向所述云桌面认证网关发送所述用户身份信息对应的绑定信息。
可选地,所述身份认证系统包括认证网关和认证中心;所述身份认证系统响应所述认证请求,对所述用户身份信息进行身份认证,当认证通过时,向所述云桌面认证网关发送所述用户身份信息对应的绑定信息的步骤,包括:
所述身份认证系统通过所述认证网关对所述用户身份信息进行身份认证;
当认证通过时,通过所述认证网关从所述认证中心获取所述用户身份信息对应的绑定信息,并向所述云桌面认证网关发送所述绑定信息。
可选地,还包括:
所述瘦终端接收所述身份认证系统基于所述认证请求返回的认证网关数字证书,并对所述认证网关数字证书进行合法性认证。
本发明还提供了一种云桌面认证装置,涉及瘦终端、身份认证系统、虚拟机和云桌面认证网关与域控服务器;所述瘦终端具有身份令牌;所述身份认证系统包括:
认证请求接收模块,用于当用户进行云桌面登录时,接收所述瘦终端发送的认证请求;
第一绑定信息发送模块,用于基于所述认证请求,向所述云桌面认证网关发送所述认证请求对应的绑定信息;所述绑定信息包括用户数据证书和域账号;
身份令牌认证模块,用于接收所述虚拟机发送的所述身份令牌,并对所述身份令牌进行认证,当认证通过时,向所述虚拟机发送所述绑定信息;
所述云桌面认证网关包括:
第二绑定信息发送模块,用于将所述绑定信息发送至所述域控服务器进行域认证;
虚拟机信息发送模块,用于当认证通过时,获取所述绑定信息对应的虚拟机信息,并将所述虚拟机信息发送至所述瘦终端;所述瘦终端用于基于所述虚拟机信息将所述身份令牌发送至所述虚拟机;
所述虚拟机包括:
第三绑定信息发送模块,用于将所述绑定信息发送至所述域控服务器进行域认证,当认证通过时,向所述瘦终端返回认证结果。
可选地,所述认证请求中携带有用户身份信息;所述第一绑定信息发送模块,包括:
第一绑定信息发送子模块,用于响应所述认证请求,对所述用户身份信息进行身份认证,当认证通过时,向所述云桌面认证网关发送所述用户身份信息对应的绑定信息。
可选地,所述身份认证系统包括认证网关和认证中心;所述第一绑定信息发送子模块,包括:
身份认证单元,用于所述身份认证系统通过所述认证网关对所述用户身份信息进行身份认证;
第一绑定信息发送单元,用于当认证通过时,通过所述认证网关从所述认证中心获取所述用户身份信息对应的绑定信息,并向所述云桌面认证网关发送所述绑定信息。
可选地,还包括:
合法性认证模块,用于所述瘦终端接收所述身份认证系统基于所述认证请求返回的认证网关数字证书,并对所述认证网关数字证书进行合法性认证。
本发明还提供了一种电子设备,包括存储器及处理器,所述存储器中储存有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如上任一项所述的云桌面认证方法的步骤。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被所述处理器执行时实现如上任一项所述的云桌面认证方法。
从以上技术方案可以看出,本发明具有以下优点:本发明在进行云桌面登录时,首先对用户身份信息进行认证,从而向云桌面认证网关发送绑定信息,使得云桌面认证网关采用该绑定信息进行域认证;当通过域认证后,云桌面向瘦终端发送虚拟机信息,使瘦终端可以向虚拟机发送身份令牌,从而使得虚拟机可以通过身份令牌进行身份认证获取绑定信息,从而通过绑定信息进行域认证。用户不需要输入登录信息即可对虚拟机进行域认证,操作简洁,用户使用体验高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种云桌面认证方法的步骤流程图;
图2为本发明实施例提供的一个云桌面认证方法的过程示意图;
图3为本发明实施例提供的一种云桌面认证装置的结构框图。
具体实施方式
本发明实施例提供了一种云桌面认证方法、装置、电子设备和可读存储介质,用于解决现有云桌面身份认证方法需要经过云桌面身份认证系统、虚拟机操作系统2重身份认证,需要至少输入2次账号密码,用户使用体验较差的技术问题。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,图1为本发明实施例提供的一种云桌面认证方法的步骤流程图。
本发明提供的一种云桌面认证方法,涉及瘦终端、身份认证系统、虚拟机和云桌面认证网关与域控服务器;所述瘦终端具有身份令牌;所述的方法包括:
步骤101,当用户进行云桌面登录时,身份认证系统接收瘦终端发送的认证请求;
云桌面又称桌面虚拟化、云电脑,是替代传统电脑的一种新模式;采用云桌面后,用户无需再购买电脑主机,主机所包含的CPU、内存、硬盘等组件全部在后端的服务器中虚拟出来,单台高性能服务器可以虚拟1-50台不等的虚拟主机;前端设备主流的是采用瘦客户机(与电视机顶盒类似的设备)连接显示器和键鼠,用户安装客户端后通过特有的通信协议访问后端服务器上的虚拟机主机来实现交互式操作,达到与电脑一致的体验效果;同时,云桌面不仅支持用于替换传统电脑,还支持手机、平板等其他智能设备在互联网上访问,也是移动办公的最新解决方案。
在本发明实施例中,首先需要建立密码算法数字证书资源池,为每位用户分配一个密码算法数字证书并存在密码钥匙中。数字证书包含一组密码算法公钥、私钥,并与用户域账号进行一对一绑定。
用户可以通过密码钥匙经由瘦终端登录云桌面;在登录云桌面的过程中,需要对云桌面认证并向认证网关发出认证请求,用以对用户进行身份验证。
步骤102,身份认证系统响应认证请求,向云桌面认证网关发送认证请求对应的绑定信息;绑定信息包括用户数据证书和域账号;
身份认证系统接收到认证请求后,可以响应认证请求,对用户进行身份认证,当认证通过时,向云桌面认证网关发送包含用户数据证书和域账号的绑定信息。
在一个示例中,认证请求中携带有用户身份信息,身份认证系统可以对用户身份信息进行验证,具体可以通过将用户身份信息与保存在身份认证系统的用户身份信息进行匹配,若匹配成功,则身份认证通过,通过用户身份信息获取对应的用户数字证书和域账号绑定信息发送至云桌面认证网关,使得云桌面认证网关可基于该绑定信息进行域认证。
进一步地,身份认证系统可以包括认证网关和认证中心,身份认证系统可以通过认证网关对用户身份信息进行身份认证,当认证通过时,可以通过认证网关从认证中心处获取用户身份信息对应的用户数字证书和域账号绑定信息,并将用户数字证书和域账号绑定信息发送给云桌面网关,使得云桌面认证网关可基于该绑定信息进行域认证。
在本发明实施例中,当瘦终端向身份认证系统发送认证请求的同时,还可以接收身份认证系统基于认证请求返回的认证网关数字证书,以对该认证网关数字证书进行合法性认证。
具体地,瘦终端上部署有认证客户端,数字证书中携带有认证中心的认证地址、认证方式,认证客户端接收到认证网关的数字证书后,可以通过数字证书中携带的认证地址、认证方式,按照非对称加密算法的认证流程向认证中心申请验证并获取验证结果。
本发明实施例在通过认证网关对瘦终端的登录信息进行验证的同时,通过瘦终端上的认证客户端对认证网关进行合法性认证,可以有效检测认证网关是否被冒充,从而避免信息泄露的风险。
步骤103,云桌面认证网关将绑定信息发送至域控服务器进行域认证;
在发明实施例中,云桌面认证网关接收到用户数字证书和域账号绑定信息后,可以将用户数字证书和域账号绑定信息发送至域控服务器进行域认证,完成云桌面认证网关的身份认证。
步骤104,当认证通过时,云桌面认证网关获取绑定信息对应的虚拟机信息,并将虚拟机信息发送至瘦终端;瘦终端用于基于虚拟机信息将身份令牌发送至虚拟机;
在本发明实施例中,当域控服务器通过对云桌面认证网关发送的用户数字证书和域账号的认证后,可以获取虚拟机信息,并将虚拟机信息发送至瘦终端,使得瘦终端可以建立与虚拟机信息对应的虚拟机的连接,从而使得瘦终端可以将身份令牌发送给虚拟机。通过这种方式,使得用户不用重新输入登录信息,使得操作更为简便。
步骤105,身份认证系统接收虚拟机发送的身份令牌,并对身份令牌进行认证,当认证通过时,向虚拟机发送绑定信息;
步骤106,虚拟机将绑定信息发送至域控服务器进行域认证,并向瘦终端返回认证结果。
在本发明实施例中,虚拟机接收到身份令牌后,可以向身份认证系统的认证中心发送身份令牌进行身份认证,当认证通过后,身份认证系统向虚拟机发送用户数字证书和域账号绑定信息,使得虚拟机可以将用户数字证书和域账号绑定信息发送至域控服务器进行域认证。域控服务器接收到用户数字证书和域账号绑定信息后,核对用户账号和密码,若用户账号和密码无误,则验证通过,向终端返回验证通过结果,用户成功登录到虚拟机操作系统,完成完整的身份认证。
本发明在进行云桌面登录时,首先对用户身份信息进行认证,从而向云桌面认证网关发送绑定信息,使得云桌面认证网关采用该绑定信息进行域认证;当通过域认证后,云桌面向瘦终端发送虚拟机信息,使瘦终端可以向虚拟机发送身份令牌,从而使得虚拟机可以通过身份令牌进行身份认证获取绑定信息,从而通过绑定信息进行域认证。用户不需要输入登录信息即可对虚拟机进行域认证,操作简洁,用户使用体验高。
为便于理解,以下通过具体示例对本发明实施例进行说明:
请参阅图2,图2为本发明实施例提供的一个云桌面认证方法的过程示意图;
在进行身份认证之前,首先需要完成以下前期工作:
建立密码算法数字证书资源池,为每位用户分配一个密码算法数字证书,并存储在密码钥匙中,数字证书包含一组密码算法公钥、私钥,并与用户域账号进行一对一绑定。
为认证网关分配并安装密码算法密码卡,其中包含唯一的数字证书。
在瘦终端、虚拟机操作系统安装安全客户端,替换操作系统登录组件。
具体的身份认证过程如下:
1、用户在瘦终端上使用密码钥匙进行登录,向认证网关发出认证请求,同时瘦终端上的认证客户端对认证网关数字证书进行权威验证,确认认证网关的合法性;
2、认证网关校验用户身份通过后,向认证中心申请用户数字证书和域账号绑定信息;
3、认证网关将用户数字证书和域账号绑定信息发送给云桌面认证网关;
4、云桌面认证网关接收到用户数字证书和域账号绑定信息后,将用户数字证书和域账号绑定信息发送给域控服务器进行域认证;
5、域控服务器认证通过后,通知云桌面认证网关认证通过,云桌面认证网关将虚拟机信息返回给瘦终端;
6、瘦终端通过定制管道将身份令牌传送给虚拟机,使得虚拟机上安装的认证客户端获得该身份令牌;
7、虚拟机上的认证客户端将身份令牌发送到认证中心进行身份校验,获得用户数字证书和域账号绑定信息;
8、虚拟机上的认证客户端将用户数字证书和域账号绑定信息发送给域控服务器进行域认证,认证通过后,用户成功登录到虚拟机操作系统,完成最终的身份认证。
请参阅图3,图3为本发明实施例提供的一种云桌面认证装置的结构框图。
本发明提供了一种云桌面认证装置,涉及瘦终端、身份认证系统、虚拟机和云桌面认证网关与域控服务器;瘦终端具有身份令牌;身份认证系统包括:
认证请求接收模块301,用于当用户进行云桌面登录时,接收瘦终端发送的认证请求;
第一绑定信息发送模块302,用于基于认证请求,向云桌面认证网关发送认证请求对应的绑定信息;绑定信息包括用户数据证书和域账号;
身份令牌认证模块303,用于接收虚拟机发送的身份令牌,并对身份令牌进行认证,当认证通过时,向虚拟机发送绑定信息;
云桌面认证网关包括:
第二绑定信息发送模块304,用于将绑定信息发送至域控服务器进行域认证;
虚拟机信息发送模块305,用于当认证通过时,获取绑定信息对应的虚拟机信息,并将虚拟机信息发送至瘦终端;瘦终端用于基于虚拟机信息将身份令牌发送至虚拟机;
虚拟机包括:
第三绑定信息发送模块306,用于将绑定信息发送至域控服务器进行域认证,当认证通过时,向瘦终端返回认证结果。
可选地,认证请求中携带有用户身份信息;第一绑定信息发送模块302,包括:
第一绑定信息发送子模块,用于响应认证请求,对用户身份信息进行身份认证,当认证通过时,向云桌面认证网关发送用户身份信息对应的绑定信息。
可选地,身份认证系统包括认证网关和认证中心;第一绑定信息发送子模块,包括:
身份认证单元,用于身份认证系统通过认证网关对用户身份信息进行身份认证;
第一绑定信息发送单元,用于当认证通过时,通过认证网关从认证中心获取用户身份信息对应的绑定信息,并向云桌面认证网关发送绑定信息。
可选地,瘦终端包括:
合法性认证模块,用于接收身份认证系统基于认证请求返回的认证网关数字证书,并对认证网关数字证书进行合法性认证。
本发明还提供了一种电子设备,包括存储器及处理器,存储器中储存有计算机程序,计算机程序被处理器执行时,使得处理器执行如本发明任一实施例所提供的云桌面认证方法的步骤。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现如本发明任一实施例所提供的云桌面认证方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。