阅读说明：本技术 一种云环境中的身份认证登录方法 (Identity authentication login method in cloud environment ) 是由 钱京 陆道如 崔可 于 2019-09-23 设计创作，主要内容包括：本发明涉及一种云环境中的身份认证登录方法,在云终端用户在访问云服务器中的虚拟机之前,首先要经过身份认证,认证通过后,云服务器端的连接请求监听模块将访问统一用户管理模块,根据用户授权情况决定用户是否具有访问所需虚拟桌面资源的权限,这样提高了云终端用户登录云端的安全性。本发明还涉及一种云环境中的身份认证系统,并且使用本发明的方法和系统可以验证用户身份的合法性,并提供安全数据传输通道。(The invention relates to an identity authentication login method in a cloud environment, wherein before a cloud terminal user accesses a virtual machine in a cloud server, identity authentication is firstly carried out, after the authentication is passed, a connection request monitoring module at a cloud server end accesses a unified user management module, and whether the user has the authority of accessing required virtual desktop resources is determined according to the user authorization condition, so that the security of the cloud terminal user in logging in a cloud is improved. The invention also relates to an identity authentication system in the cloud environment, and the method and the system can verify the validity of the user identity and provide a secure data transmission channel.)

一种云环境中的身份认证登录方法

技术领域

本发明涉及云安全领域，特别是涉及一种云环境中的身份认证登录方法。

背景技术

云计算是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。云平台提供基于云计算的服务，提供云平台的是供应商，客户享受供应商提供的云平台的服务，从而使客户不必构建自己公司的基础设施，完全可以依靠云平台来创建新的镜像实例。

尽管云计算提供了许多优点，但数据安全性是主要关注。特别地，期望在云环境内部署其企业应用的公司经常保持并管理与这种应用相关联的重要业务信息。当在云中部署这些应用时，该重要业务信息必然暴露给云计算服务提供商。结果，该业务信息处于风险中，因为云计算环境根据其本质将信息置于云计算服务提供商的管理控制内。尽管可能存在技术和法律保护，但无法绝对确保业务信息的完整性、保密性和隐私性。仅作为一个示例场景，如果云服务提供商被获取，则企业业务信息会暴露给第三方，甚至是潜在竞争者。这是不合理的。

目前，云计算技术得到普遍应用，云计算的弹性分配资源和按需接入也带来诸多的安全问题：一是动态安全边界导致防护愈加困难；二是身份易遭冒用，容易遭受中间人攻击。身份认证是安全防护系统的主要攻击点，是安全系统对外暴露的攻击面。因此，云环境下身份认证系统中的安全设计显得尤为重要。

在云环境的现有技术中，如何更有效的进行身份认证，是一个亟待解决的问题。

发明内容

这个部分提供了本公开的一般概要，而不是其全部范围或其全部特征的全面披露。

本公开的目的在于提供一种云环境中的身份认证登录方法，该方法包括如下步骤：

(1)当用户***USBkey时，自动触发USBkey监控模块，用户输入PIN码在本地验证通过后，登录云终端的操作系统，并在进入云终端操作系统后，发起连接云服务端的请求；

(2)通过云服务器端的连接监听子模块获取连接请求信息，并由SSL解密模块解密，验证云终端是否为授权终端，如果验证通过，则通过连接应答模块将连接信息发送到云终端，完成云终端与云服务器的连接；

在连接成功后，进行用户身份合法性和有效性验证，确认该用户是否可以登录云服务器安全虚拟系统；

(3)在虚拟机管理模块激活后，根据用户需求和虚拟机资源情况给云终端用户下发虚拟机对应的虚拟桌面；

(4)在显示虚拟桌面后，通过虚拟机将增强RDP模块直接与云终端建立安全连接，实现云终端的外设虚拟映射，完成云终端用户安全登录虚拟桌面。

其中，在登录云终端操作系统时，检测到USBkey***时，云终端自动激活USBkey监控模块，并且通过USBkey监控模块调用证书获取模块获取用户个人数字证书，同时控制显示登录验证界面。

优选的，通过安全认证模块根据所述用户信息和用户个人数字证书信息对用户身份进行认证，当身份认证通过后，通过连接应答模块将认证成功消息发送到云终端，同时，激活云服务器端的虚拟机管理模块。

其中，当云终端接收到虚拟机资源后，通过USBkey监控模块提取其中虚拟机对应的虚拟桌面，并进行显示。

优选的，步骤(4)具体为：断开连接请求模块和连接应答模块之间的连接，随后，提取虚拟机资源中的虚拟机信息，并根据上述信息建立增强RDP模块直接与云终端中连接请求模块的安全连接。

本发明还提供一种云环境中的身份认证登录方法，该方法应用于云服务器端，该方法包括如下步骤：

(1)通过云服务器端的连接监听子模块获取连接请求信息，并由SSL解密模块解密，验证云终端是否为授权终端，如果验证通过，则通过连接应答模块将连接信息发送到云终端，完成云终端与云服务器的连接，在连接成功后，进行用户身份合法性和有效性验证，确认该用户是否可以登录云服务器安全虚拟系统；

(2)在虚拟机管理模块激活后，根据用户需求和虚拟机资源情况给云终端用户下发虚拟机对应的虚拟桌面；

(3)在显示虚拟桌面后，通过虚拟机将增强RDP模块直接与云终端建立安全连接，实现云终端的外设虚拟映射，完成云终端用户安全登录虚拟桌面。

本发明还提供一种云环境中的身份认证登录系统，该系统实现本发明的云环境中的身份认证方法；该系统包括云终端、云服务器端和USBkey；

其中云终端中包括证书获取模块、USBkey监控模块、SSL加密模块和连接请求模块；

云服务器端包括安全认证模块、统一用户管理模块、SSL解密模块、连接应答模块、CA模块、虚拟机管理模块、增强RDP模块。

优选的，云终端中所述证书获取模块用于获取用户个人数字证书，并发送到USBkey监控模块；

所述USBkey监控模块用于根据证书获取模块发送用户个人数字证书进行云终端用户身份认证，并且提取虚拟机桌面信息进行显示控制；

所述SSL加密模块用于对连接请求信息进行加密，并将加密信息发送到连接请求模块；

所述连接请求模块用于与云服务器端的连接应答模块建立连接，并随后与云服务器端的增强RDP模块建立连接，完成数据安全交互。

优选的，云服务器端中所述安全认证模块用于对云终端进行安全认证，并在云终端的安全认证通过后，对用户进行身份认证；

所述统一用户管理模块用于存储和获取云终端对应的用户信息，并发送到CA模块；

所述SSL解密模块用于接收连接应答模块的加密信息并进行解密，将获取的解密信息发送到CA模块或者安全认证模块；

所述连接应答模块用于与云终端的连接请求模块建立连接，完成认证或者其他数据的安全交互；

所述CA模块用于根据用户个人数字证书获取用户信息，并将证书和用户信息发送到安全认证模块；

所述虚拟机管理模块用于存储和获取虚拟机资源信息，并生成对应的列表，以及将该列表发送到云终端；

所述增强RDP模块用于与云终端建立安全连接，实现虚拟桌面的安全登录和数据交互。

优选的，所述虚拟机管理模块还用于建立增强RDP模块直接与云终端中连接请求模块的安全连接。

有益效果：云终端用户在访问云服务器中的虚拟机之前，首先要经过身份认证，认证通过后，云服务器端的连接请求监听模块将访问统一用户管理模块，根据用户授权情况决定用户是否具有访问所需虚拟桌面资源的权限，这样提高了云终端用户登录云端的安全性，并且使用本发明的方法和系统可以验证用户身份的合法性，并提供安全数据传输通道。

从在此提供的描述中，进一步的适用性区域将会变得明显。这个概要中的描述和特定例子只是为了示意的目的，而不旨在限制本公开的范围。

附图说明

在此描述的附图只是为了所选实施例的示意的目的而非全部可能的实施，并且不旨在限制本公开的范围。在附图中：

图1是云环境中的身份认证方法流程图一；

图2是云环境中的身份认证方法流程图二；

图3是云环境中的身份认证系统示意图。

虽然本公开容易经受各种修改和替换形式，但是其特定实施例已作为例子在附图中示出，并且在此详细描述。然而应当理解的是，在此对特定实施例的描述并不打算将本公开限制到公开的具体形式，而是相反地，本公开目的是要覆盖落在本公开的精神和范围之内的所有修改、等效和替换。要注意的是，贯穿几个附图，相应的标号指示相应的部件。

具体实施方式

现在参考附图来更加充分地描述本公开的例子。以下描述实质上只是示例性的，而不旨在限制本公开、应用或用途。

提供了示例实施例，以便本公开将会变得详尽，并且将会向本领域技术人员充分地传达其范围。阐述了众多的特定细节如特定部件、装置和方法的例子，以提供对本公开的实施例的详尽理解。对于本领域技术人员而言，不需要使用特定的细节，示例实施例可以用许多不同的形式来实施，它们都不应当被解释为限制本公开的范围。在某些示例实施例中，没有详细地描述众所周知的过程、众所周知的结构和众所周知的技术。

下面将对本公开内容所提出的技术问题进行详细说明。需要注意的，该技术问题仅是示例性的，目的不在于限制本发明的应用。

本发明提供一种云环境中的身份认证登录方法，在云终端中部署证书获取模块、USBkey监控模块、SSL加密模块和连接请求模块；在云服务器端中部署安全认证模块、统一用户管理模块、SSL解密模块、连接应答模块、CA模块、虚拟机管理模块、增强RDP模块来实现云终端用户登录云服务器身份认证。

如图1所示，该方法包括如下步骤：

(1)当用户***USBkey时，自动触发USBkey监控模块，用户输入PIN码在本地验证通过后，登录云终端的操作系统，并在进入云终端操作系统后，发起连接云服务端的请求。

具体为：在登录云终端操作系统之前，云终端完成接入初始化工作，即完成终端入网注册和USBkey相关的用户个人数字证书注册。

在登录云终端操作系统时，检测到USBkey***时，云终端自动激活USBkey监控模块，并且通过USBkey监控模块调用证书获取模块获取用户个人数字证书，同时控制显示登录验证界面。用户在界面中输入PIN码后，USBkey监控模块获取该PIN码以及证书获取模块发送的用户个人数字证书，完成在本地进行登录云终端的身份认证。

进入云终端操作系统后，连接请求模块发起连接云服务端的请求，并且代填证书和云终端信息，形成连接请求信息，并由SSL模块将连接请求信息加密后发送到云服务器端。所述连接请求信息中包括用户证书信息、客户端信息(IP地址、机器码)等。

(2)通过云服务器端的连接监听子模块获取连接请求信息，并由SSL解密模块解密，验证云终端是否为授权终端，如果验证通过，则通过连接应答模块将连接信息发送到云终端，完成云终端与云服务器的连接。在连接成功后，进行用户身份合法性和有效性验证，确认该用户是否可以登录云服务器安全虚拟系统。

具体为：

在云服务器端接收到加密的连接请求信息后，首先进行云终端的认证，即由所述SSL解密模块解密加密的连接请求信息，仅得到客户端信息，并发送到安全认证模块中。随后，由安全认证模块根据上述客户端信息验证云终端是否为授权终端，如果验证通过，则通过连接应答模块将连接信息发送到云终端的连接请求模块，完成云终端与云服务器的连接，并通过所述连接请求模块和连接应答模块实现后续部分数据的交互。

只有当用户所在的云终端认证通过后，由所述SSL解密模块解析出用户个人数字证书信息，并将所述用户个人数字证书信息发送到CA模块。随后，通过用户个人数字证书信息将CA模块关联到统一用户管理模块，获取用户信息，并将所述用户信息和用户个人数字证书信息一起发送到安全认证模块。

通过安全认证模块根据所述用户信息和用户个人数字证书信息对用户身份进行认证，当身份认证通过后，通过连接应答模块将认证成功消息发送到云终端，同时，激活云服务器端的虚拟机管理模块。

(3)在虚拟机管理模块激活后，根据用户需求和虚拟机资源情况给云终端用户下发虚拟机对应的虚拟桌面。

具体为：在用户成功登录云服务器安全虚拟系统后，云服务器端向云终端发送安全虚拟系统界面，并通过虚拟机管理模块获取一个或者多个虚拟机资源信息，并形成虚拟机资源列表。随后，将所述虚拟机资源列表通过连接应答模块发送到云终端，并在所述安全虚拟系统界面上显示。

用户根据需求从列表中选择一个虚拟机资源，并生成用户选择指令，通过连接请求模块发送到云服务器端。在接收到所述用户选择指令后，通过虚拟机管理模块获取对应的虚拟机资源，并发送到云终端。当云终端接收到虚拟机资源后，通过USBkey监控模块提取其中虚拟机对应的虚拟桌面，并进行显示。

(4)在显示虚拟桌面后，通过虚拟机将增强RDP模块直接与云终端建立安全连接，实现云终端的外设虚拟映射，完成云终端用户安全登录虚拟桌面。

具体为：在云终端上显示虚拟桌面后，用户可以进行操作。同时，断开连接请求模块和连接应答模块之间的连接，随后，所述USBkey监控模块提取虚拟机资源中的虚拟机信息，并根据上述信息建立增强RDP模块直接与云终端中连接请求模块的安全连接。

本发明还提供一种云环境中的身份认证登录方法,该方法应用于云服务器端。

如图2所示，该方法包括如下步骤：

(1)通过云服务器端的连接监听子模块获取连接请求信息，并由SSL解密模块解密，验证云终端是否为授权终端，如果验证通过，则通过连接应答模块将连接信息发送到云终端，完成云终端与云服务器的连接。在连接成功后，进行用户身份合法性和有效性验证，确认该用户是否可以登录云服务器安全虚拟系统。

具体为：

在云服务器端接收到加密的连接请求信息后，首先进行云终端的认证，即由所述SSL解密模块解密加密的连接请求信息，仅得到客户端信息，并发送到安全认证模块中。随后，由安全认证模块根据上述客户端信息验证云终端是否为授权终端，如果验证通过，则通过连接应答模块将连接信息发送到云终端的连接请求模块，完成云终端与云服务器的连接，并通过所述连接请求模块和连接应答模块实现后续部分数据的交互。

只有当用户所在的云终端认证通过后，由所述SSL解密模块解析出用户个人数字证书信息，并将所述用户个人数字证书信息发送到CA模块。随后，通过用户个人数字证书信息将CA模块关联到统一用户管理模块，获取用户信息，并将所述用户信息和用户个人数字证书信息一起发送到安全认证模块。

通过安全认证模块根据所述用户信息和用户个人数字证书信息对用户身份进行认证，当身份认证通过后，通过连接应答模块将认证成功消息发送到云终端，同时，激活云服务器端的虚拟机管理模块。

(2)在虚拟机管理模块激活后，根据用户需求和虚拟机资源情况给云终端用户下发虚拟机对应的虚拟桌面。

具体为：在用户成功登录云服务器安全虚拟系统后，云服务器端向云终端发送安全虚拟系统界面，并通过虚拟机管理模块获取一个或者多个虚拟机资源信息，并形成虚拟机资源列表。随后，将所述虚拟机资源列表通过发送到连接应答模块发送到云终端，并在所述安全虚拟系统界面上显示。

用户根据需求从列表中选择一个虚拟机资源，并生成用户选择指令，通过连接请求模块发送到云服务器端。在接收到所述用户选择指令后，通过虚拟机管理模块获取对应的虚拟机资源，并发送到云终端。当云终端接收到虚拟机资源后，通过USBkey监控模块提取其中虚拟机对应的虚拟桌面，并进行显示。

(3)在显示虚拟桌面后，通过虚拟机将增强RDP模块直接与云终端建立安全连接，实现云终端的外设虚拟映射，完成云终端用户安全登录虚拟桌面。

具体为：在云终端上显示虚拟桌面后，用户可以进行操作。同时，断开连接请求模块和连接应答模块之间的连接，随后，所述云服务器端的虚拟机管理模块提取虚拟机资源中的虚拟机信息，并根据上述信息建立增强RDP模块直接与云终端中连接请求模块的安全连接。

本发明还提供一种云环境中的身份认证登录系统，如图3所示，该系统包括云终端、云服务器端和USBkey。

其中云终端中包括证书获取模块、USBkey监控模块、SSL加密模块和连接请求模块。

云服务器端包括安全认证模块、统一用户管理模块、SSL解密模块、连接应答模块、CA模块、虚拟机管理模块、增强RDP模块。

其中云终端中所述证书获取模块用于获取用户个人数字证书，并发送到USBkey监控模块。

所述USBkey监控模块用于根据证书获取模块发送用户个人数字证书进行云终端用户身份认证，并且提取虚拟机桌面信息进行显示控制。

所述SSL加密模块用于对连接请求信息进行加密，并将加密信息发送到连接请求模块。

所述连接请求模块用于与云服务器端的连接应答模块建立连接，并随后与云服务器端的增强RDP模块建立连接，完成数据安全交互。

其中云服务器端所述安全认证模块用于对云终端进行安全认证，并在云终端的安全认证通过后，对用户进行身份认证。

所述统一用户管理模块用于存储和获取云终端对应的用户信息，并发送到CA模块。

所述SSL解密模块用于接收连接应答模块的加密信息并进行解密，将获取的解密信息发送到CA模块或者安全认证模块。

所述连接应答模块用于与云终端的连接请求模块建立连接，完成认证或者其他数据的安全交互。

所述CA模块用于根据用户个人数字证书获取用户信息，并将证书和用户信息发送到安全认证模块。

所述虚拟机管理模块用于存储和获取虚拟机资源信息，并生成对应的列表，以及将该列表发送到云终端。

所述虚拟机管理模块还用于建立增强RDP模块直接与云终端中连接请求模块的安全连接。

所述增强RDP模块用于与云终端建立安全连接，实现虚拟桌面的安全登录和数据交互。

该系统中各个模块的具体交互如下：

在登录云终端操作系统之前，云终端完成接入初始化工作，即完成终端入网注册和USBkey相关的用户个人数字证书注册。

在登录云终端操作系统时，检测到USBkey***时，云终端自动激活USBkey监控模块，并且通过USBkey监控模块调用证书获取模块获取用户个人数字证书，同时控制显示登录验证界面。用户在界面中输入PIN码后，USBkey监控模块获取该PIN码以及证书获取模块发送的用户个人数字证书，完成在本地进行登录云终端的身份认证。

进入云终端操作系统后，连接请求模块发起连接云服务端的请求，并且代填证书和云终端信息，形成连接请求信息。SSL模块将连接请求信息加密后发送到云服务器端。所述连接请求信息中包括用户证书信息、客户端信息(IP地址、机器码)等。

云服务器端接收到加密的连接请求信息后，首先进行云终端的认证，即所述SSL解密模块解密加密的连接请求信息，仅得到客户端信息，并发送到安全认证模块中。随后，安全认证模块根据上述客户端信息验证云终端是否为授权终端，如果验证通过，则通过连接应答模块将连接信息发送到云终端的连接请求模块，完成云终端与云服务器的连接，并通过所述连接请求模块和连接应答模块实现后续部分数据的交互。

所述SSL解密模块只有当用户所在的云终端认证通过后，才解析出用户个人数字证书信息，并将所述用户个人数字证书信息发送到CA模块。随后，CA模块通过用户个人数字证书信息将自身关联到统一用户管理模块，获取用户信息，并将所述用户信息和用户个人数字证书信息一起发送到安全认证模块。

安全认证模块根据所述用户信息和用户个人数字证书信息对用户身份进行认证。当身份认证通过后，连接应答模块将认证成功消息发送到云终端，同时，激活云服务器端的虚拟机管理模块。

云服务器端在用户成功登录云服务器安全虚拟系统后，向云终端发送安全虚拟系统界面。虚拟机管理模块获取一个或者多个虚拟机资源信息，并形成虚拟机资源列表。随后，将所述虚拟机资源列表通过发送到连接应答模块发送到云终端，并在所述安全虚拟系统界面上显示。

用户根据需求从列表中选择一个虚拟机资源，并生成用户选择指令，通过连接请求模块发送到云服务器端。虚拟机管理模块在接收到所述用户选择指令后，获取对应的虚拟机资源，并发送到云终端。USBkey监控模块在云终端接收到虚拟机资源后，提取其中虚拟机对应的虚拟桌面，并进行显示。

在云终端上显示虚拟桌面后，用户可以进行操作。同时，云终端断开连接请求模块和连接应答模块之间的连接，随后，所述虚拟机管理模块提取虚拟机资源中的虚拟机信息，并根据上述信息建立增强RDP模块直接与云终端中连接请求模块的安全连接。

以上参照附图描述了本公开的优选实施例，但是本公开当然不限于以上示例。本领域技术人员可在所附权利要求的范围内得到各种变更和修改，并且应理解这些变更和修改自然将落入本公开的技术范围内。

例如，在以上实施例中包括在一个单元中的多个功能可以由分开的装置来实现。替选地，在以上实施例中由多个单元实现的多个功能可分别由分开的装置来实现。另外，以上功能之一可由多个单元来实现。无需说，这样的配置包括在本公开的技术范围内。

在该说明书中，流程图中所描述的步骤不仅包括以所述顺序按时间序列执行的处理，而且包括并行地或单独地而不是必须按时间序列执行的处理。此外，甚至在按时间序列处理的步骤中，无需说，也可以适当地改变该顺序。

以上虽然结合附图详细描述了本公开的实施例，但是应当明白，上面所描述的实施方式只是用于说明本公开，而并不构成对本公开的限制。对于本领域的技术人员来说，可以对上述实施方式作出各种修改和变更而没有背离本公开的实质和范围。因此，本公开的范围仅由所附的权利要求及其等效含义来限定。