本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種用于桌面云門戶的安全認(rèn)證方法和裝置。

背景技術(shù)：

當(dāng)前某些大型企業(yè)員工分散，例如運(yùn)營(yíng)商營(yíng)業(yè)廳工作人員、客服人員等均分散在各地，缺乏統(tǒng)一有效的管控手段。員工所用的獨(dú)立辦公終端風(fēng)險(xiǎn)值普遍偏高，并且存在濫用情況，增加了高價(jià)值信息泄露的風(fēng)險(xiǎn)。大型企業(yè)內(nèi)各類內(nèi)部應(yīng)用(包括桌面云系統(tǒng))種類繁多，缺乏統(tǒng)一的訪問(wèn)控制平臺(tái)，隨著內(nèi)部應(yīng)用增加，用戶權(quán)限管理愈發(fā)復(fù)雜。當(dāng)需要同時(shí)對(duì)多個(gè)內(nèi)部應(yīng)用進(jìn)行操作時(shí)，用戶需多次輸入不同的帳號(hào)密碼，工作復(fù)雜度成倍增加。

相關(guān)技術(shù)針對(duì)上述問(wèn)題的解決方案，集合了以下三種：首先，針對(duì)員工分散，辦公終端難于管控的情況，目前采用桌面云技術(shù)。其次，針對(duì)企業(yè)內(nèi)部應(yīng)用繁多的情況，目前采用了4A(Authentication、Account、Authorization、Audit)統(tǒng)一安全管理平臺(tái)技術(shù)。再次，針對(duì)桌面云帳號(hào)與4A帳號(hào)不統(tǒng)一的情況，目前大多數(shù)桌面云廠商只支持基于微軟公司的活動(dòng)目錄(Active Directory，簡(jiǎn)稱AD)域控服務(wù)器進(jìn)行用戶管理和認(rèn)證的方式。然而上述相關(guān)技術(shù)存在以下缺點(diǎn)：

(1)基于互聯(lián)網(wǎng)環(huán)境的桌面云門戶安全認(rèn)證方式缺乏短信密鑰、令牌強(qiáng)認(rèn)證等安全認(rèn)證手段，存在一定的安全風(fēng)險(xiǎn)；

(2)基于桌面云帳號(hào)與4A統(tǒng)一安全管理平臺(tái)帳號(hào)同步的情況下，用戶成功登陸桌面操作系統(tǒng)后，需要二次輸入同樣的帳號(hào)和密碼，才能訪問(wèn)4A統(tǒng)一安全管理平臺(tái)門戶，進(jìn)而單點(diǎn)登錄企業(yè)內(nèi)部應(yīng)用。其步驟繁瑣，員工工作復(fù)雜度成倍增加，并存在帳號(hào)密碼多次重復(fù)輸入造成的密碼泄露隱患。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供了一種安全認(rèn)證方法和裝置，不僅提升了企業(yè)員工基于桌面云系統(tǒng)的辦公安全性，同時(shí)也降低了訪問(wèn)企業(yè)內(nèi)部應(yīng)用的復(fù)雜度，提高了員工辦公效率。

第一方面，本發(fā)明實(shí)施例提供了一種安全認(rèn)證方法，用于桌面云門戶，包括：獲取用戶輸入的賬號(hào)和密碼，將所述賬號(hào)和密碼通過(guò)桌面云控制器發(fā)送至第一服務(wù)器，以向所述第一服務(wù)器發(fā)送認(rèn)證請(qǐng)求；接收所述第一服務(wù)器發(fā)送的認(rèn)證請(qǐng)求結(jié)果；在所述認(rèn)證請(qǐng)求通過(guò)的情況下，向第二服務(wù)器發(fā)送強(qiáng)認(rèn)證請(qǐng)求以進(jìn)行強(qiáng)認(rèn)證；在所述強(qiáng)認(rèn)證通過(guò)的情況下，接收所述第二服務(wù)器發(fā)送的強(qiáng)認(rèn)證令牌；以及在所述強(qiáng)認(rèn)證令牌符合預(yù)設(shè)條件的情況下，單點(diǎn)登錄內(nèi)部應(yīng)用。

第二方面，本發(fā)明實(shí)施例提供了一種安全認(rèn)證方法，用于第一服務(wù)器，包括：接收所述桌面云門戶發(fā)送的賬號(hào)和密碼，進(jìn)行主賬號(hào)認(rèn)證，并將所述主賬號(hào)認(rèn)證結(jié)果返回至所述桌面云門戶；在所述主賬號(hào)認(rèn)證通過(guò)后，向所述第二服務(wù)器發(fā)送強(qiáng)認(rèn)證密碼請(qǐng)求；接收所述桌面云門戶發(fā)送的所述用戶在所述強(qiáng)認(rèn)證密碼輸入界面輸入的所述強(qiáng)認(rèn)證密碼，將所述強(qiáng)認(rèn)證密碼發(fā)送至所述第二服務(wù)器以進(jìn)行強(qiáng)認(rèn)證，并接收所述第二服務(wù)器返回的所述強(qiáng)認(rèn)證結(jié)果；在所述強(qiáng)認(rèn)證通過(guò)后，向所述第二服務(wù)器申請(qǐng)強(qiáng)認(rèn)證令牌，并接收所述第二服務(wù)器發(fā)送的所述強(qiáng)認(rèn)證令牌，并將所述強(qiáng)認(rèn)證令牌發(fā)送至所述桌面云門戶。

第三方面，本發(fā)明實(shí)施例提供了一種安全認(rèn)證方法，用于第二服務(wù)器，包括：與所述AD域控進(jìn)行數(shù)據(jù)同步；接收所述桌面云門戶通過(guò)所述第一服務(wù)器發(fā)送的強(qiáng)認(rèn)證請(qǐng)求以進(jìn)行強(qiáng)認(rèn)證；及在所述強(qiáng)認(rèn)證通過(guò)后，通過(guò)所述第一服務(wù)器向所述桌面云門戶發(fā)送強(qiáng)認(rèn)證令牌。

第四方面，本發(fā)明實(shí)施例提供了一種安全認(rèn)證裝置，用于桌面云門戶，認(rèn)證發(fā)送模塊，被配置為獲取用戶輸入的賬號(hào)和密碼，將所述賬號(hào)和密碼通過(guò)桌面云控制器發(fā)送至第一服務(wù)器，以向所述第一服務(wù)器發(fā)送認(rèn)證請(qǐng)求；認(rèn)證接收模塊，被配置為接收所述第一服務(wù)器發(fā)送的認(rèn)證請(qǐng)求結(jié)果；強(qiáng)認(rèn)證模塊，被配置為在所述認(rèn)證請(qǐng)求通過(guò)的情況下，向所述第二服務(wù)器發(fā)送強(qiáng)認(rèn)證請(qǐng)求以進(jìn)行強(qiáng)認(rèn)證；及令牌模塊，被配置為在所述強(qiáng)認(rèn)證通過(guò)的情況下，接收所述第二服務(wù)器發(fā)送的強(qiáng)認(rèn)證令牌；以及單點(diǎn)登錄模塊，被配置為在所述強(qiáng)認(rèn)證令牌符合預(yù)設(shè)條件的情況下，單點(diǎn)登錄內(nèi)部應(yīng)用。

第五方面，本發(fā)明實(shí)施例提供了一種安全認(rèn)證裝置，用于第一服務(wù)器，包括：主賬號(hào)認(rèn)證模塊，被配置為接收所述桌面云門戶發(fā)送的賬號(hào)和密碼，進(jìn)行主賬號(hào)認(rèn)證，并將所述主賬號(hào)認(rèn)證結(jié)果返回至所述桌面云門戶；密碼請(qǐng)求模塊，被配置為在所述主賬號(hào)認(rèn)證通過(guò)后，向所述第二服務(wù)器發(fā)送強(qiáng)認(rèn)證密碼請(qǐng)求；強(qiáng)認(rèn)證模塊，被配置為接收所述桌面云門戶發(fā)送的所述用戶在所述強(qiáng)認(rèn)證密碼輸入界面輸入的所述強(qiáng)認(rèn)證密碼，將所述強(qiáng)認(rèn)證密碼發(fā)送至所述第二服務(wù)器以進(jìn)行強(qiáng)認(rèn)證，并接收所述第二服務(wù)器返回的所述強(qiáng)認(rèn)證結(jié)果；令牌模塊，被配置為在所述強(qiáng)認(rèn)證通過(guò)后，向所述第二服務(wù)器申請(qǐng)強(qiáng)認(rèn)證令牌，并接收所述第二服務(wù)器發(fā)送的所述強(qiáng)認(rèn)證令牌，并將所述強(qiáng)認(rèn)證令牌發(fā)送至所述桌面云門戶。

第六方面，本發(fā)明實(shí)施例提供了一種安全認(rèn)證方法，用于第二服務(wù)器，包括：數(shù)據(jù)同步模塊，被配置為與所述AD域控進(jìn)行數(shù)據(jù)同步；認(rèn)證管理模塊，被配置為接收所述桌面云門戶通過(guò)所述第一服務(wù)器發(fā)送的強(qiáng)認(rèn)證請(qǐng)求以進(jìn)行強(qiáng)認(rèn)證；及令牌認(rèn)證模塊，被配置在所述強(qiáng)認(rèn)證通過(guò)后，通過(guò)所述第一服務(wù)器向所述桌面云門戶發(fā)送強(qiáng)認(rèn)證令牌。

本發(fā)明實(shí)施例提供了一種安全認(rèn)證方法和裝置，通過(guò)將桌面云帳號(hào)與4A統(tǒng)一安全管理帳號(hào)同步，實(shí)現(xiàn)帳號(hào)安全的統(tǒng)一管理；通過(guò)加入短信驗(yàn)證環(huán)節(jié)，加固基于互聯(lián)網(wǎng)環(huán)境的桌面云訪問(wèn)安全；并在短信驗(yàn)證環(huán)節(jié)中加入強(qiáng)認(rèn)證環(huán)節(jié)，提升登錄桌面云后訪問(wèn)企業(yè)內(nèi)部應(yīng)用的安全性。通過(guò)校驗(yàn)強(qiáng)認(rèn)證令牌，并進(jìn)行令牌超時(shí)控制，在令牌不過(guò)期的情況下，使用快捷登錄功能跳過(guò)4A統(tǒng)一安全管理門戶直接單點(diǎn)登錄內(nèi)部應(yīng)用，在保障安全的前提下，極大地提升了員工基于桌面云系統(tǒng)的辦公效率。

附圖說(shuō)明

從下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式的描述中可以更好地理解本發(fā)明其中，相同或相似的附圖標(biāo)記表示相同或相似的特征。

圖1為本發(fā)明一實(shí)施例中的安全認(rèn)證方法，用于桌面云門戶的流程圖；

圖2為本發(fā)明一實(shí)施例中的安全認(rèn)證方法，用于第一服務(wù)器的流程圖；

圖3為本發(fā)明一實(shí)施例中的安全認(rèn)證方法，用于第二服務(wù)器的流程圖；

圖4為本發(fā)明一實(shí)施例中的安全認(rèn)證裝置，用于桌面云門戶的結(jié)構(gòu)示意圖；

圖5為本發(fā)明一實(shí)施例中的安全認(rèn)證裝置，用于第一服務(wù)器的結(jié)構(gòu)示意圖；

圖6為本發(fā)明一實(shí)施例中的安全認(rèn)證裝置，用于第二服務(wù)器的結(jié)構(gòu)示意圖；

圖7為本發(fā)明再一實(shí)施例中基于桌面云系統(tǒng)的內(nèi)部應(yīng)用安全認(rèn)證方法示意圖；

圖8為本發(fā)明再一實(shí)施例中基于桌面云環(huán)境的強(qiáng)認(rèn)證方法示意圖；

圖9為本發(fā)明再一實(shí)施例中基于桌面云環(huán)境的虛擬機(jī)令牌注入方法示意圖；

圖10為本發(fā)明再一實(shí)施例中基于桌面云環(huán)境的統(tǒng)一安全認(rèn)證代理裝置與4A統(tǒng)一安全管理平臺(tái)交互的示意圖。

具體實(shí)施方式

下面將詳細(xì)描述本發(fā)明的各個(gè)方面的特征和示例性實(shí)施例。在下面的詳細(xì)描述中，提出了許多具體細(xì)節(jié)，以便提供對(duì)本發(fā)明的全面理解。但是，對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)很明顯的是，本發(fā)明可以在不需要這些具體細(xì)節(jié)中的一些細(xì)節(jié)的情況下實(shí)施。下面對(duì)實(shí)施例的描述僅僅是為了通過(guò)示出本發(fā)明的示例來(lái)提供對(duì)本發(fā)明的更好的理解。本發(fā)明決不限于下面所提出的任何具體配置和算法，而是在不脫離本發(fā)明的精神的前提下覆蓋了元素、部件和算法的任何修改、替換和改進(jìn)。在附圖和下面的描述中，沒(méi)有示出公知的結(jié)構(gòu)和技術(shù)，以便避免對(duì)本發(fā)明造成不必要的模糊。

圖1為本發(fā)明一實(shí)施例中的安全認(rèn)證方法，用于桌面云門戶的流程圖。如圖1所示，該方法包括以下步驟：步驟101，獲取用戶輸入的賬號(hào)和密碼，將所述賬號(hào)和密碼通過(guò)桌面云控制器發(fā)送至第一服務(wù)器，以向所述第一服務(wù)器發(fā)送認(rèn)證請(qǐng)求；步驟102，接收所述第一服務(wù)器發(fā)送的認(rèn)證請(qǐng)求結(jié)果；步驟103，在所述認(rèn)證請(qǐng)求通過(guò)的情況下，向第二服務(wù)器發(fā)送強(qiáng)認(rèn)證請(qǐng)求以進(jìn)行強(qiáng)認(rèn)證；步驟104，在所述強(qiáng)認(rèn)證通過(guò)的情況下，通過(guò)所述第一服務(wù)器接收所述第二服務(wù)器發(fā)送的強(qiáng)認(rèn)證令牌；步驟105，在所述強(qiáng)認(rèn)證令牌符合預(yù)設(shè)條件的情況下，單點(diǎn)登錄內(nèi)部應(yīng)用。

在步驟101和步驟102中，通過(guò)例如AD認(rèn)證實(shí)現(xiàn)用戶賬戶統(tǒng)一管理，用戶可隨時(shí)隨地通過(guò)互聯(lián)網(wǎng)訪問(wèn)基于桌面云系統(tǒng)的內(nèi)部應(yīng)用，從而提高業(yè)務(wù)靈活性，解決員工分散的問(wèn)題。

在步驟103至步驟105中，在例如AD認(rèn)證通過(guò)的情況下，通過(guò)強(qiáng)認(rèn)證進(jìn)一步提升登錄桌面云后訪問(wèn)企業(yè)內(nèi)部應(yīng)用的安全性，在強(qiáng)認(rèn)證通過(guò)后獲得強(qiáng)認(rèn)證令牌，以進(jìn)行二次認(rèn)證，并在二次認(rèn)證滿足預(yù)設(shè)條件的情況下，單點(diǎn)登錄桌面云系統(tǒng)內(nèi)部各應(yīng)用。使用戶成功登陸桌面云操作系統(tǒng)后，無(wú)需二次輸入同樣的帳號(hào)和密碼，直接單點(diǎn)登錄企業(yè)內(nèi)部應(yīng)用，降低用戶工作復(fù)雜度、提高用戶辦公效率；同時(shí)避免用戶帳號(hào)或密碼信息泄漏，提升網(wǎng)絡(luò)安全性。

本發(fā)明實(shí)施例提供了一種安全認(rèn)證方法和裝置，本發(fā)明中通過(guò)將桌面云帳號(hào)與4A統(tǒng)一安全管理帳號(hào)同步，實(shí)現(xiàn)帳號(hào)安全的統(tǒng)一管理；通過(guò)加入短信驗(yàn)證環(huán)節(jié)，加固基于互聯(lián)網(wǎng)環(huán)境的桌面云訪問(wèn)安全；并在短信驗(yàn)證環(huán)節(jié)中加入強(qiáng)認(rèn)證環(huán)節(jié)，提升登錄桌面云后訪問(wèn)企業(yè)內(nèi)部應(yīng)用的安全性。通過(guò)校驗(yàn)強(qiáng)認(rèn)證令牌，并進(jìn)行令牌超時(shí)控制，在令牌不過(guò)期的情況下，使用快捷登錄功能跳過(guò)4A統(tǒng)一安全管理門戶直接單點(diǎn)登錄內(nèi)部應(yīng)用，在保障安全的前提下，極大地提升了員工基于桌面云系統(tǒng)的辦公效率。

可以理解的是，步驟103可以具體實(shí)現(xiàn)為：從用戶登錄頁(yè)面獲取所述賬號(hào)和密碼，并將所述賬號(hào)和密碼發(fā)送至所述第一服務(wù)器進(jìn)行主賬號(hào)認(rèn)證，在所述主賬號(hào)認(rèn)證通過(guò)后，接收所述第一服務(wù)器發(fā)送的認(rèn)證結(jié)果；當(dāng)所述用戶登錄頁(yè)面跳轉(zhuǎn)至強(qiáng)認(rèn)證密碼輸入界面時(shí)，獲取用戶在所述強(qiáng)認(rèn)證密碼輸入界面輸入的所述強(qiáng)認(rèn)證密碼，并將所述強(qiáng)認(rèn)證密碼通過(guò)所述第一服務(wù)器發(fā)送至所述第二服務(wù)器進(jìn)行所述強(qiáng)認(rèn)證；將所述強(qiáng)認(rèn)證令牌注入所述虛擬桌面并推送至終端。

其中，桌面云門戶從用戶登錄頁(yè)面直接獲取用戶首次輸入的帳號(hào)和密碼，并將所述賬號(hào)和密碼發(fā)送至所述第一服務(wù)器進(jìn)行主賬號(hào)認(rèn)證，并在所述主賬號(hào)認(rèn)證通過(guò)后，從強(qiáng)認(rèn)證密碼輸入界面獲取用戶輸入的強(qiáng)認(rèn)證密碼，以進(jìn)行強(qiáng)認(rèn)證，在強(qiáng)認(rèn)證通過(guò)后，接收所述第二服務(wù)器通過(guò)所述第一服務(wù)器發(fā)送的強(qiáng)認(rèn)證令牌，并將所述強(qiáng)認(rèn)證令牌注入所述虛擬桌面并推送至終端。

其中，將所述強(qiáng)認(rèn)證令牌注入所述虛擬桌面并推送至終端的方式可以包括：將所述強(qiáng)認(rèn)證令牌通過(guò)加密通道發(fā)送至所述桌面云控制器，通過(guò)所述桌面云控制器發(fā)送至所述虛擬桌面。

可以理解的是，步驟105可以具體實(shí)現(xiàn)為：讀取所述虛擬桌面的身份信息；判斷所述強(qiáng)制令牌是否合法；當(dāng)判斷結(jié)果為否時(shí)，提示認(rèn)證失?。划?dāng)判斷結(jié)果為是時(shí)，進(jìn)一步判斷所述強(qiáng)制令牌是否過(guò)期；當(dāng)判斷結(jié)果為是時(shí)，直接單點(diǎn)登錄內(nèi)部應(yīng)用；當(dāng)判斷結(jié)果為否時(shí)，獲取所述用戶輸入的與所述內(nèi)部應(yīng)用對(duì)應(yīng)的賬戶和密碼及短信密鑰，并將所述與所述內(nèi)部應(yīng)用對(duì)應(yīng)的賬戶和密碼及短信密鑰發(fā)送至所述第二服務(wù)器，以用于向所述第二服務(wù)器請(qǐng)求驗(yàn)證，并在驗(yàn)證通過(guò)后，單點(diǎn)登錄所述內(nèi)部應(yīng)用。

其中，虛擬桌面的身份信息可以包括：虛擬桌面IP、DN，AD域用戶信息，所述強(qiáng)認(rèn)證令牌等；所述AD域用戶信息可以包括：公司、部門、賬號(hào)、姓名、郵箱。

圖2是根據(jù)本發(fā)明一實(shí)施例中的安全認(rèn)證方法，用于第一服務(wù)器的流程圖。如圖2所示，該方法包括以下步驟：

步驟201，接收所述桌面云門戶發(fā)送的賬號(hào)和密碼，進(jìn)行主賬號(hào)認(rèn)證，并將所述主賬號(hào)認(rèn)證結(jié)果返回至所述桌面云門戶；

步驟202，在所述主賬號(hào)認(rèn)證通過(guò)后，向所述第二服務(wù)器發(fā)送強(qiáng)認(rèn)證密碼請(qǐng)求；

步驟203，接收所述桌面云門戶發(fā)送的所述用戶在所述強(qiáng)認(rèn)證密碼輸入界面輸入的所述強(qiáng)認(rèn)證密碼，將所述強(qiáng)認(rèn)證密碼發(fā)送至所述第二服務(wù)器以進(jìn)行強(qiáng)認(rèn)證，并接收所述第二服務(wù)器返回的所述強(qiáng)認(rèn)證結(jié)果；

步驟204，在所述強(qiáng)認(rèn)證通過(guò)后，向所述第二服務(wù)器申請(qǐng)強(qiáng)認(rèn)證令牌，并接收所述第二服務(wù)器發(fā)送的所述強(qiáng)認(rèn)證令牌，并將所述強(qiáng)認(rèn)證令牌發(fā)送至所述桌面云門戶。

在步驟201中，第一服務(wù)器通過(guò)接收桌面云門戶發(fā)送的賬號(hào)和密碼，進(jìn)行主賬號(hào)認(rèn)證，并將認(rèn)證結(jié)果返回至桌面云門戶，并將驗(yàn)證結(jié)果返回至桌面云門戶。

其中，主賬號(hào)認(rèn)證中涉及的帳號(hào)和密碼例如可以為用戶在登錄頁(yè)首次輸入的帳號(hào)和密碼。

在步驟202至步驟204中，在主賬號(hào)認(rèn)證通過(guò)的情況下，第一服務(wù)器向第二服務(wù)器發(fā)送強(qiáng)認(rèn)證密碼請(qǐng)求，以進(jìn)行強(qiáng)認(rèn)證；在桌面云獲取到用戶從密碼輸入頁(yè)面輸入的強(qiáng)認(rèn)證密碼后，接收桌面云發(fā)送的所述強(qiáng)認(rèn)證密碼，并將所述強(qiáng)認(rèn)證密碼發(fā)送至第二服務(wù)器進(jìn)行驗(yàn)證，當(dāng)驗(yàn)證通過(guò)后，將第二服務(wù)器發(fā)送的令牌返回至桌面云門戶。

其中，第一服務(wù)器可以為例如Radius服務(wù)器。

圖3是根據(jù)本發(fā)明一實(shí)施例中的安全認(rèn)證方法，用于第二服務(wù)器的流程圖。如圖3所示，該方法包括以下步驟：步驟301，與所述AD域控進(jìn)行數(shù)據(jù)同步；步驟302，接收所述桌面云門戶通過(guò)所述第一服務(wù)器發(fā)送的強(qiáng)認(rèn)證請(qǐng)求以進(jìn)行強(qiáng)認(rèn)證；及步驟303，在所述強(qiáng)認(rèn)證通過(guò)后，通過(guò)所述第一服務(wù)器向所述桌面云門戶發(fā)送強(qiáng)認(rèn)證令牌。

在步驟301中，通過(guò)第二服務(wù)器與AD域控進(jìn)行數(shù)據(jù)同步，實(shí)現(xiàn)帳號(hào)安全的統(tǒng)一管理。在步驟302和步驟303中，對(duì)登錄用戶進(jìn)行強(qiáng)認(rèn)證，并在強(qiáng)認(rèn)證通過(guò)的情況下，向桌面云門戶發(fā)送強(qiáng)認(rèn)證令牌，以使桌面云門戶對(duì)用戶進(jìn)行二次驗(yàn)證。可以理解的是，步驟302可以具體實(shí)現(xiàn)為：接收所述第一服務(wù)器發(fā)送的強(qiáng)認(rèn)證密碼請(qǐng)求；向用戶發(fā)送所述強(qiáng)認(rèn)證密碼；接收所述桌面云門戶通過(guò)所述第一服務(wù)器發(fā)送的所述用戶在所述強(qiáng)認(rèn)證密碼輸入界面輸入的所述強(qiáng)認(rèn)證密碼以進(jìn)行所述強(qiáng)認(rèn)證。其中，強(qiáng)認(rèn)證密碼例如可以為第二服務(wù)器直接發(fā)送給用戶的短信密碼。其中，所述第二服務(wù)器為4A統(tǒng)一安全管理平臺(tái)。

圖4為本發(fā)明一實(shí)施例中的安全認(rèn)證裝置，用于桌面云門戶的結(jié)構(gòu)示意圖。如圖4所示，該裝置包括：

AD認(rèn)證發(fā)送模塊401，被配置為獲取用戶輸入的賬號(hào)和密碼，將所述賬號(hào)和密碼通過(guò)桌面云控制器發(fā)送至第一服務(wù)器，以向所述第一服務(wù)器發(fā)送認(rèn)證請(qǐng)求；AD認(rèn)證接收模塊402，被配置為接收所述第一服務(wù)器發(fā)送的認(rèn)證請(qǐng)求結(jié)果；強(qiáng)認(rèn)證模塊403，被配置為在所述認(rèn)證請(qǐng)求通過(guò)的情況下，向所述第二服務(wù)器發(fā)送強(qiáng)認(rèn)證請(qǐng)求以進(jìn)行強(qiáng)認(rèn)證；及令牌模塊404，被配置為在所述強(qiáng)認(rèn)證通過(guò)的情況下，接收所述第二服務(wù)器發(fā)送的強(qiáng)認(rèn)證令牌；單點(diǎn)登錄模塊405，被配置為在所述強(qiáng)認(rèn)證令牌符合預(yù)設(shè)條件的情況下，單點(diǎn)登錄內(nèi)部應(yīng)用。

可以理解的是，強(qiáng)認(rèn)證模塊403可以具體實(shí)現(xiàn)為：從用戶登錄頁(yè)面獲取所述賬號(hào)和密碼，并將所述賬號(hào)和密碼發(fā)送至所述第一服務(wù)器進(jìn)行主賬號(hào)認(rèn)證，在所述主賬號(hào)認(rèn)證通過(guò)后，接收所述第一服務(wù)器發(fā)送的認(rèn)證結(jié)果；當(dāng)所述用戶登錄頁(yè)面跳轉(zhuǎn)至強(qiáng)認(rèn)證密碼輸入界面時(shí)，獲取用戶在所述強(qiáng)認(rèn)證密碼輸入界面輸入的所述強(qiáng)認(rèn)證密碼，并將所述強(qiáng)認(rèn)證密碼通過(guò)所述第一服務(wù)器發(fā)送至所述第二服務(wù)器進(jìn)行所述強(qiáng)認(rèn)證；將所述強(qiáng)認(rèn)證令牌注入所述虛擬桌面并推送至終端。

其中，將所述強(qiáng)認(rèn)證令牌注入所述虛擬桌面并推送至終端的方式可以包括：將所述強(qiáng)認(rèn)證令牌通過(guò)加密通道發(fā)送至所述桌面云控制器，通過(guò)所述桌面云控制器發(fā)送至所述虛擬桌面。

可以理解的是，單點(diǎn)登錄模塊405可以具體實(shí)現(xiàn)為：讀取所述虛擬桌面的身份信息；判斷所述強(qiáng)制令牌是否合法；當(dāng)判斷結(jié)果為否時(shí)，提示認(rèn)證失?。划?dāng)判斷結(jié)果為是時(shí)，進(jìn)一步判斷所述強(qiáng)制令牌是否過(guò)期；當(dāng)判斷結(jié)果為是時(shí)，直接單點(diǎn)登錄內(nèi)部應(yīng)用；當(dāng)判斷結(jié)果為否時(shí)，獲取所述用戶輸入的與所述內(nèi)部應(yīng)用對(duì)應(yīng)的賬戶和密碼及短信密鑰，并將所述與所述內(nèi)部應(yīng)用對(duì)應(yīng)的賬戶和密碼及短信密鑰發(fā)送至所述第二服務(wù)器，以用于向所述第二服務(wù)器請(qǐng)求驗(yàn)證，并在驗(yàn)證通過(guò)后，單點(diǎn)登錄所述內(nèi)部應(yīng)用。

其中，虛擬桌面的身份信息可以包括：虛擬桌面IP、DN，AD域用戶信息，所述強(qiáng)認(rèn)證令牌等；所述AD域用戶信息可以包括：公司、部門、賬號(hào)、姓名、郵箱。

圖5是根據(jù)本發(fā)明一實(shí)施例中的安全認(rèn)證裝置，用于第一服務(wù)器的結(jié)構(gòu)示意圖。如圖5所示，該裝置包括：

主賬號(hào)認(rèn)證模塊501，被配置為接收所述桌面云門戶發(fā)送的賬號(hào)和密碼，進(jìn)行主賬號(hào)認(rèn)證，并將所述主賬號(hào)認(rèn)證結(jié)果返回至所述桌面云門戶；

密碼請(qǐng)求模塊502，被配置為在所述主賬號(hào)認(rèn)證通過(guò)后，向所述第二服務(wù)器發(fā)送強(qiáng)認(rèn)證密碼請(qǐng)求；

強(qiáng)認(rèn)證模塊503，被配置為接收所述桌面云門戶發(fā)送的所述用戶在所述強(qiáng)認(rèn)證密碼輸入界面輸入的所述強(qiáng)認(rèn)證密碼，將所述強(qiáng)認(rèn)證密碼發(fā)送至所述第二服務(wù)器以進(jìn)行強(qiáng)認(rèn)證，并接收所述第二服務(wù)器返回的所述強(qiáng)認(rèn)證結(jié)果；

令牌模塊504，被配置為在所述強(qiáng)認(rèn)證通過(guò)后，向所述第二服務(wù)器申請(qǐng)強(qiáng)認(rèn)證令牌，并接收所述第二服務(wù)器發(fā)送的所述強(qiáng)認(rèn)證令牌，并將所述強(qiáng)認(rèn)證令牌發(fā)送至所述桌面云門戶。其中，第一服務(wù)器例如可以為Radius服務(wù)器。

圖6是根據(jù)本發(fā)明一實(shí)施例中的安全認(rèn)證裝置，用于第二服務(wù)器的結(jié)構(gòu)示意圖。如圖6所示，該裝置包括：數(shù)據(jù)同步模塊601，與所述AD域控進(jìn)行數(shù)據(jù)同步；認(rèn)證管理模塊602，接收所述桌面云門戶通過(guò)所述第一服務(wù)器發(fā)送的強(qiáng)認(rèn)證請(qǐng)求以進(jìn)行強(qiáng)認(rèn)證；及令牌認(rèn)證模塊603，在所述強(qiáng)認(rèn)證通過(guò)后，通過(guò)所述第一服務(wù)器向所述桌面云門戶發(fā)送強(qiáng)認(rèn)證令牌。

可以理解的是，認(rèn)證管理模塊602可以具體實(shí)現(xiàn)為：接收所述第一服務(wù)器發(fā)送的強(qiáng)認(rèn)證密碼請(qǐng)求；向用戶發(fā)送所述強(qiáng)認(rèn)證密碼；接收所述桌面云門戶通過(guò)所述第一服務(wù)器發(fā)送的所述用戶在所述強(qiáng)認(rèn)證密碼輸入界面輸入的所述強(qiáng)認(rèn)證密碼以進(jìn)行所述強(qiáng)認(rèn)證。其中，所述第二服務(wù)器為4A統(tǒng)一安全管理平臺(tái)。

圖7是根據(jù)本發(fā)明一實(shí)施例中的基于桌面云系統(tǒng)的內(nèi)部應(yīng)用安全認(rèn)證方法示意圖，所述桌面云系統(tǒng)包括：桌面云門戶、桌面云控制器、AD域控、虛擬桌面、統(tǒng)一認(rèn)證代理裝置、4A統(tǒng)一安全管理平臺(tái)。具體的安全認(rèn)證方法實(shí)現(xiàn)步驟，如圖7所示：

①桌面云AD(Active Directory，活動(dòng)目錄)帳戶庫(kù)與4A統(tǒng)一安全管理平臺(tái)做數(shù)據(jù)同步；

②用戶在桌面云門戶輸入帳號(hào)密碼，觸發(fā)到桌面云控制器的認(rèn)證請(qǐng)求；

③桌面云控制器向桌面云基礎(chǔ)架構(gòu)所屬域的AD域控服務(wù)器發(fā)起AD認(rèn)證請(qǐng)求；

④AD域控服務(wù)器完成帳號(hào)密碼認(rèn)證工作并返回AD認(rèn)證結(jié)果至桌面云控制器；

⑤桌面云控制器將返回的AD認(rèn)證結(jié)果返回至桌面云門戶；

⑥桌面云門戶獲取通過(guò)的認(rèn)證結(jié)果，并觸發(fā)強(qiáng)認(rèn)證指向4A統(tǒng)一安全管理平臺(tái)的認(rèn)證管理單元；用戶獲取短信密鑰，并回填驗(yàn)證通過(guò)；

⑦4A統(tǒng)一安全管理平臺(tái)的認(rèn)證管理單元認(rèn)證通過(guò)，返回強(qiáng)認(rèn)證令牌至桌面云門戶，并將該令牌注入用戶虛擬桌面；

⑧桌面云門戶推送攜帶強(qiáng)認(rèn)證令牌的虛擬桌面至用戶側(cè)終端機(jī)；

⑨虛擬桌面上通過(guò)提前部署的統(tǒng)一認(rèn)證代理裝置讀取來(lái)源虛擬桌面的IP，DN(域名，Domain Name)，當(dāng)前AD用戶信息，強(qiáng)認(rèn)證令牌；

⑩統(tǒng)一安全認(rèn)證代理裝置的校驗(yàn)單元向4A統(tǒng)一安全管理平臺(tái)的認(rèn)證管理單元發(fā)起驗(yàn)證請(qǐng)求。包括：判斷來(lái)源虛擬桌面所攜帶的強(qiáng)認(rèn)證令牌的合法性，若不合法，提示認(rèn)證失敗；若合法則繼續(xù)判斷強(qiáng)認(rèn)證令牌是否過(guò)期，若沒(méi)有過(guò)期，則直接跳轉(zhuǎn)登錄內(nèi)部應(yīng)用；若過(guò)期，則觸發(fā)短信重新驗(yàn)證登錄。

圖8是根據(jù)本發(fā)明一實(shí)施例中的基于桌面云環(huán)境的強(qiáng)認(rèn)證方法示意圖，其中桌面云環(huán)境包括：桌面云門戶、Radius服務(wù)器、4A統(tǒng)一安全認(rèn)證平臺(tái)。具體的安全認(rèn)證方法實(shí)現(xiàn)步驟，如圖8所示：

①桌面云門戶從用戶登錄頁(yè)面獲取賬號(hào)和密碼，并發(fā)送給Radius服務(wù)器的主賬號(hào)認(rèn)證模塊進(jìn)行主賬號(hào)認(rèn)證；

②認(rèn)證通過(guò)后，Radius服務(wù)器向4A統(tǒng)一安全管理平臺(tái)請(qǐng)求短信密碼；

③Radius服務(wù)器返回認(rèn)證結(jié)果給桌面云門戶；

④若認(rèn)證通過(guò)，桌面云門戶從用戶登錄界面跳轉(zhuǎn)到短信密碼輸入界面；同時(shí)統(tǒng)一安全管理平臺(tái)向用戶發(fā)送短信密碼；

⑤用戶在登錄頁(yè)面中輸入強(qiáng)認(rèn)證短信密碼；

⑥桌面云門戶從用戶登錄頁(yè)面獲取用戶的強(qiáng)認(rèn)證密碼并發(fā)送給Radius服務(wù)器進(jìn)行短信強(qiáng)認(rèn)證；

⑦Radius服務(wù)器發(fā)送強(qiáng)認(rèn)證密碼給4A統(tǒng)一安全管理平臺(tái)，進(jìn)行驗(yàn)證；

⑧4A統(tǒng)一安全管理平臺(tái)返回認(rèn)證結(jié)果給Radius服務(wù)器；

⑨若認(rèn)證通過(guò)，則Radius服務(wù)器調(diào)用強(qiáng)認(rèn)證令牌服務(wù)進(jìn)程；

⑩Radius服務(wù)器的強(qiáng)認(rèn)證令牌服務(wù)進(jìn)程向4A統(tǒng)一安全管理平臺(tái)申請(qǐng)令牌；

4A統(tǒng)一安全管理平臺(tái)返回強(qiáng)認(rèn)證令牌給Radius服務(wù)器；

Radius服務(wù)器返回強(qiáng)認(rèn)證令牌；

Radius服務(wù)器返回認(rèn)證結(jié)果及強(qiáng)認(rèn)證令牌給桌面云門戶。

圖9是根據(jù)本發(fā)明一實(shí)施例中的基于桌面云環(huán)境的虛擬機(jī)令牌注入方法示意圖，其中桌面云環(huán)境包括：桌面云門戶、Radius服務(wù)器、4A統(tǒng)一安全認(rèn)證平臺(tái)、桌面云控制器、虛擬桌面。具體的安全認(rèn)證方法實(shí)現(xiàn)步驟，如圖9所示：

①用戶輸入4A帳號(hào)、密碼及動(dòng)態(tài)碼；

②完成驗(yàn)證并觸發(fā)強(qiáng)認(rèn)證令牌請(qǐng)求服務(wù)；

③4A統(tǒng)一安全管理平臺(tái)的認(rèn)證管理單元將生成的強(qiáng)認(rèn)證令牌推送給桌面云門戶；

④桌面云門戶通過(guò)基于桌面云內(nèi)部通信協(xié)議的擴(kuò)展加密通道將生成的強(qiáng)認(rèn)證令牌推送給桌面云控制器；

⑤桌面云控制器確認(rèn)用戶身份，并根據(jù)桌面云內(nèi)部通信協(xié)議交付虛擬桌面。在交付過(guò)程中，通過(guò)擴(kuò)展加密通道將強(qiáng)認(rèn)證令牌推送至用戶虛擬桌面；

⑥虛擬桌面將強(qiáng)認(rèn)證令牌存儲(chǔ)在共享內(nèi)存緩存區(qū)；

⑦虛擬桌面上提前部署的統(tǒng)一安全認(rèn)證裝置讀取緩存區(qū)內(nèi)的強(qiáng)認(rèn)證令牌信息。

圖10是根據(jù)本發(fā)明一實(shí)施例中的基于桌面云環(huán)境的統(tǒng)一安全認(rèn)證代理裝置與4A統(tǒng)一安全管理平臺(tái)交互的示意圖，該統(tǒng)一安全認(rèn)證代理裝置包括第一共享內(nèi)存、第二共享內(nèi)存，其功能單元主要分為內(nèi)存讀取單元，令牌校驗(yàn)單元，超時(shí)控制單元。

內(nèi)存讀取單元，在桌面云在AD認(rèn)證、短信密碼認(rèn)證通過(guò)后，會(huì)將統(tǒng)一安全管理平臺(tái)認(rèn)證管理中心產(chǎn)生的強(qiáng)認(rèn)證令牌寫入虛擬桌面共享內(nèi)存，通過(guò)內(nèi)存讀取單元讀取共享內(nèi)存來(lái)獲取令牌信息。

其中，內(nèi)存讀取單元獲取共享內(nèi)存信息流程如下：

首先，從第一共享內(nèi)存查詢第二共享內(nèi)存信息；其次，讀取第二共享內(nèi)存的名稱、大小等所需信息(主要是考慮共享內(nèi)存的安全性)。

共享內(nèi)存接口定義如下：

第一共享內(nèi)存名字：Global\HDP_THIRD_GINA_FILE_NAME

第一共享內(nèi)存內(nèi)容為下面的結(jié)構(gòu)體：

第二共享內(nèi)存為第一共享內(nèi)存中結(jié)構(gòu)體第二個(gè)字段Name，名字為：Global\HDP_THIRD_GINA_FILE_NAME_運(yùn)行時(shí)間(其中運(yùn)行時(shí)間為本次開(kāi)機(jī)以來(lái)系統(tǒng)連續(xù)運(yùn)行的時(shí)間，C#代碼為Environment.TickCount)

第二共享內(nèi)存大小為第一共享內(nèi)存中結(jié)構(gòu)體第一個(gè)字段Size(大小為8K)，供強(qiáng)認(rèn)證令牌存放使用，多余的空間以O(shè)X 00來(lái)填充。

令牌檢驗(yàn)單元，與4A統(tǒng)一安全管理平臺(tái)的認(rèn)證管理中心通過(guò)Webservice方式進(jìn)行交互，調(diào)用Webservice讀取IP,DN以及強(qiáng)認(rèn)證令牌并進(jìn)行驗(yàn)證，任一條件不滿足，不允許單點(diǎn)登錄內(nèi)部應(yīng)用。

超時(shí)控制單元，具有超時(shí)控制功能，并且用戶可以強(qiáng)制注銷代理(強(qiáng)制超時(shí))。具體實(shí)現(xiàn)表現(xiàn)為：根據(jù)強(qiáng)認(rèn)證令牌生成時(shí)間(用戶登錄云桌面的時(shí)間)作為超時(shí)開(kāi)始時(shí)間，進(jìn)行計(jì)時(shí)。在認(rèn)證管理中心設(shè)定一個(gè)超時(shí)閾值，用戶登錄桌面后單點(diǎn)登錄內(nèi)部應(yīng)用時(shí)，會(huì)進(jìn)行超時(shí)判斷(已登錄虛擬桌面的時(shí)間是否大于所設(shè)定的超時(shí)閥值)，如果超時(shí)后，會(huì)跳轉(zhuǎn)到統(tǒng)一業(yè)務(wù)支撐系統(tǒng)的登錄頁(yè)面，重新輸入帳號(hào)密碼登錄。代理的系統(tǒng)托盤可以強(qiáng)制執(zhí)行代理超時(shí)，用戶可以通過(guò)執(zhí)行“注銷代理”，確認(rèn)后，再通過(guò)代理登錄統(tǒng)一業(yè)務(wù)支撐系統(tǒng)，都會(huì)提示登錄超時(shí)，并跳轉(zhuǎn)到4A統(tǒng)一安全管理平臺(tái)門戶頁(yè)面。這時(shí)要想再通過(guò)代理單點(diǎn)登錄內(nèi)部應(yīng)用，必須斷開(kāi)桌面后，重新進(jìn)行桌面登錄后才可以代理。

本領(lǐng)域普通技術(shù)人員可以意識(shí)到，結(jié)合本文中所公開(kāi)的實(shí)施例描述的各示例的單元及算法步驟，能夠以電子硬件、計(jì)算機(jī)軟件或者二者的結(jié)合來(lái)實(shí)現(xiàn)，為了清楚地說(shuō)明硬件和軟件的可互換性，在上述說(shuō)明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來(lái)執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來(lái)使用不同方法來(lái)實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為了描述的方便和簡(jiǎn)潔，上述描述的系統(tǒng)、裝置和單元的具體工作過(guò)程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程，在此不再贅述。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到各種等效的修改或替換，這些修改或替換都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。