[发明专利]一种面向多安全等级的虚拟桌面安全认证系统及方法

说明书

技术领域

本发明涉及虚拟化技术领域，尤其涉及信息加密和认证技术。

背景技术

目前，虚拟化技术已经成为计算机技术研究的热点之一，虚拟化技术主要包括应用虚拟化、桌面虚拟化、服务器虚拟化。其中，桌面虚拟化发展越来越快，具有广阔的应用前景。但是，在政府、军工等安全级别要求特别高的部门或企业，若采用虚拟桌面技术，无疑其安全问题必须引起人们的高度重视。在实际应用中，用户一般只能访问一种密级网络的虚拟桌面，而用户根据权限级别的不同访问多个安全等级虚拟桌面的发明专利较少。用户访问多安全等级虚拟桌面，如何对用户进行有效的认证并防止非法用户的跨网络攻击，避免非法用户以攻占低密级虚拟桌面为跳板，进而攻占高密级虚拟桌面窃取重要信息的安全问题值得深入研究。

目前，关于认证的研究，主要集中于两个方面：第一方面是基于身份的认证研究，第二方面是基于属性的认证研究。具有较好应用的认证协议为Kerberos认证协议，已经发展到第5版，对保持消息的完整性和保密性具有很好的效果，但是协议采用DES加密算法，人们开始质疑它的安全强度。属性认证是在身份认证的基础上发展而来的，2005年，Sahai和Waters在提出模糊基于身份加密体制的同时，引出了基于属性加密体制（Attribute-based encryp-tion，ABE）的概念，开创了基于属性的密码体制的先河，该体制中实现了(t，n)门限访问结构。研究学者做了进一步的研究分析，分析认证的安全性，涌现出了大量的改进算法。其中，Wang等人在kerberos协议中加入智能卡，改进了密钥交换模型，提出了新的安全认证方法，等人为了实现匿名访问，提出了新的隐私保护模型，分析了改进的kerberos协议在单域、多域中的应用效率。

在虚拟桌面技术的研究方面已经相对成熟，可以为用户提供满意的虚拟服务。在安全认证技术的研究方面也是研究的较多，前人提出了很多安全的认证协议。但是，针对虚拟桌面安全认证技术的研究较少，这不仅对用户访问单个虚拟桌面服务器带来安全隐患以外，还将对用户访问多密级虚拟桌面服务器带来巨大的安全隐患。Ju L等人提出在访问虚拟资源时，用组合公钥对用户身份进行验证，并将用户与虚拟机联合防止可能出现的欺诈行为，作者也对提出的方法做了性能分析。Tian L等人在云计算环境中引入用户行为认证，弥补了一些云环境下传统认证的缺点。陈亚睿等人对行为认证集的确立、行为证据的获得、行为认证的策略做了详细的分析，提出了基于云计算虚拟环境的用户行为认证的机制。本发明结合前人对认证的研究，发现在多安全等级虚拟桌面安全认证的研究中，引入用户行为的认证研究较少，缺少统一的、完整的数学模型的理论方法和有效的定量分析方法。

发明内容

针对以上现有技术中的不足，本发明的目的在于提供一种提高认证的安全性、提高认证效率的面向多安全等级虚拟桌面安全认证系统及方法，本发明的技术方案如下：1、一种面向多安全等级虚拟桌面安全认证系统，其特征在于：包括客户端、安全认证中心及多安全等级虚拟桌面服务器，其中，

所述安全认证中心包括用户身份认证模块M1、用户行为侦测模块M2、关系映射模块M3、数据安全转发模块M4及令牌生成模块M5；所述用户身份认证模块M1用于对客户端用户发出的安全认证请求进行验证，并为用户生成身份特征码，其中身份特征码是用户注册时根据用户的角色、权限生成；所述用户行为侦测模块M2用于对用户验证成功后在虚拟左面服务器上的操作行为进行数据统计；所述关系映射模块M3用于存储通过了认证的用户的行为属性与密级虚拟桌面属性的对应关系；所述数据安全转发模块M4用于转发用户的安全认证请求给所述多安全等级虚拟桌面服务器；所述令牌生成模块M5用于对验证通过后的用户生成令牌，用户根据令牌访问所述多安全等级虚拟桌面服务器；

一种基于权利要求1所述系统的虚拟桌面安全认证方法，其包括以下步骤：

201、用户通过客户端输入用户ID、口令和密级虚拟桌面等级grade，然后安全认证中心对用户进行初步认证，初步认证成功后用户与安全认证中心建立连接，安全认证中心为用户分发安全认证中心公钥、服务器公钥在多安全等级虚拟桌面服务器；

202、用户输入用户身份特征码FC，利用步骤201中分发到的安全认证中心公钥，并通过动态口令牌获取随机数k及用户密钥，客户端生成加密签名；然后发送所述加密签名及加密消息M到安全认证中心；