[发明专利]用于在不可信云网络上的加密口令传输的方法和设备

说明书

公开了用于在不可信云网络上的加密口令传输的方法和设备。一种不可信云网络中的计算机用作基于云的企业应用商店，客户端计算机通过该基于云的企业应用商店建立与在可信企业网络中的企业应用的连接。在登录阶段和后续应用启动阶段中执行用户认证，每个认证从客户端接收加密口令和加密密钥并将其发送到企业网络，其中加密口令是在第一一次性对称密钥下加密的用户口令，而加密密钥是在私钥/公钥对的公钥下加密的第一对称密钥。企业网络对加密密钥和加密口令进行解密以获得用户口令，以便认证用户。启动阶段认证包括使用包括第二一次性对称密钥的登录票据，其中用户口令在该第二一次性对称密钥下进行加密并以加密形式存储在企业网络中。

背景技术

本发明涉及计算机系统安全领域。

发明内容

云服务的客户希望能确保他们所使用的云服务无法访问诸如用户口令的敏感数据。然而，传统的用户认证方法(如SAML和OAuth)如果与某些远程访问服务(比如，思杰系统公司的XenApp^TM和XenDesktop^TM产品)一起使用的话可能会存在局限性，这是因为桌面操作系统(如Windows)可能需要明文口令才能创建出用户会话。

当前公开的技术可以提供在口令经过云之前在客户端网页浏览器处对其进行加密的安全解决方案。因此，这样可以确保明文口令和解密所需的私钥不会经过云。口令只能由拥有私钥的内部部署(企业网络)服务器进行解密，以执行登录。

更具体地说，公开了一种将不可信云计算网络中的计算机操作为基于云的企业应用商店的方法，其中客户端计算机通过该基于云的企业应用商店建立与在可信计算网络中执行的企业应用的连接。

该方法包括在登录阶段针对客户端计算机的用户执行第一用户认证并从可信计算网络接收安全标识符，安全标识符将用户标识为可信计算网络的授权用户。第一用户认证包括(1)将可信计算网络的私钥/公钥对的公钥发送到客户端计算机；以及(2)随后从客户端计算机接收加密口令和加密密钥并将其发送到可信计算网络，加密口令是在第一一次性对称密钥下加密的用户口令，加密密钥是在公钥下加密的第一一次性对称密钥。可信计算网络对加密密钥和加密口令进行解密以获得用户口令，以便认证用户并将安全标识符返回给企业应用商店。

该方法还包括：在随后的应用启动阶段，执行第二用户认证作为建立与企业应用的连接的一部分。第二用户认证包括(1)将加密口令和加密密钥发送到可信计算网络；以及(2)随后从可信计算网络接收登录票据并将其发送到客户端计算机，该登录票据包括第二一次性对称密钥，用户口令在该第二一次性对称密钥下进行加密并以加密形式存储在可信计算网络内。客户端计算机随后将包括登录票据的连接建立消息发送到可信计算网络，可信计算网络使用来自连接建立消息的登录票据的第二一次性对称密钥来对加密形式进行解密以获得用户口令，以便认证用户并建立客户端计算机与企业应用的连接。

在特定实施例中，客户端计算机与企业应用是通过由企业网络的虚拟桌面代理交付的远程桌面会话连接的，并且其中连接建立消息是来自客户端计算机的以使虚拟桌面代理开始远程桌面会话的请求。

在特定实施例中，可信计算网络包括云接口服务器和一个或多个应用/服务服务器，应用/服务服务器托管企业应用，云接口服务器向企业应用商店提供本地接口，并且其中可信计算网络的私钥/公钥对是云接口服务器的私钥/公钥对。

在特定实施例中，第二一次性对称密钥在登录票据中处于加密形式下，该加密形式已经用企业网络的第二私钥/公钥对的第二公钥进行非对称加密，以便在云网络中安全地传输并且仅在企业网络内解密。

在特定实施例中，应用启动阶段中的第二用户认证包括从云网络的票据机构获得第二登录票据并将第二登录票据发送到客户端计算机；并且连接建立消息被发送到企业网络的网关，该网关在与票据机构的交换中使用第二登录票据来获得连接建立消息将被发送到的企业网络的虚拟桌面代理的地址，并且随后将连接建立消息发送到该虚拟桌面代理。