一種面向多安全等級(jí)的虛擬桌面安全認(rèn)證系統(tǒng)及方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種面向多安全等級(jí)虛擬桌面安全認(rèn)證方法及系統(tǒng)��,涉及基于用戶行為的身份認(rèn)證方式及系統(tǒng)實(shí)現(xiàn)��,首先����,安全認(rèn)證方法引入用戶行為認(rèn)證機(jī)制,提出用戶域內(nèi)與跨域行為的收集��、判定和預(yù)測(cè)方法�,實(shí)現(xiàn)角色權(quán)限結(jié)合用戶行為的安全認(rèn)證方法設(shè)計(jì);其次����,認(rèn)證方法中的加密部分采用基于橢圓曲線的數(shù)字簽名,簽名算法中引入對(duì)稱(chēng)加密算法���,為了降低算法計(jì)算復(fù)雜度�,簽名方程中消除了大整數(shù)求逆運(yùn)算,提高了簽名的效率�����,保證了認(rèn)證方法及系統(tǒng)的安全性�;最后,該系統(tǒng)實(shí)現(xiàn)用戶的統(tǒng)一身份認(rèn)證����,減少認(rèn)證服務(wù)器的部署,降低成本���。本機(jī)制可以廣泛用于云計(jì)算虛擬桌面安全認(rèn)證�����,多安全等級(jí)等相關(guān)領(lǐng)域�����。
【專(zhuān)利說(shuō)明】—種面向多安全等級(jí)的虛擬桌面安全認(rèn)證系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬化【技術(shù)領(lǐng)域】���,尤其涉及信息加密和認(rèn)證技術(shù)。
【背景技術(shù)】
[0002]目前���,虛擬化技術(shù)已經(jīng)成為計(jì)算機(jī)技術(shù)研究的熱點(diǎn)之一�����,虛擬化技術(shù)主要包括應(yīng)用虛擬化����、桌面虛擬化�、服務(wù)器虛擬化。其中�����,桌面虛擬化發(fā)展越來(lái)越快���,具有廣闊的應(yīng)用前景����。但是����,在政府、軍工等安全級(jí)別要求特別高的部門(mén)或企業(yè)��,若采用虛擬桌面技術(shù),無(wú)疑其安全問(wèn)題必須引起人們的高度重視�。在實(shí)際應(yīng)用中,用戶一般只能訪問(wèn)一種密級(jí)網(wǎng)絡(luò)的虛擬桌面��,而用戶根據(jù)權(quán)限級(jí)別的不同訪問(wèn)多個(gè)安全等級(jí)虛擬桌面的發(fā)明專(zhuān)利較少����。用戶訪問(wèn)多安全等級(jí)虛擬桌面,如何對(duì)用戶進(jìn)行有效的認(rèn)證并防止非法用戶的跨網(wǎng)絡(luò)攻擊�,避免非法用戶以攻占低密級(jí)虛擬桌面為跳板,進(jìn)而攻占高密級(jí)虛擬桌面竊取重要信息的安全問(wèn)題值得深入研究����。
[0003]目前,關(guān)于認(rèn)證的研究���,主要集中于兩個(gè)方面:第一方面是基于身份的認(rèn)證研究����,第二方面是基于屬性的認(rèn)證研究�。具有較好應(yīng)用的認(rèn)證協(xié)議為Kerberos認(rèn)證協(xié)議,已經(jīng)發(fā)展到第5版����,對(duì)保持消息的完整性和保密性具有很好的效果��,但是協(xié)議采用DES加密算法�,人們開(kāi)始質(zhì)疑它的安全強(qiáng)度�����。屬性認(rèn)證是在身份認(rèn)證的基礎(chǔ)上發(fā)展而來(lái)的���,2005年,Sahai和Waters在提出模糊基于身份加密體制的同時(shí)�����,引出了基于屬性加密體制(Attribute-based encryp-tion, ABE)的概念,開(kāi)創(chuàng)了基于屬性的密碼體制的先河��,該體制中實(shí)現(xiàn)了(t�����,n)門(mén)限訪問(wèn)結(jié)構(gòu)��。研究學(xué)者做了進(jìn)一步的研究分析�����,分析認(rèn)證的安全性,涌現(xiàn)出了大量的改進(jìn)算法��。其中�����,Wang等人在kerberos協(xié)議中加入智能卡,改進(jìn)了密鑰交換模型�,提出了新的安全認(rèn)證方法,Perefiiguez-Garcia等人為了實(shí)現(xiàn)匿名訪問(wèn)��,提出了新的隱私保護(hù)模型�,分析了改進(jìn)的kerberos協(xié)議在單域、多域中的應(yīng)用效率�。
[0004]在虛擬桌面技術(shù)的研究方面已經(jīng)相對(duì)成熟,可以為用戶提供滿意的虛擬服務(wù)�。在安全認(rèn)證技術(shù)的研究方面也是研究的較多,前人提出了很多安全的認(rèn)證協(xié)議�����。但是����,針對(duì)虛擬桌面安全認(rèn)證技術(shù)的研究較少,這不僅對(duì)用戶訪問(wèn)單個(gè)虛擬桌面服務(wù)器帶來(lái)安全隱患以夕卜���,還將對(duì)用戶訪問(wèn)多密級(jí)虛擬桌面服務(wù)器帶來(lái)巨大的安全隱患��。Ju L等人提出在訪問(wèn)虛擬資源時(shí)���,用組合公鑰對(duì)用戶身份進(jìn)行驗(yàn)證�,并將用戶與虛擬機(jī)聯(lián)合防止可能出現(xiàn)的欺詐行為���,作者也對(duì)提出的方法做了性能分析。Tian L等人在云計(jì)算環(huán)境中引入用戶行為認(rèn)證����,彌補(bǔ)了一些云環(huán)境下傳統(tǒng)認(rèn)證的缺點(diǎn)。陳亞睿等人對(duì)行為認(rèn)證集的確立���、行為證據(jù)的獲得�、行為認(rèn)證的策略做了詳細(xì)的分析�����,提出了基于云計(jì)算虛擬環(huán)境的用戶行為認(rèn)證的機(jī)制����。本發(fā)明結(jié)合前人對(duì)認(rèn)證的研究��,發(fā)現(xiàn)在多安全等級(jí)虛擬桌面安全認(rèn)證的研究中���,引入用戶行為的認(rèn)證研究較少,缺少統(tǒng)一的��、完整的數(shù)學(xué)模型的理論方法和有效的定量分析方法��。
【發(fā)明內(nèi)容】
[0005]針對(duì)以上現(xiàn)有技術(shù)中的不足����,本發(fā)明的目的在于提供一種提高認(rèn)證的安全性、提高認(rèn)證效率的面向多安全等級(jí)虛擬桌面安全認(rèn)證系統(tǒng)及方法�����,本發(fā)明的技術(shù)方案如下:1�、一種面向多安全等級(jí)虛擬桌面安全認(rèn)證系統(tǒng),其特征在于:包括客戶端�����、安全認(rèn)證中心及多安全等級(jí)虛擬桌面服務(wù)器�����,其中,
[0006]所述安全認(rèn)證中心包括用戶身份認(rèn)證模塊Ml���、用戶行為偵測(cè)模塊M2����、關(guān)系映射模塊M3�����、數(shù)據(jù)安全轉(zhuǎn)發(fā)模塊M4及令牌生成模塊M5 ;所述用戶身份認(rèn)證模塊Ml用于對(duì)客戶端用戶發(fā)出的安全認(rèn)證請(qǐng)求進(jìn)行驗(yàn)證���,并為用戶生成身份特征碼,其中身份特征碼是用戶注冊(cè)時(shí)根據(jù)用戶的角色���、權(quán)限生成����;所述用戶行為偵測(cè)模塊M2用于對(duì)用戶驗(yàn)證成功后在虛擬左面服務(wù)器上的操作行為進(jìn)行數(shù)據(jù)統(tǒng)計(jì)�;所述關(guān)系映射模塊M3用于存儲(chǔ)通過(guò)了認(rèn)證的用戶的行為屬性與密級(jí)虛擬桌面屬性的對(duì)應(yīng)關(guān)系;所述數(shù)據(jù)安全轉(zhuǎn)發(fā)模塊M4用于轉(zhuǎn)發(fā)用戶的安全認(rèn)證請(qǐng)求給所述多安全等級(jí)虛擬桌面服務(wù)器����;所述令牌生成模塊M5用于對(duì)驗(yàn)證通過(guò)后的用戶生成令牌����,用戶根據(jù)令牌訪問(wèn)所述多安全等級(jí)虛擬桌面服務(wù)器���;
[0007]—種基于權(quán)利要求1所述系統(tǒng)的虛擬桌面安全認(rèn)證方法�,其包括以下步驟:
[0008]201��、用戶通過(guò)客戶端輸入用戶ID��、口令和密級(jí)虛擬桌面等級(jí)grade�����,然后安全認(rèn)證中心對(duì)用戶進(jìn)行初步認(rèn)證,初步認(rèn)證成功后用戶與安全認(rèn)證中心建立連接��,安全認(rèn)證中心為用戶分發(fā)安全認(rèn)證中心公鑰�、服務(wù)器公鑰在多安全等級(jí)虛擬桌面服務(wù)器;
[0009]202�、用戶輸入用戶身份特征碼FC,利用步驟201中分發(fā)到的安全認(rèn)證中心公鑰���,并通過(guò)動(dòng)態(tài)口令牌獲取隨機(jī)數(shù)k及用戶密鑰����,客戶端生成加密簽名;然后發(fā)送所述加密簽名及加密消息M到安全認(rèn)證中心�;
[0010]203、所述安全認(rèn)證中心驗(yàn)證用戶的加密簽名和認(rèn)證用戶身份���,如果驗(yàn)證通過(guò)則提取用戶行為屬性�����,發(fā)送并存儲(chǔ)到關(guān)系屬性映射模塊����,并通過(guò)令牌生成模塊M5生成特征碼令牌tiketrc與等級(jí)令牌tiketgMde�,返回給用戶;所述關(guān)系映射模塊M3用于存儲(chǔ)通過(guò)了認(rèn)證的用戶的行為屬性與密級(jí)虛擬桌面屬性的對(duì)應(yīng)關(guān)系����;
[0011]204����、用戶收到特征碼令牌tiketrc與等級(jí)令牌tiketgrade后,用戶向多安全等級(jí)虛擬桌面服務(wù)器發(fā)送訪問(wèn)請(qǐng)求簽名���,若驗(yàn)證合法則多安全等級(jí)虛擬桌面服務(wù)器選取隨機(jī)數(shù)Θ ,結(jié)合tiketrc生成第一令牌subtikets_>AC;,返回密級(jí)網(wǎng)絡(luò)屬性����、第一令牌subtikets_>AC給安全認(rèn)證中心;
[0012]205�、安全認(rèn)證中心獲取服務(wù)器密級(jí)網(wǎng)絡(luò)屬性對(duì)應(yīng)的用戶行為屬性向量As=(ai,...����,at),并根據(jù)用戶異常行為統(tǒng)計(jì)值
HcIass(I), ^class (2) J...�����,Hc]_ass(t)����, 計(jì)算用戶異常行為統(tǒng)計(jì)值權(quán)重
【權(quán)利要求】
1.一種面向多安全等級(jí)虛擬桌面安全認(rèn)證系統(tǒng),其特征在于:包括客戶端�����、安全認(rèn)證中心及多安全等級(jí)虛擬桌面服務(wù)器�����,其中, 所述安全認(rèn)證中心包括用戶身份認(rèn)證模塊Ml��、用戶行為偵測(cè)模塊M2�、關(guān)系映射模塊M3、數(shù)據(jù)安全轉(zhuǎn)發(fā)模塊M4及令牌生成模塊M5 ;所述用戶身份認(rèn)證模塊Ml用于對(duì)客戶端用戶發(fā)出的安全認(rèn)證請(qǐng)求進(jìn)行驗(yàn)證��,并為用戶生成身份特征碼���,其中身份特征碼是用戶注冊(cè)時(shí)根據(jù)用戶的角色�、權(quán)限生成���;所述用戶行為偵測(cè)模塊M2用于對(duì)用戶驗(yàn)證成功后在虛擬左面服務(wù)器上的操作行為進(jìn)行數(shù)據(jù)統(tǒng)計(jì)�;所述關(guān)系映射模塊M3用于存儲(chǔ)通過(guò)了認(rèn)證的用戶的行為屬性與密級(jí)虛擬桌面屬性的對(duì)應(yīng)關(guān)系���;所述數(shù)據(jù)安全轉(zhuǎn)發(fā)模塊M4用于轉(zhuǎn)發(fā)用戶的安全認(rèn)證請(qǐng)求給所述多安全等級(jí)虛擬桌面服務(wù)器�����;所述令牌生成模塊M5用于對(duì)驗(yàn)證通過(guò)后的用戶生成令牌��,用戶根據(jù)令牌訪問(wèn)所述多安全等級(jí)虛擬桌面服務(wù)器。
2.一種基于權(quán)利要求1所述系統(tǒng)的虛擬桌面安全認(rèn)證方法����,其特征在于包括以下步驟: `201�����、用戶通過(guò)客戶端輸入用戶ID���、口令和密級(jí)虛擬桌面等級(jí)grade,然后安全認(rèn)證中心對(duì)用戶進(jìn)行初步認(rèn)證,初步認(rèn)證成功后用戶與安全認(rèn)證中心建立連接���,安全認(rèn)證中心為用戶分發(fā)安全認(rèn)證中心公鑰����、服務(wù)器公鑰在多安全等級(jí)虛擬桌面服務(wù)器����; `202、用戶輸入用戶身份特征碼FC��,利用步驟201中分發(fā)到的安全認(rèn)證中心公鑰��,并通過(guò)動(dòng)態(tài)口令牌獲取隨機(jī)數(shù)k及用戶密鑰�,客戶端生成加密簽名;然后發(fā)送所述加密簽名及加密消息M到安全認(rèn)證中心���; ` 203�、所述安全認(rèn)證中心驗(yàn)證用戶的加密簽名和認(rèn)證用戶身份,如果驗(yàn)證通過(guò)則提取用戶行為屬性��,發(fā)送并存儲(chǔ)到關(guān)系屬性映射模塊�����,并通過(guò)令牌生成模塊M5生成特征碼令牌tiketF��。與等級(jí)令牌tiketgMde��,返回給用戶��;所述關(guān)系映射模塊M3用于存儲(chǔ)通過(guò)了認(rèn)證的用戶的行為屬性與密級(jí)虛擬桌面屬性的對(duì)應(yīng)關(guān)系��; ` 204�����、用戶收到特征碼令牌tiketrc與等級(jí)令牌tiketgMde后,用戶向多安全等級(jí)虛擬桌面服務(wù)器發(fā)送訪問(wèn)請(qǐng)求簽名�,若驗(yàn)證合法則多安全等級(jí)虛擬桌面服務(wù)器選取隨機(jī)數(shù)Θ,結(jié)合tiketrc生成第一令牌subtikets_>AC���;,返回密級(jí)網(wǎng)絡(luò)屬性�����、第一令牌subtikets_>AC�;給安全認(rèn)證中心����; `205、安全認(rèn)證中心獲取服務(wù)器密級(jí)網(wǎng)絡(luò)屬性對(duì)應(yīng)的用戶行為屬性向量As=(ai���,...�����,at)��,并根據(jù)用戶異常行為統(tǒng)計(jì)值HcIass(I), ^class (2) J...���,Hc]_ass(t), 計(jì)算用戶異
常行為統(tǒng)計(jì)值權(quán)重,
3.根據(jù)權(quán)利要求2所述的面向多安全等級(jí)虛擬桌面安全認(rèn)證方法�,其特征在于:步驟206中所述跨域行為權(quán)重
4.根據(jù)權(quán)利要求2所述的面向多安全等級(jí)虛擬桌面安全認(rèn)證方法,其特征在于:步驟202中采用改進(jìn)的基于橢圓曲線的數(shù)字簽名進(jìn)行加密簽名��。
【文檔編號(hào)】H04L9/32GK103780393SQ201410018034
【公開(kāi)日】2014年5月7日 申請(qǐng)日期:2014年1月15日 優(yōu)先權(quán)日:2014年1月15日
【發(fā)明者】劉宴兵, 張海軍, 肖云鵬, 馬晶, 袁仲, 龔波, 董濤, 徐光俠, 許書(shū)彬 申請(qǐng)人:重慶郵電大學(xué)