本發(fā)明涉及虛擬機領域�,具體而言���,涉及一種登錄認證方法����、裝置及系統(tǒng)��。
背景技術:
現(xiàn)有的虛擬機登錄認證的方案中��,無論是ad認證系統(tǒng)還是非ad認證系統(tǒng)�����,都需要ad認證系統(tǒng)或非ad認證系統(tǒng)中的認證模塊與虛擬機內(nèi)部安裝的組件進行交互�����,而該認證模塊要連接到虛擬機內(nèi)部安裝的組件�����,需要虛擬機網(wǎng)絡是可達的��,另外���,在一些特殊場景下�,例如虛擬機上存儲了保密數(shù)據(jù)�,若仍采用現(xiàn)有的虛擬機登錄認證方案,將存在潛在的安全風險��。
技術實現(xiàn)要素:
有鑒于此��,本發(fā)明實施例的目的在于提供一種登錄認證方法�����、裝置及系統(tǒng)����,以解決上述問題。
為了實現(xiàn)上述目的,本發(fā)明實施例采用的技術方案如下:
第一方面�,本發(fā)明實施例提供了一種登錄認證方法,所述方法包括:云管理服務器接收用戶終端的登錄請求并進行身份認證����;當身份認證通過時,向所述用戶終端發(fā)送用于標識用戶身份的唯一標識符��;接收所述用戶終端發(fā)送的連接請求�����,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符���;向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息����,以使所述硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機����;向所述用戶終端發(fā)送所述虛擬化服務器的網(wǎng)絡地址信息,以使所述用戶終端根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機��。
第二方面�����,本發(fā)明實施例提供了一種登錄認證方法�����,所述方法包括:用戶終端向云管理服務器發(fā)送登錄請求��;接收所述云管理服務器返回的用于標識用戶身份的唯一標識符��;向所述云管理服務器發(fā)送連接請求�,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符;接收所述管理服務器發(fā)送的虛擬化服務器的網(wǎng)絡地址信息�����,根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機���。
第三方面�����,本發(fā)明實施例提供了一種登錄認證裝置�,所述裝置包括:第一接收模塊�,用于接收用戶終端的登錄請求并進行身份認證��;第一返回模塊��,用于當身份認證通過時���,向所述用戶終端發(fā)送用于標識用戶身份的唯一標識符;第二接收模塊���,用于接收所述用戶終端發(fā)送的連接請求�����,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符��;第一發(fā)送模塊�����,用于向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息���,以使所述硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機;第二返回模塊����,用于向所述用戶終端發(fā)送所述虛擬化服務器的網(wǎng)絡地址信息����,以使所述用戶終端根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機��。
第四方面�,本發(fā)明實施例提供了一種登錄認證裝置�,所述裝置包括:第二發(fā)送模塊,用于向云管理服務器發(fā)送登錄請求����;第三接收模塊,用于接收所述云管理服務器返回的用于標識用戶身份的唯一標識符�����;第三發(fā)送模塊��,用于向所述云管理服務器發(fā)送連接請求�����,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符��;第四接收模塊���,用于接收所述管理服務器發(fā)送的虛擬化服務器的網(wǎng)絡地址信息�����,根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機���。
第五方面�,本發(fā)明實施例提供了一種登錄認證系統(tǒng)�����,所述系統(tǒng)包括云管理服務器�����、用戶終端及虛擬化服務器��,所述云管理服務器��,用于接收所述用戶終端的登錄請求并進行身份認證��;當身份認證通過時�����,向所述用戶終端發(fā)送用于標識用戶身份的唯一標識符;接收所述用戶終端發(fā)送的連接請求�,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符;向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息�����,以使所述硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機����;向所述用戶終端發(fā)送所述虛擬化服務器的網(wǎng)絡地址信息���,以使所述用戶終端根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機��;所述用戶終端����,用于向所述云管理服務器發(fā)送登錄請求�����,接收所述云管理服務器發(fā)送的用于標識用戶身份的唯一標識符���;向所述云管理服務器發(fā)送所述連接請求�����;接收所述云管理服務器發(fā)送的所述虛擬化服務器的網(wǎng)絡地址信息�����,根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機�;所述虛擬化服務器,用于接收所述云管理服務器發(fā)送的所述授權通知信息���,以使所述虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機�����。
與現(xiàn)有技術相比����,本發(fā)明實施例提供的一種登錄認證方法�、裝置及系統(tǒng),通過云管理服務器接收用戶終端的登錄請求并進行身份認證����,當身份認證通過時,向所述用戶終端發(fā)送用于標識用戶身份的唯一標識符,接收所述用戶終端發(fā)送的連接請求����,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符,向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息�,以使所述硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機,向所述用戶終端發(fā)送所述虛擬化服務器的網(wǎng)絡地址信息��,以使所述用戶終端根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機�,這種方式下,登錄認證時不需要虛擬機內(nèi)部的組件參與��,而是與虛擬化服務器中待連接虛擬機對應的硬件模擬模塊進行交互���,即不需要虛擬機的網(wǎng)絡可達,只需要虛擬化服務器的網(wǎng)絡可達即可完成登錄認證����,進一步的,也保證了登錄認證的安全性�。
為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂��,下文特舉較佳實施例����,并配合所附附圖�����,作詳細說明如下�。
附圖說明
為了更清楚地說明本發(fā)明實施例的技術方案����,下面將對實施例中所需要使用的附圖作簡單地介紹,應當理解����,以下附圖僅示出了本發(fā)明的某些實施例,因此不應被看作是對范圍的限定�,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他相關的附圖���。
圖1是本發(fā)明第一實施例提供的一種登錄認證系統(tǒng)的示意圖�����。
圖2是本發(fā)明實施例提供的用戶終端的結構框圖�����。
圖3是本發(fā)明實施例提供的云管理服務器的結構框圖�����。
圖4是本發(fā)明第二實施例提供的一種登錄認證方法的流程圖����。
圖5是本發(fā)明第三實施例提供的一種登錄認證方法的流程圖。
圖6是本發(fā)明第四實施例提供的一種登錄認證系統(tǒng)的示意圖�����。
圖7是本發(fā)明第五實施例提供的一種登錄認證方法的流程圖����。
圖8是本發(fā)明第六實施例提供的一種登錄認證裝置的結構框圖�����。
圖9是本發(fā)明第七實施例提供的一種登錄認證裝置的結構框圖�。
具體實施方式
下面將結合本發(fā)明實施例中附圖,對本發(fā)明實施例中的技術方案進行清楚��、完整地描述,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例��。通常在此處附圖中描述和示出的本發(fā)明實施例的組件可以以各種不同的配置來布置和設計���。因此�,以下對在附圖中提供的本發(fā)明的實施例的詳細描述并非旨在限制要求保護的本發(fā)明的范圍�����,而是僅僅表示本發(fā)明的選定實施例�����?��;诒景l(fā)明的實施例�����,本領域技術人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護的范圍�。
應注意到:相似的標號和字母在下面的附圖中表示類似項,因此�,一旦某一項在一個附圖中被定義,則在隨后的附圖中不需要對其進行進一步定義和解釋���。同時�,在本發(fā)明的描述中����,術語“第一”、“第二”等僅用于區(qū)分描述����,而不能理解為指示或暗示相對重要性。
本發(fā)明實施例提供一種登錄認證方法��、裝置可以運行在如圖1所示的登錄認證系統(tǒng)中����,實現(xiàn)用戶終端的登錄認證過程。如圖1所示�����,是本發(fā)明第一實施例提供的一種登錄認證系統(tǒng)�����。所述系統(tǒng)包括用戶終端100����、云管理服務器200、及虛擬化服務器300���,所述云管理服務器200通過網(wǎng)絡與用戶終端100進行通信連接�,并且通過網(wǎng)絡與虛擬化服務器300進行通信�����,以進行數(shù)據(jù)通信或交互�。所述云管理服務器200及虛擬化服務器300可以是網(wǎng)絡服務器、數(shù)據(jù)庫服務器等����。所述用戶終端100可以是個人電腦(personalcomputer,pc)�����、平板電腦、智能手機等��。其中���,該虛擬化服務器300中通過虛擬化技術預先配置了至少一臺虛擬機�����。
如圖2所示����,是上述系統(tǒng)中一種用戶終端100的方框示意圖�。所述用戶終端100包括登錄認證裝置900、存儲器120����、處理器140、外設接口150�、輸入輸出單元160、音頻單元170�����、顯示單元180。
所述存儲器120�、處理器140��、外設接口150���、輸入輸出單元160���、音頻單元170、顯示單元180各元件相互之間直接或間接地電性連接����,以實現(xiàn)數(shù)據(jù)的傳輸或交互。例如���,這些元件相互之間可通過一條或多條通訊總線或信號線實現(xiàn)電性連接���。所述登錄認證裝置900包括至少一個可以軟件或固件(firmware)的形式存儲于所述存儲器中或固化在所述用戶終端的操作系統(tǒng)(operatingsystem,os)中的軟件功能模塊�。所述處理器140用于執(zhí)行存儲器120中存儲的可執(zhí)行模塊,例如登錄認證裝置900包括的軟件功能模塊或計算機程序����。
其中,存儲器120可以是����,但不限于��,隨機存取存儲器(randomaccessmemory���,ram),只讀存儲器(readonlymemory���,rom)�����,可編程只讀存儲器(programmableread-onlymemory�����,prom)��,可擦除只讀存儲器(erasableprogrammableread-onlymemory�����,eprom)��,電可擦除只讀存儲器(electricerasableprogrammableread-onlymemory�����,eeprom)等����。其中��,存儲器120用于存儲程序����,所述處理器140在接收到執(zhí)行指令后,執(zhí)行所述程序��,本發(fā)明實施例任一實施例揭示的流過程定義的服務器所執(zhí)行的方法可以應用于處理器140中��,或者由處理器140實現(xiàn)��。
處理器140可能是一種集成電路芯片���,具有信號的處理能力���。上述的處理器140可以是通用處理器,包括中央處理器(centralprocessingunit,簡稱cpu)�、網(wǎng)絡處理器(networkprocessor,簡稱np)等�;還可以是數(shù)字信號處理器(dsp)、專用集成電路(asic)�����、現(xiàn)場可編程門陣列(fpga)或者其他可編程邏輯器件���、分立門或者晶體管邏輯器件�、分立硬件組件��?��?梢詫崿F(xiàn)或者執(zhí)行本發(fā)明實施例中的公開的各方法���、步驟及邏輯框圖。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等��。
所述外設接口150將各種輸入/輸出裝置耦合至處理器140以及存儲器120����。在一些實施例中����,外設接口150��,處理器140可以在單個芯片中實現(xiàn)�。在其他一些實例中,他們可以分別由獨立的芯片實現(xiàn)���。
輸入輸出單元160用于提供給用戶輸入數(shù)據(jù)實現(xiàn)用戶與所述用戶終端的交互����。所述輸入輸出單元160可以是����,但不限于���,鼠標和鍵盤等�。
音頻單元170向用戶提供音頻接口�����,其可包括一個或多個麥克風���、一個或者多個揚聲器以及音頻電路��。
顯示單元180在所述用戶終端與用戶之間提供一個交互界面(例如用戶操作界面)或用于顯示圖像數(shù)據(jù)給用戶參考�����。在本實施例中��,所述顯示單元可以是液晶顯示器或觸控顯示器��。若為觸控顯示器�,其可為支持單點和多點觸控操作的電容式觸控屏或電阻式觸控屏等。支持單點和多點觸控操作是指觸控顯示器能感應到來自該觸控顯示器上一個或多個位置處同時產(chǎn)生的觸控操作����,并將該感應到的觸控操作交由處理器進行計算和處理。
可以理解���,圖2所示的結構僅為示意�,用戶終端100還可包括比圖2中所示更多或者更少的組件��,或者具有與圖2所示不同的配置��。圖2中所示的各組件可以采用硬件�、軟件或其組合實現(xiàn)�。
如圖3所示�����,是上述系統(tǒng)中一種云管理服務器200的方框示意圖�����。所述云管理服務器200包括登錄認證裝置800�����、存儲器220����、處理器230�。
所述云管理服務器200中的存儲器220、及處理器230均可參照關于用戶終端100的描述��,這里不再贅述�����。
圖4示出了本發(fā)明第二實施例提供的登錄認證方法的流程圖��,請參閱圖4,該登錄認證方法可以運行于如圖1所示的登錄認證系統(tǒng)中的云管理服務器200中����,該方法包括:
步驟s511,云管理服務器接收用戶終端的登錄請求并進行身份認證��。
該登錄請求中包括了用戶身份信息�,該用戶身份信息可以是用戶名,也可以包括身份證號����、護照號、電話號碼等身份識別號���,并不局限于此���。該登錄請求中除了包括用戶身份信息外,還可以包括其它信息����,例如,登錄密碼��,隨機驗證碼等���,此處不再贅述��。
當云管理服務器接收到該登錄請求后���,可以自身對該登錄請求中的用戶身份信息進行驗證���,也可以將登錄請求發(fā)送到認證服務器,以使所述認證服務器對所述用戶身份信息進行認證�,當認證服務器對該用戶身份信息認證成功后,返回用于確認認證成功的信息到該云管理服務器�����。
步驟s512����,當身份認證通過時,向所述用戶終端發(fā)送用于標識用戶身份的唯一標識符���。
作為一種實施方式,當身份認證通過時����,云管理服務器生成用于標識用戶身份的唯一標識符token�����,該token與用戶身份信息對應��,并將該token發(fā)送到用戶終端����。當然����,該用于標識用戶身份的唯一標識符也可以是預先生成并與該用戶身份信息綁定的,但用戶身份認證通過時�����,則根據(jù)用戶的身份信息查找到與之對應的用于標識用戶身份的唯一標識符�����,并發(fā)送到用戶終端����。
當用戶終端接收到該用于標識用戶身份的唯一標識符后,向云管理服務器發(fā)送連接請求,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符�����。
步驟s513�����,接收所述用戶終端發(fā)送的連接請求��,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符�。
所述待連接虛擬機的身份信息可以是待連接虛擬機的名稱或者編號等。
步驟s514�����,向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息����,以使所述硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機。
可以理解的是�,虛擬化服務器對應一個虛擬化平臺�,該虛擬化平臺通過虛擬化技術配置出多個虛擬機,每臺虛擬機有一個與其對應的硬件模擬模塊����。該硬件模擬模塊中可以模擬出該虛擬機對應的虛擬顯卡����,虛擬鼠標����,虛擬鍵盤等。作為一種實施方式����,云管理服務器可以向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊中的虛擬顯卡發(fā)送授權通知信息。
作為一種實施方式���,該唯一標識符具有時效性����,其中�,該時效性是指虛擬化服務器對唯一標識符的驗證具有時效性。具體的�����,若所述虛擬化服務器中的與所述待連接虛擬機對應的硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機后����,若超過預設時間�,該唯一標識符對應的用戶再訪問所述待連接虛擬機�,則訪問失效。
作為另一種實施方式����,該唯一標識符具有有效使用次數(shù),其中����,該有效使用次數(shù)是指虛擬化服務器對唯一標識符的驗證具有有效使用次數(shù)。具體的����,若有效使用次數(shù)為1次,則對該唯一標識符授權的虛擬機在接收到一次連接后��,該唯一標識符就會失效����,也就是說,當該虛擬機再次接收到連接請求時��,即使連接請求中攜帶了此已授權的唯一標識符����,該虛擬機也不會同意此連接請求��。
當然,該唯一標識符的時效性及有效使用次數(shù)可以配合使用���,此處不再贅述���。上述對唯一標識符的限制,避免了中間人攻擊竊取token來進行桌面連接的危險�����,進一步保證了登錄認證的安全性��。
步驟s515�����,向所述用戶終端發(fā)送所述虛擬化服務器的網(wǎng)絡地址信息�,以使所述用戶終端根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機。
其中���,所述虛擬化服務器的網(wǎng)絡地址信息可以包括上述虛擬化服務器的ip地址以及該所述待連接虛擬機對應的硬件模擬模塊監(jiān)聽的端口信息����。
當云管理服務器向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息后,可以等到接收到所述虛擬化服務器返回的確認授權消息后��,再向所述用戶終端發(fā)送所述虛擬化服務器的網(wǎng)絡地址信息�����;當然�,也可以在向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息后,立刻向所述用戶終端發(fā)送所述虛擬化服務器的網(wǎng)絡地址信息�����。當用戶終端接收到所述虛擬化服務器的網(wǎng)絡地址信息���,根據(jù)所述網(wǎng)絡地址信息可以訪問所述虛擬化服務器�,進一步的訪問到該虛擬化服務器上與所述待連接虛擬機對應的硬件模擬模塊���,具體的����,可以是該待連接虛擬機的虛擬顯卡���,當虛擬機需要將圖像數(shù)據(jù)發(fā)送到用戶終端時�����,可以將該圖像數(shù)據(jù)通過顯卡驅(qū)動���,傳輸給虛擬顯卡,虛擬顯卡再將該圖像數(shù)據(jù)直接傳輸給用戶終端或者通過云管理服務器轉(zhuǎn)發(fā)給用戶終端����,可以理解的是,虛擬顯卡是運行是在虛擬化服務器上的����,要連接該虛擬顯卡,使用的是虛擬化服務器本身的網(wǎng)絡�,不依賴于虛擬機的網(wǎng)絡。
本發(fā)明實施例提供的登錄認證方法����,通過云管理服務器接收用戶終端的登錄請求并進行身份認證,當身份認證通過時���,向所述用戶終端發(fā)送用于標識用戶身份的唯一標識符�,接收所述用戶終端發(fā)送的連接請求,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符����,向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息,以使所述硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機�����,向所述用戶終端發(fā)送所述待連接虛擬機的網(wǎng)絡地址信息��,以使所述用戶終端根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機�,這種方式下,登錄認證時不需要虛擬機內(nèi)部的組件參與��,而是與待連接虛擬機對應的硬件模擬模塊進行交互�����,即不需要虛擬機的網(wǎng)絡可達����,只需要虛擬化服務器的網(wǎng)絡可達即可完成登錄認證,進一步的����,也保證了登錄認證的安全性�����。
圖5示出了本發(fā)明第三實施例提供的登錄認證方法的流程圖��,請參閱圖5�,該登錄認證方法運行于如圖1所示的登錄認證系統(tǒng)中的用戶終端100中�����,該方法包括:
步驟s611���,用戶終端向云管理服務器發(fā)送登錄請求。
步驟s612����,接收所述云管理服務器返回的用于標識用戶身份的唯一標識符。
步驟s613����,向所述云管理服務器發(fā)送連接請求,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符���。
步驟s614���,接收所述管理服務器發(fā)送的虛擬化服務器的網(wǎng)絡地址信息�,根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機���。
進一步的���,當該用戶終端接收所述管理服務器發(fā)送的虛擬化服務器的網(wǎng)絡地址信息,可以通過云管理服務器向所述待連接虛擬機所在的虛擬化服務器發(fā)起連接����,也可以直接根據(jù)所述網(wǎng)絡地址信息向所述待連接虛擬機所在的虛擬化服務器發(fā)起連接。
具體的�����,可以設置兩種模式�,例如,轉(zhuǎn)發(fā)模式和直連模式���。若用戶終端桌面設置為轉(zhuǎn)發(fā)模式��,用戶終端向云管理服務器發(fā)起連接���,云管理服務器再連接到虛擬化服務器���;如果用戶終端桌面設置為直連模式,用戶終端直接連接到虛擬化服務器���。
本發(fā)明實施例提供的登錄認證方法�����,通過云管理服務器接收用戶終端的登錄請求并進行身份認證���,當身份認證通過時,向所述用戶終端發(fā)送用于標識用戶身份的唯一標識符���,接收所述用戶終端發(fā)送的連接請求,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符���,向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息�����,以使所述硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機���,向所述用戶終端發(fā)送所述待連接虛擬機的網(wǎng)絡地址信息�����,以使所述用戶終端根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機�����,這種方式下�,登錄認證時不需要虛擬機內(nèi)部的組件參與��,而是與待連接虛擬機對應的硬件模擬模塊進行交互���,即不需要虛擬機的網(wǎng)絡可達��,只需要虛擬化服務器的網(wǎng)絡可達即可完成登錄認證����,進一步的�����,也保證了登錄認證的安全性�����。
請參閱圖6,如圖6所示����,是本發(fā)明第四實施例提供的一種登錄認證系統(tǒng)。所述系統(tǒng)包括用戶終端100���、云管理服務器200��、虛擬化服務器300���、連接服務器410、通用認證服務器420�、及認證服務器430。所述連接服務器410通過網(wǎng)絡分別與用戶終端100�����、通用認證服務器420��、及云管理服務器200進行通信連接�,以進行數(shù)據(jù)通信或交互���。所述通用認證服務器420通過網(wǎng)絡分別與連接服務器410�、認證服務器430及云管理服務器200進行通信連接,以進行數(shù)據(jù)通信或交互���。所述云管理服務器200通過網(wǎng)絡分別與連接服務器410����、通用認證服務器420及虛擬化服務器300進行通信連接��,以進行數(shù)據(jù)通信或交互���。作為一種實施方式�����,可以將該連接服務器410�����、通用認證服務器420���、及認證服務器430中的一個或多個以軟件模塊的形式集成到該云管理服務器200。
圖7示出了可以應用于圖6所示的登錄認證系統(tǒng)中的登錄認證方法的流程圖����,該方法包括:
步驟s711��,云管理服務器發(fā)送查詢信息到通用認證模塊�,該查詢信息用于查詢認證服務器上待綁定用戶身份信息���。
該通用認證模塊中封裝了用戶認證調(diào)用�,使得認證服務器中的認證系統(tǒng)����,即無論是ad認證系統(tǒng)還是非ad認證系統(tǒng),對云管理服務器而言是一樣的���,屏蔽了不同場景下用戶體系的差異���。
步驟s712,該通用認證模塊將所述查詢信息發(fā)送到認證服務器�。
該認證服務器中可以是基于ad認證系統(tǒng),也可以是基于非ad認證系統(tǒng)����,此處不作限制。該認證服務器中預先存儲一些合法用戶的身份信息�,該云管理服務器可以首先發(fā)送查詢信息,用于向該認證服務器查詢待綁定用戶身份信息�,該認證服務器將通過查詢,將待綁定用戶身份信息發(fā)送到該云管理服務器�。
步驟s713,認證服務器將待綁定用戶身份信息發(fā)送到該通用認證模塊�。
步驟s714,該通用認證模塊將待綁定用戶身份信息返回到云管理服務器��。
步驟s715����,所述云管理服務器從其管理的虛擬機中選擇一個或多個虛擬機,將所述待綁定用戶身份信息與所述一個或多個虛擬機進行綁定�����。
步驟s716����,用戶終端向連接服務模塊發(fā)送登錄請求,所述登錄請求中包括用戶身份信息��。
該連接服務模塊是專門用于負責用戶終端與云管理服務器或通用認證模塊間的連接服務的模塊��,能夠起到隔離的作用��,使得整個登錄認證更加安全可靠。
步驟s717����,該連接服務模塊將該登錄請求發(fā)送到通用認證模塊。
步驟s718��,該通用認證模塊再將該登錄請求發(fā)送到認證服務器�����。
作為另一種實施方式�����,該通用認證模塊可以將該登錄請求轉(zhuǎn)換為認證請求���,并將所述認證請求發(fā)送到認證服務器��。
步驟s719����,該認證服務器對該登錄請求進行認證���。
若該認證服務器接收到的是認證請求���,則對該認證請求進行認證�。
步驟s720�,當認證服務器認證通過后�����,發(fā)送用于確認認證通過的信息到該通用認證模塊���。
作為一種實施方式�,該通用認證模塊接收到所述用于確認認證通過的信息后�,該通用認證模塊可以記錄所述用戶身份信息的登錄狀態(tài),當再次接收到的所述登錄請求中包括該已經(jīng)驗證通過的用戶身份信息時�����,則無需將該登錄請求發(fā)送到認證服務器�,使得該認證服務器對該用戶身份信息進行再次驗證。
步驟s721����,該通用認證模塊向連接服務模塊發(fā)送用于標識用戶身份的唯一標識符。
步驟s722����,該連接服務模塊返回所述用于標識用戶身份的唯一標識符及認證成功的信息到用戶終端����。
步驟s723��,用戶終端向連接服務模塊發(fā)送虛擬機列表請求信息��,所述列表請求信息中包括用戶身份信息及所述唯一標識符�。
步驟s724,所述連接服務模塊將虛擬機列表請求信息發(fā)送到云管理服務器����。
步驟s725,所述云管理服務器將該虛擬機列表請求信息中的所述唯一標識符發(fā)送至通用認證模塊�����。
步驟s726���,該通用認證模塊對該唯一標識符進行驗證����。
步驟s727,若認證成功���,向所述云管理服務器發(fā)送認證通過的信息�����。
步驟s728����,當云管理服務器接收到該認證通過的信息�����,云管理服務器將與所述用戶身份信息綁定的虛擬機列表返回到連接服務模塊���。
步驟s729,連接服務模塊再將該虛擬機列表返回到用戶終端���。
步驟s730��,用戶終端從所述虛擬機列表中選擇待連接虛擬機�����,并向所述連接服務模塊發(fā)送連接請求�,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符。
步驟s731����,所述連接服務模塊將所述連接請求中的所述唯一標識符發(fā)送到所述通用認證模塊。
步驟s732��,所述通用認證模塊對所述唯一標識符進行認證���。
步驟s733����,若認證成功�,向所述連接服務模塊發(fā)送認證通過的信息以及臨時會話標識符。
步驟s734�,該連接服務模塊向云管理服務器發(fā)送授權通知信息,該授權通知信息包該臨時會話標識符��。
步驟s735�,該云管理服務器將所述授權通知信息發(fā)送到虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊,以使所述硬件模擬模塊授權所述臨時會話標識符對應的用戶可訪問所述待連接虛擬機�。
步驟s736,云管理服務器向連接服務模塊返回所述虛擬化服務器的網(wǎng)絡地址信息及該臨時會話標識符�����。
步驟s737,該連接服務模塊向所述用戶終端返回虛擬化服務器的網(wǎng)絡地址信息及該臨時會話標識符�����。
步驟s738�,用戶終端根據(jù)所述網(wǎng)絡地址信息及所述臨時會話標識符訪問所述待連接虛擬機。
可以理解到的是����,用戶終端根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機時發(fā)送的訪問請求中也需攜帶該臨時會話標識符,虛擬化服務器通過該臨時會話標識符來確定是否讓所述用戶終端訪問所述待連接虛擬機��?�?梢岳斫獾氖?��,由于用戶每次認證都會分配一個臨時會話標識符,因此即使本次分配的臨時會話標識符被中間人截獲了�����,則用戶可以通過重新認證再次獲得新的臨時會話標識符��,并使該臨時會話標識符失效��,然后采用該新的臨時會話標識符重新登錄待連接待虛擬機���,因此采用臨時會話標識符可以進一步加強安全性�。
本發(fā)明實施例提供的登錄認證方法���,除了可以實現(xiàn)上述實施例能夠?qū)崿F(xiàn)的功能外�����,還使用通用認證模塊封裝用戶認證調(diào)用�����,屏蔽了不同場景下用戶體系的差異�,使得系統(tǒng)支持多種用戶體系(無論是ad認證系統(tǒng)還是非ad認證系統(tǒng))進行用戶登錄認證和桌面交付���,進一步的����,還采用了連接服務模塊專門負責連接服務��,起到了隔離的作用,使得整個登錄認證過程更加安全��。
請參閱圖8�,是本發(fā)明第六實施例提供的登錄認證裝置800的功能模塊示意圖。所述登錄認證裝置800運行于云管理服務器200中���。所述登錄認證裝置800包括第一接收模塊810����,第一返回模塊820���,第二接收模塊830�����,第一發(fā)送模塊840��,以及第二返回模塊850。
第一接收模塊810�����,用于接收用戶終端的登錄請求并進行身份認證��。
第一返回模塊820,用于當身份認證通過時�,向所述用戶終端發(fā)送用于標識用戶身份的唯一標識符。
第二接收模塊830�����,用于接收所述用戶終端發(fā)送的連接請求�,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符。
第一發(fā)送模塊840����,用于向虛擬化服務器中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息,以使所述硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機���。
第二返回模塊850�,用于向所述用戶終端發(fā)送所述虛擬化服務器的網(wǎng)絡地址信息����,以使所述用戶終端根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機。
以上各模塊可以是由軟件代碼實現(xiàn)�,此時,上述的各模塊可存儲于云管理服務器200的存儲器內(nèi)���。以上各模塊同樣可以由硬件例如集成電路芯片實現(xiàn)�����。
請參閱圖9����,是本發(fā)明第七實施例提供的登錄認證裝置900的功能模塊示意圖。所述登錄認證裝置900運行于用戶終端100中����。所述裝置包括:第二發(fā)送模塊910、第三接收模塊920��、第三發(fā)送模塊930��、及第四接收模塊940���。
第二發(fā)送模塊910����,用于向云管理服務器發(fā)送登錄請求����。
第三接收模塊920�����,用于接收所述云管理服務器返回的用于標識用戶身份的唯一標識符。
第三發(fā)送模塊930�����,用于向所述云管理服務器發(fā)送連接請求��,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符���。
第四接收模塊940���,用于接收所述管理服務器發(fā)送的虛擬化服務器的網(wǎng)絡地址信息,根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機��。
以上各模塊可以是由軟件代碼實現(xiàn)��,此時���,上述的各模塊可存儲于用戶終端100的存儲器內(nèi)�����。以上各模塊同樣可以由硬件例如集成電路芯片實現(xiàn)��。
本發(fā)明實施例還提供了一種登錄認證系統(tǒng)�����,所述系統(tǒng)包括云管理服務器200�����、用戶終端100及虛擬化服務器300�。
所述云管理服務器200,用于接收所述用戶終端100的登錄請求并進行身份認證�����;當身份認證通過時�����,向所述用戶終端100發(fā)送用于標識用戶身份的唯一標識符��;接收所述用戶終端100發(fā)送的連接請求����,所述連接請求中包括待連接虛擬機的身份信息及所述唯一標識符;向虛擬化服務器300中與所述待連接虛擬機對應的硬件模擬模塊發(fā)送授權通知信息,以使所述硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機���;向所述用戶終端100發(fā)送所述虛擬化服務器的網(wǎng)絡地址信息,以使所述用戶終端100根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機�����。
所述用戶終端100��,用于向所述云管理服務器200發(fā)送登錄請求����,接收所述云管理服務器200發(fā)送的用于標識用戶身份的唯一標識符;向所述云管理服務器200發(fā)送所述連接請求��;接收所述云管理服務器200發(fā)送的所述虛擬化服務器的網(wǎng)絡地址信息��,根據(jù)所述網(wǎng)絡地址信息訪問所述待連接虛擬機����。
所述虛擬化服務器300,用于接收所述云管理服務器200發(fā)送的所述授權通知信息�����,以使所述虛擬化服務器300中與所述待連接虛擬機對應的硬件模擬模塊授權所述唯一標識符對應的用戶可訪問所述待連接虛擬機。
需要說明的是��,本說明書中的各個實施例均采用遞進的方式描述�,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似的部分互相參見即可��。
本發(fā)明實施例所提供的登錄認證裝置及系統(tǒng)�,其實現(xiàn)原理及產(chǎn)生的技術效果和前述方法實施例相同,為簡要描述��,裝置實施例部分未提及之處�����,可參考前述方法實施例中相應內(nèi)容�����。
在本申請所提供的幾個實施例中���,應該理解到�,所揭露的裝置和方法���,也可以通過其它的方式實現(xiàn)�。以上所描述的裝置實施例僅僅是示意性的,例如�,附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個實施例的裝置、方法和計算機程序產(chǎn)品的可能實現(xiàn)的體系架構���、功能和操作�。在這點上�����,流程圖或框圖中的每個方框可以代表一個模塊�����、程序段或代碼的一部分��,所述模塊�����、程序段或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令�����。也應當注意����,在有些作為替換的實現(xiàn)方式中,方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生�����。例如���,兩個連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行�����,它們有時也可以按相反的順序執(zhí)行��,這依所涉及的功能而定�����。也要注意的是���,框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合����,可以用執(zhí)行規(guī)定的功能或動作的專用的基于硬件的系統(tǒng)來實現(xiàn)��,或者可以用專用硬件與計算機指令的組合來實現(xiàn)�。
另外�����,在本發(fā)明各個實施例中的各功能模塊可以集成在一起形成一個獨立的部分�,也可以是各個模塊單獨存在,也可以兩個或兩個以上模塊集成形成一個獨立的部分���。
所述功能如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時,可以存儲在一個計算機可讀取存儲介質(zhì)中���?���;谶@樣的理解����,本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中����,包括若干指令用以使得一臺計算機設備(可以是個人計算機���,服務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟����。而前述的存儲介質(zhì)包括:u盤、移動硬盤�����、只讀存儲器(rom�,read-onlymemory)、隨機存取存儲器(ram���,randomaccessmemory)�、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�����。需要說明的是��,在本文中���,諸如第一和第三等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來���,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序����。而且��,術語“包括”���、“包含”或者其任何其他變體意在涵蓋非排他性的包含����,從而使得包括一系列要素的過程����、方法�����、物品或者設備不僅包括那些要素���,而且還包括沒有明確列出的其他要素�,或者是還包括為這種過程����、方法�����、物品或者設備所固有的要素����。在沒有更多限制的情況下�����,由語句“包括一個……”限定的要素����,并不排除在包括所述要素的過程、方法����、物品或者設備中還存在另外的相同要素。
以上所述僅為本發(fā)明的優(yōu)選實施例而已�,并不用于限制本發(fā)明,對于本領域的技術人員來說��,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改�、等同替換、改進等�,均應包含在本發(fā)明的保護范圍之內(nèi)。應注意到:相似的標號和字母在下面的附圖中表示類似項����,因此,一旦某一項在一個附圖中被定義�����,則在隨后的附圖中不需要對其進行進一步定義和解釋�����。
以上所述����,僅為本發(fā)明的具體實施方式�����,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi)�,可輕易想到變化或替換,都應涵蓋在本發(fā)明的保護范圍之內(nèi)�。因此,本發(fā)明的保護范圍應所述以權利要求的保護范圍為準��。