CN104168304A - Vdi环境下的单点登录系统及方法 - Google Patents
Vdi环境下的单点登录系统及方法 Download PDFInfo
- Publication number
- CN104168304A CN104168304A CN201310381778.7A CN201310381778A CN104168304A CN 104168304 A CN104168304 A CN 104168304A CN 201310381778 A CN201310381778 A CN 201310381778A CN 104168304 A CN104168304 A CN 104168304A
- Authority
- CN
- China
- Prior art keywords
- vdi
- authentication information
- user terminal
- virtual desktop
- goal systems
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种在VDI环境下的单点登录系统和方法。本发明一实施例的VDI环境下的单点登录系统包括:VDI服务服务器,根据用户终端的请求向所述用户终端提供虚拟桌面环境;VDI认证联动网关,从所述VDI服务服务器接收所述用户终端的VDI环境信息,利用所接收的所述VDI环境信息在所述虚拟桌面环境内代理执行针对目标系统的用户认证。
Description
技术领域
本发明涉及在虚拟桌面基础架构(Virtual Desktop Infrastructure,VDI)环境下提供单点登录(SSO;Single-Sign-On)服务的技术。
背景技术
虚拟桌面基础架构是指(Virtual Desktop Infrastructure,VDI)在通过网络连接的服务器上构建虚拟桌面环境,用户通过仅由键盘、鼠标等输入设备和显示器等必要装置构成的瘦客户机或零客户机连接所述服务器而在虚拟桌面内执行作业的形态的计算技术。VDI可使用户与物理环境无关地使用相同的桌面环境,在安全性方面也有优点,因此将企业等业务环境作为中心其使用逐渐呈增加的趋势。
另外,单点登录(SSO;Single-Sign-On)技术是指仅通过一次登录过程就可以自动地连接到多个服务的技术。例如,假设为了执行业务而需要分别连接到A、B、C三个系统。此时,如果没有采用SSO,则需要在三个系统中分别输入ID和密码,但如果采用了SSO,则仅通过登录到一个系统就能够自动地连接到剩余的系统中。
假设用户利用自己当前正在使用的客户机连接到VDI系统内的虚拟桌面,并在连接的虚拟桌面内登录到目标系统(例如,公司内部业务系统)。此时,用户首先利用自己的客户机登录到VDI服务系统而连接到虚拟桌面,并在所连接的虚拟桌面内再次登录到目标系统。即,为了通过虚拟桌面连接目标系统,用户需要经过包括登录到VDI服务系统和登录到目标系统的两个步骤过程,因此存在不便之处。
为了解决这样的不便,可以考虑通过SSO整合VDI服务系统登录和目标系统登录的方案。但是,VDI服务系统的登录是在用户正在使用的本地终端(本地桌面)执行,目标系统登录是在VDI服务系统内的虚拟桌面内执行,出于安全等原因,本地终端(本地桌面)和虚拟桌面之间除了键盘输入、画面传送之外的所有信息交换都被阻止,因此现有的VDI服务系统中无法提供VDI服务系统登录和目标系统登录之间的SSO功能。
发明内容
本发明的实施例用于提供在用户的本地终端(本地桌面)将VDI环境下的虚拟桌面连接和虚拟桌面内的目标系统连接进行整合,由此仅通过一次登录过程就能够实现的手段。
根据本发明一实施例的VDI环境下的单点登录系统包括:VDI服务服务器,根据用户终端的请求向所述用户终端提供虚拟桌面环境;VDI认证联动网关,从所述VDI服务服务器接收所述用户终端的VDI环境信息,利用所接收的所述VDI环境信息在所述虚拟桌面环境内代理执行针对目标系统的用户认证。
所述VDI环境信息可包括所述用户终端的VDI账户信息、所述用户终端的本地IP地址、虚拟桌面IP地址、所述虚拟桌面的主机名、所述虚拟桌面所属的域组、所述用户终端的硬件信息中的一个以上。
所述VDI认证联动网关可利用所接收的所述VDI环境信息生成用户认证信息,并将所生成所述认证信息加密而发送给所述目标系统。
所述VDI认证联动网关可判断所述目标系统是否为单点登录对象,所述判断结果,若是单点登录对象,则可生成所述用户认证信息。
被加密的所述认证信息可包括所述认证信息的生成时刻。
所述VDI认证联动网关可利用所述认证信息的生成时刻对所生成的所述认证信息进行一次加密,并利用已设定的加密密钥对包括被一次加密的所述认证信息和所述认证时刻的文字列进行二次加密而发送给所述目标系统。
所述目标系统可利用预设的解密密钥对从所述VDI认证联动网关接收的文字列进行解密,提取所述被一次加密的认证信息和所述生成时刻,并利用所提取的所述生成时刻从所述被一次加密的认证信息获取所述用户认证信息,且利用所获取的所述用户认证信息和从所述VDI服务服务器获取的VDI环境信息在所述虚拟桌面环境内执行针对所述用户终端的认证。
所述目标系统在所获取的所述生成时刻和当前时刻之间的差异超出预定范围时,可判断为所述认证失败。
所述目标系统在所获取的所述用户认证信息和从所述VDI服务服务器获取的VDI环境信息不同时,可判断为所述认证失败。
另外,根据本发明一实施例的VDI环境下的单点登录方法包括如下步骤:在VDI服务服务器中,根据用户终端的请求向所述用户终端提供虚拟桌面环境;在VDI认证联动网关中,从所述VDI服务服务器接收所述用户终端的VDI环境信息,利用所接收的所述VDI环境信息在所述虚拟桌面环境内代理执行针对目标系统的用户认证。
所述VDI环境信息可包括所述用户终端的VDI账户信息、所述用户终端的本地IP地址、虚拟桌面IP地址、所述虚拟桌面的主机名、所述虚拟桌面所属的域组、所述用户终端的硬件信息中的一个以上。
代理执行所述用户认证的步骤可构成为,利用所接收的所述VDI环境信息生成用户认证信息,并将所生成的所述认证信息加密而发送给所述目标系统。
代理执行所述用户认证步骤还可以包括步骤:判断所述目标系统是否为单点登录对象,所述判断结果,若是单点登录对象,则所述VDI认证联动网关可生成所述用户认证信息。
被加密的所述认证信息可包括所述认证信息的生成时刻。
代理执行所述用户认证的步骤还可以包括步骤:利用所述认证信息的生成时刻对所生成的所述认证信息进行一次加密;利用预设的加密密钥对被一次加密的认证信息和所述认证时刻进行二次加密而发送给所述目标系统。
所述目标系统可利用预设的解密密钥对从所述VDI认证联动网关接收的文字列进行解密,提取所述被一次加密的认证信息和所述生成时刻,并利用所提取的所述生成时刻从所述被一次加密的认证信息获取所述用户认证信息,且利用所获取的所述用户认证信息和从所述VDI服务服务器获取的VDI环境信息在所述虚拟桌面环境内执行针对所述用户终端的认证。
所述目标系统在所获取的所述用户认证信息和从所述VDI服务服务器获取的VDI环境信息不同时,可判断为所述认证失败。
所述目标系统在所获取的所述生成时刻和当前时刻之间的差异超出预定范围时,可判断为所述认证失败。
根据本发明的实施例,通过在本地终端(本地桌面)整合VDI环境下的对虚拟桌面的连接和虚拟桌面内的对目标系统的连接,由此用户仅通过一次登录过程就可以完成对VDI虚拟桌面的连接和对目标系统的连接,可增加在VDI环境下的用户的方便性。
附图说明
图1为用于说明根据本发明一实施例的VDI环境下的单点登录系统100的框图。
图2为示出根据本发明一实施例的VDI服务服务器104的具体构成的框图。
图3为用于说明根据本发明一实施例的VDI环境下的单点登录方法300的流程图。
主要符号说明
100:VDI环境下的单点登录系统
102:用户终端
104:VDI服务服务器
106:VDI认证联动网关
108:目标系统
200:VDI网络门户服务器
202:数据库
204:VDI管理服务器
206:数据存贮服务器
208:VDI主服务器
具体实施方式
以下,参照附图对本发明的具体实施形态进行说明。但这仅仅属于例示,本发明并不局限于此。
在对本发明进行说明时,当判断为对与本发明相关的公知技术的具体说明将不必要地混淆本发明的要旨时,省略其具体说明。而且,后述的术语为考虑到在本发明中的功能而进行定义的术语,根据使用者、应用者的意图或惯例等而可能不同。因此,其定义应基于整个本说明书的内容来定。
本发明的技术思想由权利要求书所保护的范围来定,以下实施例仅仅是用于有效地向本发明所属技术领域中具有普通知识的技术人员说明本发明的技术思想的手段。
图1为用于说明根据本发明一实施例的VDI环境下的单点登录系统100的框图。如图所示,根据本发明一实施例的VDI环境下的单点登录系统100包括用户终端102、VDI服务服务器104、VDI认证联动网关106、目标系统108。
用户终端102连接到后述的VDI服务服务器104而得到虚拟桌面服务的用户设备。用户终端102可包括配备有用于输入输出数据的适当的输入单元、输出单元以及用于连接到VDI服务服务器104的网络连接单元的所有种类的设备。例如,用户终端102可包括桌面计算机、笔记本计算机等个人计算机,或者移动通信终端、智能手机、平板等便携式设备。
用户终端102可连接到VDI服务服务器104并执行认证,以得到虚拟桌面。此时,所述认证例如可利用用户输入的ID和密码来执行,但本发明并不局限于特定的认证方式。
VDI服务服务器104根据用户终端102的请求向用户终端102提供虚拟桌面环境。而且,VDI服务服务器104根据后述的VDI认证联动网关106的请求将用户终端102的VDI环境信息提供给VDI认证联动网关106。具体的VDI服务服务器104的具体结构将在图2中详细说明。
VDI认证联动网关106从VDI服务服务器104接收用户终端102的VDI环境信息,并利用所接收的所述VDI环境信息在所述用户终端102所连接的虚拟桌面环境内代理执行针对目标系统108的用户认证。
目标系统108是连接于虚拟桌面的用户终端102在所述虚拟终端内执行连接的系统。在本发明的实施例中,对于目标系统108的种类并没有特别的限定,例如企业或特定团体的公司内部局域网系统或网络门户等均可成为本发明的目标系统108。
在本发明的实施例中,目标系统108从VDI认证联动网关106接收用户终端102的认证请求,将所接收的认证请求中包含的信息与目标系统108中通过VDI服务服务器104查询的VDI环境信息进行比较,据此同意或阻止用户终端102所连接的虚拟桌面环境下的用户的连接。VDI认证联动网关106和目标系统108之间的具体认证关系将后述。
图2为示出根据本发明一实施例的VDI服务服务器104的具体构成的框图。但是,图示的VDI服务服务器104的构成仅仅是举例性的,应留意后述的实施例只不过是为了有助于对本发明的理解而记载的根据本发明实施例的VDI服务服务器104的可实现的多个实施例中的一个。即,根据本发明的VDI环境下的单点登录系统100中,VDI认证联动网关106构成为与VDI服务服务器的种类无关地可与任何形态的VDI服务服务器联系而执行目标系统108的登录。据此,在对本发明的权利范围进行解释时,VDI服务服务器104应解释为除了图2所例示的以外,还包括可利用的所有种类的VDI服务提供系统。
如图所示,根据本发明一实施例的VDI服务服务器104由包括VDI网络门户服务器200、数据库202、VDI管理服务器204、数据存贮服务器206、VDI主服务器208的一系列服务器组构成。
VDI网络门户服务器200是想要得到VDI服务的用户终端102最先访问的服务器。VDI网络门户服务器200可具备用于连接和认证用户终端102的适当的接口,例如所述接口可以构成为网页形态。
为了利用虚拟桌面,用户终端102可连接到VDI网络门户服务器200而输入用户终端102的认证所需的信息。此时,所述认证所需的信息例如可以是使用用户终端102的用户的ID/密码。VDI网络门户服务器200将输入的信息与存储在数据库202内的信息进行比较而同意或阻止用户终端102的连接。所述数据库例如可以由动态目录(Active Directory)、远程认证拨号用户服务(Radius)、甲骨文数据库(Oracle DB)等执行认证并存储和管理认证信息的硬件设备构成。
数据库202为存储用户终端102认证所需的信息的空间。如前所述,VDI网络门户服务器200从从用户终端102接收到认证请求时,将所接收的信息与存储在数据库202的信息进行比较而对用户终端102进行认证。
而且,数据库202存储和管理各个用户终端102的VDI环境信息。此时,所述VDI环境信息可包括所述用户终端102的VDI账户信息、用户终端102的本地IP地址、虚拟桌面IP地址、虚拟桌面的主机名(hostname)、所述虚拟桌面所属的域组、用户终端102的硬件信息中的一个以上而构成。所述信息中,用户终端102的本地IP地址和用户终端102的硬件信息可在用户终端102的认证过程中由用户终端102获得。而且,所述硬件信息可包括用户终端102的中央处理装置或内存规格、或者构成用户终端102的各个组件的序列号等可从硬件上识别用户终端102的所有种类的信息。
VDI管理服务器204从VDI网络门户服务器200接收完成认证的用户终端102的虚拟桌面生成请求,据此将存储于数据库202的用户终端102的VDI环境信息提供给VDI主服务器208。而且,VDI管理服务器204生成用户终端102的虚拟桌面图像,并将所生成的虚拟桌面图像提供给VDI主服务器208。为此,VDI管理服务器204可包括用于管理和提供VDI环境信息的桌面交付控制器(Desktop Delivery Controller,DDC)、虚拟机(Virtual Machine,VM)管理器、用于生成虚拟桌面图像的预配置服务器(Provisioning Server,PVS)等。
数据存贮服务器206存储和管理用户终端102在虚拟桌面内使用的文件等的用户数据。数据存贮服务器206根据VDI主服务器208的请求将所述用户数据提供给VDI主服务器208。
VDI主服务器208利用从VDI管理服务器204接收的用户终端102的VDI环境信息和虚拟桌面图像以及从数据存贮服务器206接收的用户数据生成虚拟桌面,并将所生成的虚拟桌面提供给用户终端102。即,最初连接到VDI网络门户服务器200而执行了认证的用户终端102,之后连接到VDI主服务器208而使用虚拟桌面。
图3为用于说明根据本发明一实施例的VDI环境下的单点登录方法300的流程图。
用户终端102为了连接到虚拟桌面而执行作业,首先向VDI网络门户服务器200发送VDI连接请求(302)。如前所述,所述连接请求可包括用户认证所需的信息(例如,ID/密码)。
接收到所述VDI连接请求的VDI网络门户服务器200将包含于所接收的连接请求的信息与存储在数据库202的信息进行比较,由此进行用户认证(304)。完成认证之后,VDI网络门户服务器200向VDI管理服务器204发送虚拟桌面生成请求(306)。
之后,VDI管理服务器204在数据库202中查询相关用户终端102的VDI环境信息并获取(308)。如前所述,所述VDI环境信息可包括用户终端102的VDI账户信息、用户终端102的本地IP地址、虚拟桌面IP地址、虚拟桌面的主机名(hostname)、虚拟桌面所属的域组、用户终端102的硬件信息中的一个以上而构成。当获取到VDI环境信息时,VDI管理服务器204将所述VDI环境信息发送给VDI主服务器208(310)。而且,VDI管理服务器204生成用户终端102的虚拟桌面图像,并将其发送给VDI主服务器208(312)。
另外,数据存贮服务器206向VDI主服务器208发送用户终端102的用户数据(314)。虽然在图示的实施例中,示出了前述的310、312、314步骤按照时间顺序执行,但是这仅仅是举例性的,各个步骤可同时执行也可以更换顺序执行,这对于本领域技术人员来说是显而易见的事项。
VDI主服务器208利用在所述310步骤中接收的用户终端102的VDI环境信息、在所述312步骤中接收的虚拟桌面图像以及在所述314步骤中接收的用户数据生成虚拟桌面,并将所生成的虚拟桌面提供给用户终端102(316)。于是,用户终端102执行针对所生成的虚拟桌面的连接(318)。
经过上述过程,在用户终端102连接到虚拟桌面之后,若在虚拟桌面内尝试连接到目标系统108,则VDI认证联动网关106从VDI服务服务器104接收用户终端102的VDI环境信息,并利用所接收的所述VDI环境信息在所述虚拟桌面环境内代理执行针对目标系统108的用户认证。进一步详细说明上述过程如下。
首先,VDI主服务器208在完成用户终端102的虚拟桌面连接之后,向VDI认证联动网关106发送对目标系统的连接请求(320)。在一实施例中,VDI主服务器208可根据连接到虚拟桌面的用户终端102的请求而发送对所述目标系统的连接请求。而且,在另一实施例中,VDI主服务器208在用户终端102的对虚拟桌面的连接完成之后,也可以自动地将针对预定的目标系统108的连接请求传送给VDI认证网关106。
接收到所述连接请求的VDI认证联动网关106先查询所请求的连接请求中包含的目标系统108是否为单点登录(SSO)对象(322)。所述查询过程可参考存储于VDI认证联动网关106或单独的数据库等的SSO对象服务器列表而执行。如果经过查询的结果为请求的目标系统108不是SSO对象,则VDI联动网关106向VDI主服务器208发出不允许连接目标系统108的通知。
与此不同,如果所述查询结果为所请求的目标系统108是SSO对象,则VDI认证联动网关106通过VDI管理服务器204获取用户终端102的环境信息(324)。此时,VDI认证联动网关106可以构成为利用所生成的所述虚拟桌面的IP从VDI管理服务器204接收对应于所述虚拟桌面IP的VDI环境信息。之后,VDI认证联动网关106利用所取得的所述VDI环境信息生成用于认证用户终端102的认证信息之后(326),将所生成的认证信息发送给目标系统108(328)。此时,VDI认证联动网关106可对所述认证信息加密而发送给目标系统108,在进行所述加密时,可以在所生成的认证信息中添加认证信息的生成时刻来执行加密。而且,VDI认证联动网关106为了安全地传送所述加密的认证信息,可使用HTTPS(TCP443,SSL)方式将所述加密的认证信息发送给目标系统108,并可根据目标系统108的种类利用GET方式、POST方式、Cookie on Memory方式等多种方式的消息传送方式。
进一步详细说明所述加密的认证信息的生成过程如下。首先,VDI认证联动网关106利用所接收的用户终端102的VDI环境信息中的至少一部分生成用于认证用户终端102的认证信息。即,所述认证信息可通过用户终端102的VDI环境信息中的可识别用户终端102的信息或一个以上的信息的组合来生成。例如,VDI认证联动网关106可结合用户终端102的账户信息(ID)和虚拟桌面IP地址而生成所述认证信息。
当生成认证信息时,接下来VDI认证联动网关106将认证信息的生成时刻信息作为加密密钥而对所述认证信息进行一次加密,并利用预定的加密密钥对经加密的文字列和所述生成时刻进行二次加密。对此,整理后如下。
一次加密:[ID,虚拟桌面IP]+密钥(生成时刻)
二次加密:[一次加密文,生成时刻]+密钥(加密密钥)
所述加密密钥和后述的解密密钥可利用VDI认证联动网关106和目标系统108之间事先设定的值。而且,本发明实施例中的加密和解密算法并无特别的限制,可利用现有的多种的加密和解密方法中的恰当的算法。
如上所述地完成二次加密之后,VDI认证联动网关106通过安全信道等将所述二次加密文传送给目标系统108。
目标系统108从认证联动网关106接收经加密的认证信息,并利用该信息执行在所述虚拟桌面内的用户终端102的认证(330,332)。
在前述例中,当目标系统108从VDI认证联动网关106接收到二次加密文时,目标系统108首先利用预定的解密密钥对所接收的二次加密文进行解密。当所述一次解密完成时,提取出一次加密文和认证信息的生成时刻信息。
目标系统108计算提取的所述生成时刻和当前时刻(解密当时的时刻)的差异,当计算出的差异超出预定范围时,可判断为用户终端102的认证失败。例如,目标系统108在所述生成时刻超出以下范围时可判断为用户终端102的认证失败。
-3秒<当前时间<+3秒
如上所述,通过设定发送端的认证信息的生成时刻和接收端的解密时刻之间的范围,可最小化外部的入侵等的可能性。所述时间范围可考虑VDI认证联动网关106和目标系统108的性能、网络状态、时刻的同步与否等多种环境而适当地设定。
如果所述计算的结果,生成时刻和当前时刻的差异处于预定的范围之内时,接下来目标系统108以所述生成时刻为密钥对所述一次加密文进行二次解密。作为所述二次解密的结果,目标系统108可获取原来的认证信息(在上述例中为ID和虚拟桌面IP地址)。之后,目标系统108从VDI管理服务器204获取对应于所述认证信息的VDI环境信息(330),并将所述认证信息与从所述330步骤中接收到的所述VDI环境信息进行比较而对用户终端102进行认证(332)。即,目标系统108在所接收的所述认证信息与存储在VDI管理服务器204的信息相同时,判断为用户终端102的认证成功,而在所接收的所述认证信息与存储在VDI管理服务器204的信息不同时,判断为认证失败。
如此,根据本发明的实施例,在用户终端102连接到VDI服务服务器104之后,与VDI服务服务器104联动的VDI认证联动网关106代替用户终端102而执行目标系统108的认证,据此具有用户仅通过登录到VDI服务服务器104就可以同时执行对虚拟桌面的连接和对目标系统108的登录的优点。
另外,本发明的实施例还可以包括计算机可读记录介质,该计算机可读记录介质包括可在计算机执行本说明书所记述的方法的程序。所述计算机可读记录介质可单独包括程序命令、本地数据文件、本地数据结构等或可以包括其组合。所述介质可以是为了本发明而特意设计并构成的介质,也可以是计算机软件领域中具有通常的知识的技术人员所公知并可以使用的介质。计算机可读记录介质的例包括硬盘、软盘、磁带之类的磁介质;CD-ROM、DVD之类的光记录介质、软盘之类的磁-光记录介质以及ROM、RAM、闪存等的特别构成为存储程序命令并执行的硬件装置。程序命令的例不仅包括由编译器制作的机械代码,还包括使用解释器等而能够在计算机执行的高级语言代码。
以上,虽然通过代表性实施例对本发明进行了详细说明,但本发明所属技术领域中具有通常知识的技术人员应可以理解,在不脱离本发明的范围的情况下,可进行各种变更。
因此,本发明的权利范围并不能局限于所说明的实施例,不仅由权利要求书定义,还由与权利要求书等同的内容定义。
Claims (18)
1.一种VDI环境下的单点登录系统,包括:
VDI服务服务器,根据用户终端的请求向所述用户终端提供虚拟桌面环境;
VDI认证联动网关,从所述VDI服务服务器接收所述用户终端的VDI环境信息,利用所接收的所述VDI环境信息在所述虚拟桌面环境内代理执行针对目标系统的用户认证。
2.根据权利要求1所述的VDI环境下的单点登录系统,其特征在于,所述VDI环境信息包括所述用户终端的VDI账户信息、所述用户终端的本地IP地址、虚拟桌面IP地址、所述虚拟桌面的主机名、所述虚拟桌面所属的域组、所述用户终端的硬件信息中的一个以上。
3.根据权利要求1所述的VDI环境下的单点登录系统,其特征在于,所述VDI认证联动网关利用所接收的所述VDI环境信息生成用户认证信息,并将所生成的所述认证信息加密而发送给所述目标系统。
4.根据权利要求3所述的VDI环境下的单点登录系统,其特征在于,所述VDI认证联动网关判断所述目标系统是否为单点登录对象,所述判断结果,若是单点登录对象,则生成所述用户认证信息。
5.根据权利要求4所述的VDI环境下的单点登录系统,其特征在于,被加密的所述认证信息包括所述认证信息的生成时刻。
6.根据权利要求5所述的VDI环境下的单点登录系统,其特征在于,所述VDI认证联动网关利用所述认证信息的生成时刻对所生成的所述认证信息进行一次加密,并利用已设定的加密密钥对包括被一次加密的所述认证信息和所述认证时刻的文字列进行二次加密而发送给所述目标系统。
7.根据权利要求6所述的VDI环境下的单点登录系统,其特征在于,所述目标系统利用预设的解密密钥对从所述VDI认证联动网关接收的文字列进行解密,提取所述被一次加密的认证信息和所述生成时刻,
利用所提取的所述生成时刻从所述被一次加密的认证信息获取所述用户认证信息,
利用所获取的所述用户认证信息和从所述VDI服务服务器获取的VDI环境信息在所述虚拟桌面环境内执行针对所述用户终端的认证。
8.根据权利要求7所述的VDI环境下的单点登录系统,其特征在于,所述目标系统在所获取的所述生成时刻和当前时刻之间的差异超出预定范围时,判断为所述认证失败。
9.根据权利要求7所述的VDI环境下的单点登录系统,其特征在于,所述目标系统在所获取的所述用户认证信息和从所述VDI服务服务器获取的VDI环境信息不同时,判断为所述认证失败。
10.一种VDI环境下的单点登录方法,包括如下步骤:
在VDI服务服务器中,根据用户终端的请求向所述用户终端提供虚拟桌面环境;
在VDI认证联动网关中,从所述VDI服务服务器接收所述用户终端的VDI环境信息,利用所接收的所述VDI环境信息在所述虚拟桌面环境内代理执行针对目标系统的用户认证。
11.根据权利要求10所述的VDI环境下的单点登录方法,其特征在于,所述VDI环境信息包括所述用户终端的VDI账户信息、所述用户终端的本地IP地址、虚拟桌面IP地址、所述虚拟桌面的主机名、所述虚拟桌面所属的域组、所述用户终端的硬件信息中的一个以上。
12.根据权利要求10所述的VDI环境下的单点登录方法,其特征在于,代理执行所述用户认证的步骤构成为,利用所接收的所述VDI环境信息生成用户认证信息,并将所生成的所述认证信息加密而发送给所述目标系统。
13.根据权利要求12所述的VDI环境下的单点登录方法,其特征在于,代理执行所述用户认证的步骤还包括步骤:
判断所述目标系统是否为单点登录对象,
所述判断结果,若是单点登录对象,则所述VDI认证联动网关生成所述用户认证信息。
14.根据权利要求12所述的VDI环境下的单点登录方法,其特征在于,被加密的所述认证信息包括所述认证信息的生成时刻。
15.根据权利要求14所述的VDI环境下的单点登录方法,其特征在于,代理执行所述用户认证的步骤还包括步骤:
利用所述认证信息的生成时刻对所生成的所述认证信息进行一次加密;
利用预设的加密密钥对被一次加密的认证信息和所述认证时刻进行二次加密而发送给所述目标系统。
16.根据权利要求15所述的VDI环境下的单点登录方法,其特征在于,所述目标系统利用预设的解密密钥对从所述VDI认证联动网关接收的文字列进行解密,提取所述被一次加密的认证信息和所述生成时刻,
利用所提取的所述生成时刻从所述被一次加密的认证信息获取所述用户认证信息,
利用所获取的所述用户认证信息和从所述VDI服务服务器获取的VDI环境信息在所述虚拟桌面环境内执行针对所述用户终端的认证。
17.根据权利要求16所述的VDI环境下的单点登录方法,其特征在于,所述目标系统在所获取的所述生成时刻和当前时刻之间的差异超出预定范围时,判断为所述认证失败。
18.根据权利要求16所述的VDI环境下的单点登录方法,其特征在于,所述目标系统在所获取的所述用户认证信息和从所述VDI服务服务器获取的VDI环境信息不同时,判断为所述认证失败。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2013-0055633 | 2013-05-16 | ||
| KR1020130055633A KR101541591B1 (ko) | 2013-05-16 | 2013-05-16 | Vdi 환경에서의 싱글 사인온 시스템 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104168304A true CN104168304A (zh) | 2014-11-26 |
| CN104168304B CN104168304B (zh) | 2018-03-23 |
Family
ID=51896936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310381778.7A Active CN104168304B (zh) | 2013-05-16 | 2013-08-28 | Vdi环境下的单点登录系统及方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9374360B2 (zh) |
| KR (1) | KR101541591B1 (zh) |
| CN (1) | CN104168304B (zh) |
| WO (1) | WO2014185594A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105760210A (zh) * | 2014-12-19 | 2016-07-13 | 中兴通讯股份有限公司 | 一种voi系统和vdi系统的融合使用方法及系统 |
| CN112711456A (zh) * | 2020-12-31 | 2021-04-27 | 北京珞安科技有限责任公司 | 一种运维工具的代理登录方法、装置及计算机设备 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106331003B (zh) * | 2015-06-23 | 2019-09-03 | 中国移动通信集团重庆有限公司 | 一种云桌面上应用门户系统的访问方法及装置 |
| US10069822B2 (en) * | 2016-02-23 | 2018-09-04 | Verizon Patent And Licensing Inc. | Authenticated network time for mobile device smart cards |
| CN108337240B (zh) * | 2017-12-29 | 2021-03-02 | 苏州中晟宏芯信息科技有限公司 | 一种用于保密性工作的办公方法、终端及系统 |
| JP7183908B2 (ja) * | 2019-03-27 | 2022-12-06 | 日本電気株式会社 | システム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラム |
| CN110213274B (zh) * | 2019-05-31 | 2022-06-21 | 深信服科技股份有限公司 | 文件传输方法、装置、设备及计算机可读存储介质 |
| CN111756805B (zh) * | 2020-05-27 | 2024-05-24 | 西安万像电子科技有限公司 | 访问服务器的方法、装置、终端设备及存储介质 |
| KR102688832B1 (ko) * | 2021-01-22 | 2024-07-26 | 주식회사 피아몬드 | 가상 데스크탑 인프라 서비스 제공에 따른 사용자 정보 수집 방법 및 시스템 |
| CN112988317B (zh) * | 2021-05-20 | 2021-09-14 | 浙江华网俊业科技有限公司 | 多模式云桌面管控方法、装置 |
| US20220417243A1 (en) * | 2021-06-25 | 2022-12-29 | Vmware, Inc. | Passwordless access to virtual desktops |
| US20230040682A1 (en) | 2021-08-06 | 2023-02-09 | Eagle Telemedicine, LLC | Systems and Methods of Automating Processes for Remote Work |
| US20230037854A1 (en) * | 2021-08-06 | 2023-02-09 | Eagle Telemedicine, LLC | Systems and Methods for Automating Processes for Remote Work |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040163087A1 (en) * | 2003-02-14 | 2004-08-19 | Carl Sandland | Computer program code and method for delivering external data to a process running on a virtual machine |
| CN101166173A (zh) * | 2006-10-20 | 2008-04-23 | 北京直真节点技术开发有限公司 | 一种单点登录系统、装置及方法 |
| KR20080095830A (ko) * | 2008-10-21 | 2008-10-29 | (주)씨디네트웍스 | 미디어 컨텐츠 접근 권한을 인증하는 시스템 |
| US20110030044A1 (en) * | 2009-08-03 | 2011-02-03 | Nathaniel Kranendonk | Techniques for environment single sign on |
| US20110107409A1 (en) * | 2009-11-05 | 2011-05-05 | Vmware, Inc. | Single Sign On For a Remote User Session |
| CN102333065A (zh) * | 2010-07-12 | 2012-01-25 | 戴元顺 | 云交互协议设计 |
| CN102571762A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 单点登录的方法和设备 |
| CN102638475A (zh) * | 2011-02-11 | 2012-08-15 | 运软网络科技(上海)有限公司 | 多维智能服务点虚拟桌面方法及基础架构 |
| CN102971740A (zh) * | 2010-07-01 | 2013-03-13 | 惠普发展公司,有限责任合伙企业 | 计算设备上的用于多个环境的用户管理框架 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8219687B2 (en) * | 2008-01-04 | 2012-07-10 | International Business Machines Corporation | Implementing browser based hypertext transfer protocol session storage |
| US8527774B2 (en) * | 2009-05-28 | 2013-09-03 | Kaazing Corporation | System and methods for providing stateless security management for web applications using non-HTTP communications protocols |
| US8255984B1 (en) * | 2009-07-01 | 2012-08-28 | Quest Software, Inc. | Single sign-on system for shared resource environments |
| US8977853B2 (en) * | 2010-01-06 | 2015-03-10 | Telcordia Technologies, Inc. | System and method establishing trusted relationships to enable secure exchange of private information |
| US8505083B2 (en) * | 2010-09-30 | 2013-08-06 | Microsoft Corporation | Remote resources single sign on |
| KR101213984B1 (ko) * | 2011-01-28 | 2012-12-20 | 한남대학교 산학협력단 | 복합 인증 시스템을 구비한 하이브리드 클라우드 |
| US9280377B2 (en) * | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
| US20130212653A1 (en) * | 2012-02-09 | 2013-08-15 | Indigo Identityware | Systems and methods for password-free authentication |
| US8782768B2 (en) * | 2012-06-15 | 2014-07-15 | Vmware, Inc. | Systems and methods for accessing a virtual desktop |
| US9098687B2 (en) * | 2013-05-03 | 2015-08-04 | Citrix Systems, Inc. | User and device authentication in enterprise systems |
| US9064125B2 (en) * | 2013-05-03 | 2015-06-23 | Citrix Systems, Inc. | Image analysis and management |
| US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
-
2013
- 2013-05-16 KR KR1020130055633A patent/KR101541591B1/ko active IP Right Grant
- 2013-08-28 US US14/012,351 patent/US9374360B2/en active Active
- 2013-08-28 CN CN201310381778.7A patent/CN104168304B/zh active Active
- 2013-08-30 WO PCT/KR2013/007834 patent/WO2014185594A1/ko active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040163087A1 (en) * | 2003-02-14 | 2004-08-19 | Carl Sandland | Computer program code and method for delivering external data to a process running on a virtual machine |
| CN101166173A (zh) * | 2006-10-20 | 2008-04-23 | 北京直真节点技术开发有限公司 | 一种单点登录系统、装置及方法 |
| KR20080095830A (ko) * | 2008-10-21 | 2008-10-29 | (주)씨디네트웍스 | 미디어 컨텐츠 접근 권한을 인증하는 시스템 |
| US20110030044A1 (en) * | 2009-08-03 | 2011-02-03 | Nathaniel Kranendonk | Techniques for environment single sign on |
| US20110107409A1 (en) * | 2009-11-05 | 2011-05-05 | Vmware, Inc. | Single Sign On For a Remote User Session |
| CN102971740A (zh) * | 2010-07-01 | 2013-03-13 | 惠普发展公司,有限责任合伙企业 | 计算设备上的用于多个环境的用户管理框架 |
| CN102333065A (zh) * | 2010-07-12 | 2012-01-25 | 戴元顺 | 云交互协议设计 |
| CN102638475A (zh) * | 2011-02-11 | 2012-08-15 | 运软网络科技(上海)有限公司 | 多维智能服务点虚拟桌面方法及基础架构 |
| CN102571762A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 单点登录的方法和设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105760210A (zh) * | 2014-12-19 | 2016-07-13 | 中兴通讯股份有限公司 | 一种voi系统和vdi系统的融合使用方法及系统 |
| CN112711456A (zh) * | 2020-12-31 | 2021-04-27 | 北京珞安科技有限责任公司 | 一种运维工具的代理登录方法、装置及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101541591B1 (ko) | 2015-08-03 |
| US9374360B2 (en) | 2016-06-21 |
| CN104168304B (zh) | 2018-03-23 |
| WO2014185594A1 (ko) | 2014-11-20 |
| KR20140135418A (ko) | 2014-11-26 |
| US20140344910A1 (en) | 2014-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104168304A (zh) | Vdi环境下的单点登录系统及方法 | |
| WO2022206349A1 (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
| EP2391083B1 (en) | Method for realizing authentication center and authentication system | |
| US20090199277A1 (en) | Credential arrangement in single-sign-on environment | |
| CN102984159B (zh) | 基于终端访问行为的安全接入逻辑控制方法及平台服务器 | |
| CN110572258B (zh) | 一种云密码计算平台及计算服务方法 | |
| CN103930897A (zh) | 移动应用、单点登录管理 | |
| CN113347206A (zh) | 一种网络访问方法和装置 | |
| CN103188207A (zh) | 一种跨域的单点登录实现方法及系统 | |
| US11824850B2 (en) | Systems and methods for securing login access | |
| CN102143131B (zh) | 用户注销方法及认证服务器 | |
| Guo et al. | Authentication using graphical password in cloud | |
| CN101902329A (zh) | 用于单点登录的方法和装置 | |
| CN113411324B (zh) | 基于cas与第三方服务器实现登录认证的方法和系统 | |
| US9948648B1 (en) | System and method for enforcing access control to publicly-accessible web applications | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN102255904A (zh) | 一种通信网络以及对终端的认证方法 | |
| CN104243488A (zh) | 一种跨网站服务器的登录认证方法 | |
| CN103118025A (zh) | 基于入网认证的单点登录方法、装置及认证服务器 | |
| CN102137044A (zh) | 一种基于社区平台的群组信息安全交互的方法及系统 | |
| CN114158046B (zh) | 一键登录业务的实现方法和装置 | |
| CN113055186B (zh) | 一种跨系统的业务处理方法、装置及系统 | |
| Zhang et al. | RETRACTED ARTICLE: An identity authentication scheme based on cloud computing environment | |
| US12028315B2 (en) | Methods, devices, and computer program products for authenticating peripheral device | |
| CN110611656B (zh) | 一种基于主身份多重映射的身份管理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |