在不可信云网络上的加密口令传输制造技术

一种不可信云网络中的计算机用作基于云的企业应用商店，客户端计算机通过该基于云的企业应用商店建立与在可信企业网络中的企业应用的连接。在登录阶段和后续应用启动阶段中执行用户认证，每个认证从客户端接收加密口令和加密密钥并将其发送到企业网络，其中加密口令是在第一一次性对称密钥下加密的用户口令，而加密密钥是在私钥/公钥对的公钥下加密的第一对称密钥。企业网络对加密密钥和加密口令进行解密以获得用户口令，以便认证用户。启动阶段认证包括使用包括第二一次性对称密钥的登录票据，其中用户口令在该第二一次性对称密钥下进行加密并以加密形式存储在企业网络中。

【技术实现步骤摘要】
【国外来华专利技术】在不可信云网络上的加密口令传输
技术介绍
本专利技术涉及计算机系统安全领域。
技术实现思路
云服务的客户希望能确保他们所使用的云服务无法访问诸如用户口令的敏感数据。然而，传统的用户认证方法(如SAML和OAuth)如果与某些远程访问服务(比如，思杰系统公司的XenAppTM和XenDesktopTM产品)一起使用的话可能会存在局限性，这是因为桌面操作系统(如Windows)可能需要明文口令才能创建出用户会话。当前公开的技术可以提供在口令经过云之前在客户端网页浏览器处对其进行加密的安全解决方案。因此，这样可以确保明文口令和解密所需的私钥不会经过云。口令只能由拥有私钥的内部部署(企业网络)服务器进行解密，以执行登录。更具体地说，公开了一种将不可信云计算网络中的计算机操作为基于云的企业应用商店的方法，其中客户端计算机通过该基于云的企业应用商店建立与在可信计算网络中执行的企业应用的连接。该方法包括在登录阶段针对客户端计算机的用户执行第一用户认证并从可信计算网络接收安全标识符，安全标识符将用户标识为可信计算网络的授权用户。第一用户认证包括(1)将可信计算网络的私钥/公钥对的公钥发送到客户端计算机；以及(2)随后从客户端计算机接收加密口令和加密密钥并将其发送到可信计算网络，加密口令是在第一一次性对称密钥下加密的用户口令，加密密钥是在公钥下加密的第一一次性对称密钥。可信计算网络对加密密钥和加密口令进行解密以获得用户口令，以便认证用户并将安全标识符返回给企业应用商店。该方法还包括：在随后的应用启动阶段，执行第二用户认证作为建立与企业应用的连接的一部分。第二用户认证包括(1)将加密口令和加密密钥发送到可信计算网络；以及(2)随后从可信计算网络接收登录票据并将其发送到客户端计算机，该登录票据包括第二一次性对称密钥，用户口令在该第二一次性对称密钥下进行加密并以加密形式存储在可信计算网络内。客户端计算机随后将包括登录票据的连接建立消息发送到可信计算网络，可信计算网络使用来自连接建立消息的登录票据的第二一次性对称密钥来对加密形式进行解密以获得用户口令，以便认证用户并建立客户端计算机与企业应用的连接。在特定实施例中，客户端计算机与企业应用是通过由企业网络的虚拟桌面代理交付的远程桌面会话连接的，并且其中连接建立消息是来自客户端计算机的以使虚拟桌面代理开始远程桌面会话的请求。在特定实施例中，可信计算网络包括云接口服务器和一个或多个应用/服务服务器，应用/服务服务器托管企业应用，云接口服务器向企业应用商店提供本地接口，并且其中可信计算网络的私钥/公钥对是云接口服务器的私钥/公钥对。在特定实施例中，第二一次性对称密钥在登录票据中处于加密形式下，该加密形式已经用企业网络的第二私钥/公钥对的第二公钥进行非对称加密，以便在云网络中安全地传输并且仅在企业网络内解密。在特定实施例中，应用启动阶段中的第二用户认证包括从云网络的票据机构获得第二登录票据并将第二登录票据发送到客户端计算机；并且连接建立消息被发送到企业网络的网关，该网关在与票据机构的交换中使用第二登录票据来获得连接建立消息将被发送到的企业网络的虚拟桌面代理的地址，并且随后将连接建立消息发送到该虚拟桌面代理。还公开了一种企业网络中的云服务代理进行操作的对应方法，以及用作企业应用商店和云服务代理的专用计算机。所公开的方法和装置可以确保加密口令永远不会流回浏览器，并且只有一次性票据被发送回客户端计算机。针对对称密钥使用非对称加密确保了通过云服务游历的登录票据不能直接用于对经过重新加密的口令进行解密。附图说明结合附图，通过以下对本专利技术的特定实施例的描述，前述及其他目的、特征和优点将是明显的，其中相同的附图标记在不同视图中指代相同的部分。图1是计算机系统的框图；图2是计算机的硬件框图；图3是客户端计算机的功能框图；图4是云服务服务器的功能框图；图5是企业网络服务器的功能框图；图6和图7是描绘了系统级操作的消息流程图；图8和图9是分别描绘了企业应用商店和云服务代理的操作的流程图。具体实施方式图1示出了分布式计算系统，该分布式计算系统具有客户端计算机10(为简单起见示出了一个)、具有云服务服务器14的云网络12以及具有云接口服务器(CLOUDINTFCSVR)18和应用/服务服务器(APPS/SVCSVR)20的企业网络16。如图所示，客户端计算机10包括使用户24能够登录到远程服务的浏览器22或类似程序，以及用于在客户端计算机10的本地显示器上呈现远程交付应用或虚拟桌面的远程桌面引擎(R-DENGINE)26。在操作时，客户端计算机10建立与企业网络16的连接，从而利用由其提供的应用或服务来例如建立远程桌面会话，其中企业应用(例如数据库应用、协作应用、分析/模拟应用等)通过这些远程桌面会话进行交付。企业应用在应用/服务服务器20上执行，并经由远程桌面会话提供用户接口(用于输入和输出)。云服务服务器14充当促进这种远程用户访问的场外组件。基于其与更安全且“可信”的企业网络16的分离，云网络12在此被称为“不可信”。例如，云网络12可以部分地由第三方云计算服务提供商提供。操作的一个关键方面在于用户认证，特别是对敏感信息进行安全处理的需求，所述敏感信息例如在用户认证过程期间必须通过云网络12传输的用户口令。下面将详细描述操作的这个方面。图2从计算机硬件角度示出了物理计算机(诸如客户端计算机10或者服务器14、18或20中的一个)的示例性配置。硬件包括通过诸如一个或多个高速数据总线的数据互连36而相互连接的一个或多个处理器30、存储器32和接口电路34。接口电路34提供与网络(例如云网络12或企业网络16，图1)以及可能的其他外部设备/连接(EXTDEV)的硬件连接。具有相连的存储器32的处理器30在本文中也可以被称为“处理电路”。还可以有本地辅助存储装置38，例如本地附接的磁盘驱动器或闪存驱动器。在操作时，存储器32存储系统软件(例如操作系统)的数据和指令以及一个或多个应用程序，所述应用程序由处理器30执行来使得硬件以软件定义的方式发挥作用。因此，例如，执行云服务应用的指令的计算机硬件可以被称为云服务组件。将会理解的是，这些组件的集合全都可以实现，并且作为执行本领域公知的不同计算机程序的一组或多组计算机处理硬件而彼此交互。此外，应用软件可以存储在非暂时性计算机可读介质上，例如光盘或磁盘、闪存或其他非易失性半导体存储器等，并且从该非暂时性计算机可读介质中可以检索出应用软件以由处理电路执行，这也是本领域公知的。图3示出了客户端计算机10。客户端计算机10包括图形用户界面(GUI)40以及浏览器22和远程桌面引擎26。这些是以软件方式实现的组件，例如上面一般描述的那些以及例如本领域公知的那些。GUI40通常是操作系统(如或操作系统)的一部分。浏览器22可以实现为包含如本文更详细描述的某些具体功能的标准Web浏览器的增强版本(例如或Internet)。远程桌面引擎26是能够在客户端计算机10的显示器上呈现远程交付应用或桌面的本地组件。在一个示例中，远程桌面引擎26可以包含思杰系统公司的HDXTM技术。在操作时，浏览器22和远程桌面引擎26与云网络12和企业网络16进行交互，以向企业网络16认证用户24并使用户24本文档来自技高网...

【技术保护点】
1.一种将不可信云计算网络中的计算机操作为基于云的企业应用商店的方法，其中客户端计算机通过所述基于云的企业应用商店建立与在可信计算网络中执行的企业应用的连接，所述方法包括：在登录阶段，针对所述客户端计算机的用户执行第一用户认证并从所述可信计算网络接收安全标识符，所述安全标识符将所述用户标识为所述可信计算网络的授权用户，所述第一用户认证包括：(1)将所述可信计算网络的私钥/公钥对的公钥发送到所述客户端计算机，以及(2)随后从所述客户端计算机接收加密口令和加密密钥并将所述加密口令和所述加密密钥发送到所述可信计算网络，所述加密口令是在第一一次性对称密钥下加密的用户口令，所述加密密钥是在所述公钥下加密的所述第一一次性对称密钥，所述可信计算网络对所述加密密钥和所述加密口令进行解密以获得所述用户口令以便认证所述用户，并将所述安全标识符返回给所述企业应用商店；以及在随后的应用启动阶段，执行第二用户认证作为建立与所述企业应用的所述连接的一部分，所述第二用户认证包括(1)将所述加密口令和所述加密密钥发送到所述可信计算网络以及(2)随后从所述可信计算网络接收登录票据并将所述登录票据发送到所述客户端计算机，所述登录票据包括第二一次性对称密钥，所述用户口令在所述第二一次性对称密钥下进行加密并以加密形式存储在所述可信计算网络内，所述客户端计算机随后将包括所述登录票据的连接建立消息发送到所述可信计算网络，所述可信计算网络使用来自所述连接建立消息的所述登录票据的所述第二一次性对称密钥来对所述加密形式进行解密以获得所述用户口令，以便认证所述用户并建立所述客户端计算机与所述企业应用的所述连接。...

【技术特征摘要】
【国外来华专利技术】2016.03.07 US 15/062,5101.一种将不可信云计算网络中的计算机操作为基于云的企业应用商店的方法，其中客户端计算机通过所述基于云的企业应用商店建立与在可信计算网络中执行的企业应用的连接，所述方法包括：在登录阶段，针对所述客户端计算机的用户执行第一用户认证并从所述可信计算网络接收安全标识符，所述安全标识符将所述用户标识为所述可信计算网络的授权用户，所述第一用户认证包括：(1)将所述可信计算网络的私钥/公钥对的公钥发送到所述客户端计算机，以及(2)随后从所述客户端计算机接收加密口令和加密密钥并将所述加密口令和所述加密密钥发送到所述可信计算网络，所述加密口令是在第一一次性对称密钥下加密的用户口令，所述加密密钥是在所述公钥下加密的所述第一一次性对称密钥，所述可信计算网络对所述加密密钥和所述加密口令进行解密以获得所述用户口令以便认证所述用户，并将所述安全标识符返回给所述企业应用商店；以及在随后的应用启动阶段，执行第二用户认证作为建立与所述企业应用的所述连接的一部分，所述第二用户认证包括(1)将所述加密口令和所述加密密钥发送到所述可信计算网络以及(2)随后从所述可信计算网络接收登录票据并将所述登录票据发送到所述客户端计算机，所述登录票据包括第二一次性对称密钥，所述用户口令在所述第二一次性对称密钥下进行加密并以加密形式存储在所述可信计算网络内，所述客户端计算机随后将包括所述登录票据的连接建立消息发送到所述可信计算网络，所述可信计算网络使用来自所述连接建立消息的所述登录票据的所述第二一次性对称密钥来对所述加密形式进行解密以获得所述用户口令，以便认证所述用户并建立所述客户端计算机与所述企业应用的所述连接。2.根据权利要求1所述的方法，其中所述客户端计算机与所述企业应用是通过由所述企业网络的虚拟桌面代理交付的远程桌面会话连接的，并且其中所述连接建立消息是来自所述客户端计算机的以使所述虚拟桌面代理开始所述远程桌面会话的请求。3.根据权利要求1所述的方法，其中所述可信计算网络包括云接口服务器和一个或多个应用/服务服务器，所述应用/服务服务器托管所述企业应用，所述云接口服务器向所述企业应用商店提供本地接口，并且其中所述可信计算网络的所述私钥/公钥对是所述云接口服务器的私钥/公钥对。4.根据权利要求1所述的方法，其中所述第二一次性对称密钥在所述登录票据中处于加密形式，所述加密形式已经用所述企业网络的第二私钥/公钥对的第二公钥进行非对称加密，以便在所述云网络中安全地传输并且仅在所述企业网络内被解密。5.根据权利要求1所述的方法，其中：所述应用启动阶段中的所述第二用户认证包括从所述云网络的票据机构获得第二登录票据并将所述第二登录票据发送到所述客户端计算机；所述连接建立消息被发送到所述企业网络的网关，所述网关在与所述票据机构的交换中使用所述第二登录票据来获得所述连接建立消息将要被发送到的企业网络的虚拟桌面代理的地址，并且随后将所述连接建立消息发送到所述虚拟桌面代理。6.一种将可信计算网络中的计算机操作为云服务代理的方法，其中不可信云计算网络中的客户端计算机通过所述云服务代理建立与在所述可信计算网络中执行的企业应用的连接，所述方法包括：在登录阶段，针对所述客户端计算机的用户执行第一用户认证，并接收安全标识符且将所述安全标识符转发到在所述不可信云计算网络中执行的企业应用商店，所述安全标识符将所述用户标识为所述可信计算网络的授权用户，所述第一用户认证包括：(1)接收针对所述用户的验证请求，所述验证请求包括加密口令和加密密钥，所述加密口令是在第一一次性对称密钥下加密的所述用户的用户口令，所述加密密钥是在所述云服务代理的私钥/公钥对的公钥下加密的所述第一一次性对称密钥，以及(2)对所述加密密钥和所述加密口令进行解密以获得所述用户口令，并在所述可信计算网络中执行本地登录操作，以便验证所述用户并将所述安全标识符返回到所述企业应用商店；以及在随后的应用启动阶段，执行第二用户认证作为建立与所述企业应用的所述连接的一部分，所述第二用户认证包括：(1)从所述企业应用商店接收所述加密口令和所述加密密钥，并对所述加密密钥和所述加密口令进行解密以获得所述用户口令；(2)在第二一次性对称密钥下对所述用户口令进行重新加密，以生成第二加密口令，并计算所述第二一次性对称密钥的密码函数以生成密码值；(3)将所述第二加密口令和密码值转发到所述可信计算网络的应用交付代理，以便后续用于确认来自所述客户端计算机的后续连接请求的真实性；以及(4)将登录票据发送到所述企业应用商店，所述登录票据包括所述第二对称密钥，以使所述客户端计算机能够在对所述应用交付代理的所述后续连接请求中包括对所述第二加密口令和密码值的引用。7.根据权利要求6所述的方法，其中所述客户端计算机与所述企业应用是通过由所述企业网络的虚拟桌面代理交付的远程桌面会话连接的，并且其中所述连接建立消息是来自所述客户端计算机的以使所述虚拟桌面代理开始所述远程桌面会话的请求。8.根据权利要求6所述的方法，还包括将所述第二一次性对称密钥非对称地加密成加密形式并在所述登录票据中包括所述加密形式，所述加密使用所述企业网络的第二私钥/公钥对的第二公钥，所述第二一次性对称密钥在所述云网络中安全地传输并且仅在所述企业网络内被解密。9.根据权利要求6所述的方法，其中所述密码函数是安全散列函数并且所述密码值是散列值，所述散列值被所述应用交付代理用作为用于与所述第二加密口令相关联地存储的索引，以使得在随后的确认来自所述客户端计算机的所述后续连接请求的真实性的使用期间能够基于所述散列值随后检索所述第二加密口令。10.根据权利要求6所述的方法，其中执行所述本地登录操作包括将包含所述用户口令的登录消息发送到所述企业网络的目录服务器。11.一种在不可信云计算网络中用作为基于云的企业应用商店的专用计算机，其中客户端计算机通过所述基于云的企业应用商店建立与在可信计算...

【专利技术属性】
技术研发人员：黄锋，安德鲁·大卫·库珀，
申请(专利权)人：思杰系统有限公司，
类型：发明
国别省市：美国,US