【技术实现步骤摘要】
【国外来华专利技术】在不可信云网络上的加密口令传输
技术介绍
本专利技术涉及计算机系统安全领域。
技术实现思路
云服务的客户希望能确保他们所使用的云服务无法访问诸如用户口令的敏感数据。然而,传统的用户认证方法(如SAML和OAuth)如果与某些远程访问服务(比如,思杰系统公司的XenAppTM和XenDesktopTM产品)一起使用的话可能会存在局限性,这是因为桌面操作系统(如Windows)可能需要明文口令才能创建出用户会话。当前公开的技术可以提供在口令经过云之前在客户端网页浏览器处对其进行加密的安全解决方案。因此,这样可以确保明文口令和解密所需的私钥不会经过云。口令只能由拥有私钥的内部部署(企业网络)服务器进行解密,以执行登录。更具体地说,公开了一种将不可信云计算网络中的计算机操作为基于云的企业应用商店的方法,其中客户端计算机通过该基于云的企业应用商店建立与在可信计算网络中执行的企业应用的连接。该方法包括在登录阶段针对客户端计算机的用户执行第一用户认证并从可信计算网络接收安全标识符,安全标识符将用户标识为可信计算网络的授权用户。第一用户认证包括(1)将可信计算网络的私钥/公钥对的公钥发送到客户端计算机;以及(2)随后从客户端计算机接收加密口令和加密密钥并将其发送到可信计算网络,加密口令是在第一一次性对称密钥下加密的用户口令,加密密钥是在公钥下加密的第一一次性对称密钥。可信计算网络对加密密钥和加密口令进行解密以获得用户口令,以便认证用户并将安全标识符返回给企业应用商店。该方法还包括:在随后的应用启动阶段,执行第二用户认证作为建立与企业应用的连接的一部分。第二用户认证包括(1)将加密口 ...
【技术保护点】
1.一种将不可信云计算网络中的计算机操作为基于云的企业应用商店的方法,其中客户端计算机通过所述基于云的企业应用商店建立与在可信计算网络中执行的企业应用的连接,所述方法包括:在登录阶段,针对所述客户端计算机的用户执行第一用户认证并从所述可信计算网络接收安全标识符,所述安全标识符将所述用户标识为所述可信计算网络的授权用户,所述第一用户认证包括:(1)将所述可信计算网络的私钥/公钥对的公钥发送到所述客户端计算机,以及(2)随后从所述客户端计算机接收加密口令和加密密钥并将所述加密口令和所述加密密钥发送到所述可信计算网络,所述加密口令是在第一一次性对称密钥下加密的用户口令,所述加密密钥是在所述公钥下加密的所述第一一次性对称密钥,所述可信计算网络对所述加密密钥和所述加密口令进行解密以获得所述用户口令以便认证所述用户,并将所述安全标识符返回给所述企业应用商店;以及在随后的应用启动阶段,执行第二用户认证作为建立与所述企业应用的所述连接的一部分,所述第二用户认证包括(1)将所述加密口令和所述加密密钥发送到所述可信计算网络以及(2)随后从所述可信计算网络接收登录票据并将所述登录票据发送到所述客户端计算机, ...
【技术特征摘要】
【国外来华专利技术】2016.03.07 US 15/062,5101.一种将不可信云计算网络中的计算机操作为基于云的企业应用商店的方法,其中客户端计算机通过所述基于云的企业应用商店建立与在可信计算网络中执行的企业应用的连接,所述方法包括:在登录阶段,针对所述客户端计算机的用户执行第一用户认证并从所述可信计算网络接收安全标识符,所述安全标识符将所述用户标识为所述可信计算网络的授权用户,所述第一用户认证包括:(1)将所述可信计算网络的私钥/公钥对的公钥发送到所述客户端计算机,以及(2)随后从所述客户端计算机接收加密口令和加密密钥并将所述加密口令和所述加密密钥发送到所述可信计算网络,所述加密口令是在第一一次性对称密钥下加密的用户口令,所述加密密钥是在所述公钥下加密的所述第一一次性对称密钥,所述可信计算网络对所述加密密钥和所述加密口令进行解密以获得所述用户口令以便认证所述用户,并将所述安全标识符返回给所述企业应用商店;以及在随后的应用启动阶段,执行第二用户认证作为建立与所述企业应用的所述连接的一部分,所述第二用户认证包括(1)将所述加密口令和所述加密密钥发送到所述可信计算网络以及(2)随后从所述可信计算网络接收登录票据并将所述登录票据发送到所述客户端计算机,所述登录票据包括第二一次性对称密钥,所述用户口令在所述第二一次性对称密钥下进行加密并以加密形式存储在所述可信计算网络内,所述客户端计算机随后将包括所述登录票据的连接建立消息发送到所述可信计算网络,所述可信计算网络使用来自所述连接建立消息的所述登录票据的所述第二一次性对称密钥来对所述加密形式进行解密以获得所述用户口令,以便认证所述用户并建立所述客户端计算机与所述企业应用的所述连接。2.根据权利要求1所述的方法,其中所述客户端计算机与所述企业应用是通过由所述企业网络的虚拟桌面代理交付的远程桌面会话连接的,并且其中所述连接建立消息是来自所述客户端计算机的以使所述虚拟桌面代理开始所述远程桌面会话的请求。3.根据权利要求1所述的方法,其中所述可信计算网络包括云接口服务器和一个或多个应用/服务服务器,所述应用/服务服务器托管所述企业应用,所述云接口服务器向所述企业应用商店提供本地接口,并且其中所述可信计算网络的所述私钥/公钥对是所述云接口服务器的私钥/公钥对。4.根据权利要求1所述的方法,其中所述第二一次性对称密钥在所述登录票据中处于加密形式,所述加密形式已经用所述企业网络的第二私钥/公钥对的第二公钥进行非对称加密,以便在所述云网络中安全地传输并且仅在所述企业网络内被解密。5.根据权利要求1所述的方法,其中:所述应用启动阶段中的所述第二用户认证包括从所述云网络的票据机构获得第二登录票据并将所述第二登录票据发送到所述客户端计算机;所述连接建立消息被发送到所述企业网络的网关,所述网关在与所述票据机构的交换中使用所述第二登录票据来获得所述连接建立消息将要被发送到的企业网络的虚拟桌面代理的地址,并且随后将所述连接建立消息发送到所述虚拟桌面代理。6.一种将可信计算网络中的计算机操作为云服务代理的方法,其中不可信云计算网络中的客户端计算机通过所述云服务代理建立与在所述可信计算网络中执行的企业应用的连接,所述方法包括:在登录阶段,针对所述客户端计算机的用户执行第一用户认证,并接收安全标识符且将所述安全标识符转发到在所述不可信云计算网络中执行的企业应用商店,所述安全标识符将所述用户标识为所述可信计算网络的授权用户,所述第一用户认证包括:(1)接收针对所述用户的验证请求,所述验证请求包括加密口令和加密密钥,所述加密口令是在第一一次性对称密钥下加密的所述用户的用户口令,所述加密密钥是在所述云服务代理的私钥/公钥对的公钥下加密的所述第一一次性对称密钥,以及(2)对所述加密密钥和所述加密口令进行解密以获得所述用户口令,并在所述可信计算网络中执行本地登录操作,以便验证所述用户并将所述安全标识符返回到所述企业应用商店;以及在随后的应用启动阶段,执行第二用户认证作为建立与所述企业应用的所述连接的一部分,所述第二用户认证包括:(1)从所述企业应用商店接收所述加密口令和所述加密密钥,并对所述加密密钥和所述加密口令进行解密以获得所述用户口令;(2)在第二一次性对称密钥下对所述用户口令进行重新加密,以生成第二加密口令,并计算所述第二一次性对称密钥的密码函数以生成密码值;(3)将所述第二加密口令和密码值转发到所述可信计算网络的应用交付代理,以便后续用于确认来自所述客户端计算机的后续连接请求的真实性;以及(4)将登录票据发送到所述企业应用商店,所述登录票据包括所述第二对称密钥,以使所述客户端计算机能够在对所述应用交付代理的所述后续连接请求中包括对所述第二加密口令和密码值的引用。7.根据权利要求6所述的方法,其中所述客户端计算机与所述企业应用是通过由所述企业网络的虚拟桌面代理交付的远程桌面会话连接的,并且其中所述连接建立消息是来自所述客户端计算机的以使所述虚拟桌面代理开始所述远程桌面会话的请求。8.根据权利要求6所述的方法,还包括将所述第二一次性对称密钥非对称地加密成加密形式并在所述登录票据中包括所述加密形式,所述加密使用所述企业网络的第二私钥/公钥对的第二公钥,所述第二一次性对称密钥在所述云网络中安全地传输并且仅在所述企业网络内被解密。9.根据权利要求6所述的方法,其中所述密码函数是安全散列函数并且所述密码值是散列值,所述散列值被所述应用交付代理用作为用于与所述第二加密口令相关联地存储的索引,以使得在随后的确认来自所述客户端计算机的所述后续连接请求的真实性的使用期间能够基于所述散列值随后检索所述第二加密口令。10.根据权利要求6所述的方法,其中执行所述本地登录操作包括将包含所述用户口令的登录消息发送到所述企业网络的目录服务器。11.一种在不可信云计算网络中用作为基于云的企业应用商店的专用计算机,其中客户端计算机通过所述基于云的企业应用商店建立与在可信计算...
【专利技术属性】
技术研发人员:黄锋,安德鲁·大卫·库珀,
申请(专利权)人:思杰系统有限公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。