为虚拟计算会话提供连接租用防窃功能的系统和方法技术方案

一种计算设备可以包括存储器和处理器，该处理器与存储器协作并且被配置成从具有与其相关联的公共/私有加密密钥对的客户端设备接收连接请求。该连接请求可以基于连接租用和客户端设备的公共密钥，并且连接租用可以基于客户端设备的公共密钥的认证版本而生成。处理器还可以被配置成：对生成连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实，并且对与客户端设备的连接进行授权，并且向客户端设备提供经由该连接对虚拟计算会话的访问。

【技术实现步骤摘要】
为虚拟计算会话提供连接租用防窃功能的系统和方法
技术介绍
许多组织现在正使用应用和/或桌面虚拟化来提供更灵活的选项，以解决其用户的不同需要。在桌面虚拟化中，用户的计算环境（例如，操作系统、应用和/或用户设置）可以与用户的物理计算设备（例如，智能电话、膝上型计算机、台式计算机）分离。使用客户端-服务器技术，“虚拟化桌面”可以被存储在远程服务器中并由远程服务器管理，而不是存储在客户端计算设备的本地存储装置中。存在若干种不同类型的桌面虚拟化系统。作为一示例，虚拟桌面基础设施（VDI）指代在驻留在服务器上的虚拟机内部运行用户桌面和/或应用的过程。虚拟化系统也可以被实现在云计算环境或云系统中，其中计算资源池（例如，桌面虚拟化服务器）、存储磁盘、联网硬件和其他物理资源可以用于供应虚拟桌面和/或提供对共享应用的访问。
技术实现思路
一种计算设备可以包括存储器和处理器，该处理器与存储器协作并且被配置成从具有与其相关联的公共/私有加密密钥对的客户端设备接收连接请求。该连接请求可以基于连接租用和客户端设备的公共密钥，并且连接租用可以基于客户端设备的公共密钥的认证版本而生成。处理器还可以被配置成：对生成连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实，并且对与客户端设备的连接进行授权，并且向客户端设备提供经由该连接对虚拟计算会话的访问。在示例实施例中，处理器可以进一步被配置成：在对与客户端设备的连接进行授权之前，发起将由客户端设备用与客户端设备相关联的私有密钥来签名的质询，并且用客户端设备的公共密钥来验证经签名的响应。此外，处理器可以在对生成连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实之前或之后发起质询并且验证经签名的响应。此外，在质询和响应之前，处理器可以进一步被配置成验证与连接租用相关联的签名和日期，并且验证公共密钥有效。例如，连接租用可以包括客户端设备的公共密钥的认证版本的散列。此外，可以使用硬件支持的密钥存储在客户端设备处生成公共/私有密钥对。此外，处理器还可以被配置成基于未能核实生成连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配而丢弃与客户端设备的连接。一种相关方法可以包括在虚拟递送器具处从具有与其相关联的公共/私有加密密钥对的客户端设备接收连接请求，其中连接请求基于连接租用和客户端设备的公共密钥，并且连接租用基于客户端设备的公共密钥的认证版本而生成。该方法可以进一步包括：在虚拟递送器具处，对生成连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实，并且对与客户端设备的连接进行授权，并且向客户端设备提供经由该连接对虚拟计算会话的访问。一种相关的计算系统可以包括被配置成为客户端设备生成连接租用的服务器，其中客户端设备具有与其相关联的公共/私有加密密钥对，并且连接租用基于客户端设备的公共密钥的认证版本而生成。该计算系统可以进一步包括虚拟递送器具，该虚拟递送器具被配置成基于连接租用和客户端设备的公共密钥来从客户端设备接收连接请求。虚拟递送器具还可以被配置成：对生成连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实，并且对与客户端设备的连接进行授权，并且向客户端设备提供经由该连接对虚拟计算会话的访问。附图说明图1是其中可以实现本公开的各方面的计算设备的网络环境的框图。图2是对于实践图1中所图示的客户端机器或远程机器的实施例而言有用的计算设备的框图。图3是其中可以实现本公开的各方面的云计算环境的示意性框图。图4是在示例实施例中为连接到虚拟计算会话的客户端设备提供安全连接租用功能的计算系统的示意性框图。图5是图4的系统的示例性的基于云的实现方式。图6A-6B是序列图的第一部分和第二部分，该序列图图示了可以根据图5的系统来使用的示例性连接租用生成操作。图7A-7B是序列图的第一部分和第二部分，该序列图图示了用于使用根据图6的序列图生成的连接租用来建立虚拟会话连接的示例性操作。图8是图示了与图4的系统相关联的示例性方法方面的流程图。具体实施方式在远程的或是其他的任何网络基础设施的情况下，来自外部攻击的安全性总是一个重要的顾虑。关于诸如独立计算架构（ICA）之类的远程协议，在某些实例中，用于连接租用以访问虚拟计算会话的ICA文件可能容易受到拦截和重放攻击。然而，由于连接租用是相对长寿命的（例如，基于信息技术（IT）策略，几小时到几星期），并且因此攻击机会窗口更长得多，因此安全性要求特别重要。因此，连接租用是经加密和经签名的。还可以撤销连接租用，以应对诸如被盗的客户端设备、受损的用户帐户、关闭的用户帐户等之类的事件。然而，在某些情况中，这些措施可能仍然不够。例如，客户连接租用或租用令牌可能已经从受损的客户端设备被盗，或者可能已经在从连接租用发布服务（CLIS）到客户端设备的运送中被拦截。然后，该租用或令牌可能潜在地在盗贼客户端设备上使用、例如被恶意行为者拥有，以连接到该连接租用中所包括的（一个或多个）主机。随着CL/租用令牌更长的寿命，这变得更成问题，这是因为存在恶意行为者发起和继续恶意活动的更长机会。关于典型的连接租用基础设施的另一个潜在安全性缺点是：可能不存在充足的方式来防止在不同客户端设备上对有效客户租用的使用。也就是说，这可以通过提供最初为其发布了客户租用的用户的被盗凭证来完成。在一些连接租用基础设施中的仍另一个潜在缺点是：可能不存在一种方式来防止由不同的认证用户（例如，由多用户机器上的另一个用户）对相同客户端设备上的客户租用的使用（跨会话漏洞）。本文中阐述的系统和方法有利地提供了防窃（anti-theft）机制，以帮助克服与计算网络相关联的、以及更特别地与虚拟计算基础设施相关联的上面指出的技术安全性挑战。这可以通过基于相应客户端设备的公共密钥的认证版本而生成用于将客户端设备与虚拟计算会话进行连接的连接租用来完成，如下面将进一步讨论的那样，从而例如帮助防止在未授权的机器上对被盗凭证的使用、以及跨会话漏洞。参考附图进行本描述，在附图中示出了示例实施例。然而，可以使用许多不同的实施例，并且因此该描述不应被解释为限于本文中阐述的特定实施例。贯穿全文，相同的标号指代相同的元件。如本领域技术人员在阅读以下公开内容时将领会的，本文中描述的各种方面可以被体现为设备、方法或计算机程序产品（例如，具有用于执行所指出的操作或步骤的计算机可执行指令的非暂时性计算机可读介质）。因此，那些方面可以采取完全硬件实施例、完全软件实施例、或组合了软件和硬件方面的实施例的形式。此外，这种方面可以采取由一个或多个计算机可读存储介质所存储的计算机程序产品的形式，该一个或多个计算机可读存储介质具有体现在该存储介质中或该存储介质上的计算机可读程序代码或指令。可以利用任何合适的计算机可读存储介质，其包括硬盘、CD-ROM、光学存储设备、磁性存储设备和/或其任何组合。最初参考图1，其中可以实现本公开的各种方面的非限制性网络环境101包括安本文档来自技高网...

【技术保护点】
1.一种计算设备，包括：/n存储器和处理器，所述处理器与所述存储器协作并且被配置成：/n从具有与其相关联的公共/私有加密密钥对的客户端设备接收连接请求，所述连接请求基于连接租用和客户端设备的公共密钥，并且所述连接租用基于客户端设备的公共密钥的认证版本而生成；/n对生成所述连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实；以及/n对与客户端设备的连接进行授权，并且向客户端设备提供经由所述连接对虚拟计算会话的访问。/n

【技术特征摘要】
20190520 US 16/4164521.一种计算设备，包括：
存储器和处理器，所述处理器与所述存储器协作并且被配置成：
从具有与其相关联的公共/私有加密密钥对的客户端设备接收连接请求，所述连接请求基于连接租用和客户端设备的公共密钥，并且所述连接租用基于客户端设备的公共密钥的认证版本而生成；
对生成所述连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实；以及
对与客户端设备的连接进行授权，并且向客户端设备提供经由所述连接对虚拟计算会话的访问。


2.根据权利要求1所述的计算设备，其中所述处理器进一步被配置成在对与客户端设备的连接进行授权之前：
发起将由客户端设备用与客户端设备相关联的私有密钥来签名的质询；以及
用客户端设备的公共密钥来验证经签名的响应。


3.根据权利要求2所述的计算设备，其中所述处理器在对生成所述连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实之前发起所述质询并且验证经签名的响应。


4.根据权利要求2所述的计算设备，其中在所述质询和响应之前，所述处理器进一步被配置成验证与所述连接租用相关联的签名和日期，并且验证所述公共密钥是有效的。


5.根据权利要求2所述的计算设备，其中所述处理器在对生成所述连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实之后发起所述质询并且验证经签名的响应。


6.根据权利要求1所述的计算设备，其中所述连接租用包括客户端设备的公共密钥的认证版本的散列。


7.根据权利要求1所述的计算设备，其中在客户端设备处使用硬件支持的密钥存储来生成所述公共/私有密钥对。


8.根据权利要求1所述的计算设备，其中所述处理器进一步被配置成：基于未能核实生成所述连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配而丢弃与客户端设备的连接。


9.一种方法，包括：
在虚拟递送器具处从具有与其相关联的公共/私有加密密钥对的客户端设备接收连接请求，所述连接请求基于连接租用和客户端设备的公共密钥，并且所述连接租用基于客户端设备的公共密钥的认证版本而生成；
在虚拟递送器具处对生成所述连接租用所基于的公共密钥的认证版本与客户端设备的公共密钥相匹配进行核实；以及
对与客户端设备的连接进行授权，并且向客户端设备提供经由所述连接对虚拟计算会话的访问。


10.根据权利要求9所述的方法，进一步包括，在对与客户端设备的连接进行授权之前：
从虚拟递送器具发起将由客户端设备用与客户端设备相关联的私有密钥来签名的质询；以及
在虚拟递送器具处用客户端设备的公共密钥来验证经签名的响应。


11.根据权利要求10所述的方法，其中发起和验证...

【专利技术属性】
技术研发人员：G莫姆奇洛夫，H迪乌，R瓦尔德斯，
申请(专利权)人：茨特里克斯系统公司，
类型：发明
国别省市：美国;US