登录认证方法、装置及系统与流程

本发明涉及虚拟机领域，具体而言，涉及一种登录认证方法、装置及系统。

背景技术：

现有的虚拟机登录认证的方案中，无论是ad认证系统还是非ad认证系统，都需要ad认证系统或非ad认证系统中的认证模块与虚拟机内部安装的组件进行交互，而该认证模块要连接到虚拟机内部安装的组件，需要虚拟机网络是可达的，另外，在一些特殊场景下，例如虚拟机上存储了保密数据，若仍采用现有的虚拟机登录认证方案，将存在潜在的安全风险。

技术实现要素：

有鉴于此，本发明实施例的目的在于提供一种登录认证方法、装置及系统，以解决上述问题。

为了实现上述目的，本发明实施例采用的技术方案如下：

第一方面，本发明实施例提供了一种登录认证方法，所述方法包括：云管理服务器接收用户终端的登录请求并进行身份认证；当身份认证通过时，向所述用户终端发送用于标识用户身份的唯一标识符；接收所述用户终端发送的连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符；向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息，以使所述硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机；向所述用户终端发送所述虚拟化服务器的网络地址信息，以使所述用户终端根据所述网络地址信息访问所述待连接虚拟机。

第二方面，本发明实施例提供了一种登录认证方法，所述方法包括：用户终端向云管理服务器发送登录请求；接收所述云管理服务器返回的用于标识用户身份的唯一标识符；向所述云管理服务器发送连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符；接收所述管理服务器发送的虚拟化服务器的网络地址信息，根据所述网络地址信息访问所述待连接虚拟机。

第三方面，本发明实施例提供了一种登录认证装置，所述装置包括：第一接收模块，用于接收用户终端的登录请求并进行身份认证；第一返回模块，用于当身份认证通过时，向所述用户终端发送用于标识用户身份的唯一标识符；第二接收模块，用于接收所述用户终端发送的连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符；第一发送模块，用于向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息，以使所述硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机；第二返回模块，用于向所述用户终端发送所述虚拟化服务器的网络地址信息，以使所述用户终端根据所述网络地址信息访问所述待连接虚拟机。

第四方面，本发明实施例提供了一种登录认证装置，所述装置包括：第二发送模块，用于向云管理服务器发送登录请求；第三接收模块，用于接收所述云管理服务器返回的用于标识用户身份的唯一标识符；第三发送模块，用于向所述云管理服务器发送连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符；第四接收模块，用于接收所述管理服务器发送的虚拟化服务器的网络地址信息，根据所述网络地址信息访问所述待连接虚拟机。

第五方面，本发明实施例提供了一种登录认证系统，所述系统包括云管理服务器、用户终端及虚拟化服务器，所述云管理服务器，用于接收所述用户终端的登录请求并进行身份认证；当身份认证通过时，向所述用户终端发送用于标识用户身份的唯一标识符；接收所述用户终端发送的连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符；向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息，以使所述硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机；向所述用户终端发送所述虚拟化服务器的网络地址信息，以使所述用户终端根据所述网络地址信息访问所述待连接虚拟机；所述用户终端，用于向所述云管理服务器发送登录请求，接收所述云管理服务器发送的用于标识用户身份的唯一标识符；向所述云管理服务器发送所述连接请求；接收所述云管理服务器发送的所述虚拟化服务器的网络地址信息，根据所述网络地址信息访问所述待连接虚拟机；所述虚拟化服务器，用于接收所述云管理服务器发送的所述授权通知信息，以使所述虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机。

与现有技术相比，本发明实施例提供的一种登录认证方法、装置及系统，通过云管理服务器接收用户终端的登录请求并进行身份认证，当身份认证通过时，向所述用户终端发送用于标识用户身份的唯一标识符，接收所述用户终端发送的连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符，向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息，以使所述硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机，向所述用户终端发送所述虚拟化服务器的网络地址信息，以使所述用户终端根据所述网络地址信息访问所述待连接虚拟机，这种方式下，登录认证时不需要虚拟机内部的组件参与，而是与虚拟化服务器中待连接虚拟机对应的硬件模拟模块进行交互，即不需要虚拟机的网络可达，只需要虚拟化服务器的网络可达即可完成登录认证，进一步的，也保证了登录认证的安全性。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明第一实施例提供的一种登录认证系统的示意图。

图2是本发明实施例提供的用户终端的结构框图。

图3是本发明实施例提供的云管理服务器的结构框图。

图4是本发明第二实施例提供的一种登录认证方法的流程图。

图5是本发明第三实施例提供的一种登录认证方法的流程图。

图6是本发明第四实施例提供的一种登录认证系统的示意图。

图7是本发明第五实施例提供的一种登录认证方法的流程图。

图8是本发明第六实施例提供的一种登录认证装置的结构框图。

图9是本发明第七实施例提供的一种登录认证装置的结构框图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

本发明实施例提供一种登录认证方法、装置可以运行在如图1所示的登录认证系统中，实现用户终端的登录认证过程。如图1所示，是本发明第一实施例提供的一种登录认证系统。所述系统包括用户终端100、云管理服务器200、及虚拟化服务器300，所述云管理服务器200通过网络与用户终端100进行通信连接，并且通过网络与虚拟化服务器300进行通信，以进行数据通信或交互。所述云管理服务器200及虚拟化服务器300可以是网络服务器、数据库服务器等。所述用户终端100可以是个人电脑(personalcomputer，pc)、平板电脑、智能手机等。其中，该虚拟化服务器300中通过虚拟化技术预先配置了至少一台虚拟机。

如图2所示，是上述系统中一种用户终端100的方框示意图。所述用户终端100包括登录认证装置900、存储器120、处理器140、外设接口150、输入输出单元160、音频单元170、显示单元180。

所述存储器120、处理器140、外设接口150、输入输出单元160、音频单元170、显示单元180各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述登录认证装置900包括至少一个可以软件或固件(firmware)的形式存储于所述存储器中或固化在所述用户终端的操作系统(operatingsystem，os)中的软件功能模块。所述处理器140用于执行存储器120中存储的可执行模块，例如登录认证装置900包括的软件功能模块或计算机程序。

其中，存储器120可以是，但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread－onlymemory，prom)，可擦除只读存储器(erasableprogrammableread－onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread－onlymemory，eeprom)等。其中，存储器120用于存储程序，所述处理器140在接收到执行指令后，执行所述程序，本发明实施例任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器140中，或者由处理器140实现。

处理器140可能是一种集成电路芯片，具有信号的处理能力。上述的处理器140可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述外设接口150将各种输入/输出装置耦合至处理器140以及存储器120。在一些实施例中，外设接口150，处理器140可以在单个芯片中实现。在其他一些实例中，他们可以分别由独立的芯片实现。

输入输出单元160用于提供给用户输入数据实现用户与所述用户终端的交互。所述输入输出单元160可以是，但不限于，鼠标和键盘等。

音频单元170向用户提供音频接口，其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。

显示单元180在所述用户终端与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中，所述显示单元可以是液晶显示器或触控显示器。若为触控显示器，其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作，并将该感应到的触控操作交由处理器进行计算和处理。

可以理解，图2所示的结构仅为示意，用户终端100还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。

如图3所示，是上述系统中一种云管理服务器200的方框示意图。所述云管理服务器200包括登录认证装置800、存储器220、处理器230。

所述云管理服务器200中的存储器220、及处理器230均可参照关于用户终端100的描述，这里不再赘述。

图4示出了本发明第二实施例提供的登录认证方法的流程图，请参阅图4，该登录认证方法可以运行于如图1所示的登录认证系统中的云管理服务器200中，该方法包括：

步骤s511，云管理服务器接收用户终端的登录请求并进行身份认证。

该登录请求中包括了用户身份信息，该用户身份信息可以是用户名，也可以包括身份证号、护照号、电话号码等身份识别号，并不局限于此。该登录请求中除了包括用户身份信息外，还可以包括其它信息，例如，登录密码，随机验证码等，此处不再赘述。

当云管理服务器接收到该登录请求后，可以自身对该登录请求中的用户身份信息进行验证，也可以将登录请求发送到认证服务器，以使所述认证服务器对所述用户身份信息进行认证，当认证服务器对该用户身份信息认证成功后，返回用于确认认证成功的信息到该云管理服务器。

步骤s512，当身份认证通过时，向所述用户终端发送用于标识用户身份的唯一标识符。

作为一种实施方式，当身份认证通过时，云管理服务器生成用于标识用户身份的唯一标识符token，该token与用户身份信息对应，并将该token发送到用户终端。当然，该用于标识用户身份的唯一标识符也可以是预先生成并与该用户身份信息绑定的，但用户身份认证通过时，则根据用户的身份信息查找到与之对应的用于标识用户身份的唯一标识符，并发送到用户终端。

当用户终端接收到该用于标识用户身份的唯一标识符后，向云管理服务器发送连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符。

步骤s513，接收所述用户终端发送的连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符。

所述待连接虚拟机的身份信息可以是待连接虚拟机的名称或者编号等。

步骤s514，向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息，以使所述硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机。

可以理解的是，虚拟化服务器对应一个虚拟化平台，该虚拟化平台通过虚拟化技术配置出多个虚拟机，每台虚拟机有一个与其对应的硬件模拟模块。该硬件模拟模块中可以模拟出该虚拟机对应的虚拟显卡，虚拟鼠标，虚拟键盘等。作为一种实施方式，云管理服务器可以向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块中的虚拟显卡发送授权通知信息。

作为一种实施方式，该唯一标识符具有时效性，其中，该时效性是指虚拟化服务器对唯一标识符的验证具有时效性。具体的，若所述虚拟化服务器中的与所述待连接虚拟机对应的硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机后，若超过预设时间，该唯一标识符对应的用户再访问所述待连接虚拟机，则访问失效。

作为另一种实施方式，该唯一标识符具有有效使用次数，其中，该有效使用次数是指虚拟化服务器对唯一标识符的验证具有有效使用次数。具体的，若有效使用次数为1次，则对该唯一标识符授权的虚拟机在接收到一次连接后，该唯一标识符就会失效，也就是说，当该虚拟机再次接收到连接请求时，即使连接请求中携带了此已授权的唯一标识符，该虚拟机也不会同意此连接请求。

当然，该唯一标识符的时效性及有效使用次数可以配合使用，此处不再赘述。上述对唯一标识符的限制，避免了中间人攻击窃取token来进行桌面连接的危险，进一步保证了登录认证的安全性。

步骤s515，向所述用户终端发送所述虚拟化服务器的网络地址信息，以使所述用户终端根据所述网络地址信息访问所述待连接虚拟机。

其中，所述虚拟化服务器的网络地址信息可以包括上述虚拟化服务器的ip地址以及该所述待连接虚拟机对应的硬件模拟模块监听的端口信息。

当云管理服务器向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息后，可以等到接收到所述虚拟化服务器返回的确认授权消息后，再向所述用户终端发送所述虚拟化服务器的网络地址信息；当然，也可以在向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息后，立刻向所述用户终端发送所述虚拟化服务器的网络地址信息。当用户终端接收到所述虚拟化服务器的网络地址信息，根据所述网络地址信息可以访问所述虚拟化服务器，进一步的访问到该虚拟化服务器上与所述待连接虚拟机对应的硬件模拟模块，具体的，可以是该待连接虚拟机的虚拟显卡，当虚拟机需要将图像数据发送到用户终端时，可以将该图像数据通过显卡驱动，传输给虚拟显卡，虚拟显卡再将该图像数据直接传输给用户终端或者通过云管理服务器转发给用户终端，可以理解的是，虚拟显卡是运行是在虚拟化服务器上的，要连接该虚拟显卡，使用的是虚拟化服务器本身的网络，不依赖于虚拟机的网络。

本发明实施例提供的登录认证方法，通过云管理服务器接收用户终端的登录请求并进行身份认证，当身份认证通过时，向所述用户终端发送用于标识用户身份的唯一标识符，接收所述用户终端发送的连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符，向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息，以使所述硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机，向所述用户终端发送所述待连接虚拟机的网络地址信息，以使所述用户终端根据所述网络地址信息访问所述待连接虚拟机，这种方式下，登录认证时不需要虚拟机内部的组件参与，而是与待连接虚拟机对应的硬件模拟模块进行交互，即不需要虚拟机的网络可达，只需要虚拟化服务器的网络可达即可完成登录认证，进一步的，也保证了登录认证的安全性。

图5示出了本发明第三实施例提供的登录认证方法的流程图，请参阅图5，该登录认证方法运行于如图1所示的登录认证系统中的用户终端100中，该方法包括：

步骤s611，用户终端向云管理服务器发送登录请求。

步骤s612，接收所述云管理服务器返回的用于标识用户身份的唯一标识符。

步骤s613，向所述云管理服务器发送连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符。

步骤s614，接收所述管理服务器发送的虚拟化服务器的网络地址信息，根据所述网络地址信息访问所述待连接虚拟机。

进一步的，当该用户终端接收所述管理服务器发送的虚拟化服务器的网络地址信息，可以通过云管理服务器向所述待连接虚拟机所在的虚拟化服务器发起连接，也可以直接根据所述网络地址信息向所述待连接虚拟机所在的虚拟化服务器发起连接。

具体的，可以设置两种模式，例如，转发模式和直连模式。若用户终端桌面设置为转发模式，用户终端向云管理服务器发起连接，云管理服务器再连接到虚拟化服务器；如果用户终端桌面设置为直连模式，用户终端直接连接到虚拟化服务器。

本发明实施例提供的登录认证方法，通过云管理服务器接收用户终端的登录请求并进行身份认证，当身份认证通过时，向所述用户终端发送用于标识用户身份的唯一标识符，接收所述用户终端发送的连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符，向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息，以使所述硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机，向所述用户终端发送所述待连接虚拟机的网络地址信息，以使所述用户终端根据所述网络地址信息访问所述待连接虚拟机，这种方式下，登录认证时不需要虚拟机内部的组件参与，而是与待连接虚拟机对应的硬件模拟模块进行交互，即不需要虚拟机的网络可达，只需要虚拟化服务器的网络可达即可完成登录认证，进一步的，也保证了登录认证的安全性。

请参阅图6，如图6所示，是本发明第四实施例提供的一种登录认证系统。所述系统包括用户终端100、云管理服务器200、虚拟化服务器300、连接服务器410、通用认证服务器420、及认证服务器430。所述连接服务器410通过网络分别与用户终端100、通用认证服务器420、及云管理服务器200进行通信连接，以进行数据通信或交互。所述通用认证服务器420通过网络分别与连接服务器410、认证服务器430及云管理服务器200进行通信连接，以进行数据通信或交互。所述云管理服务器200通过网络分别与连接服务器410、通用认证服务器420及虚拟化服务器300进行通信连接，以进行数据通信或交互。作为一种实施方式，可以将该连接服务器410、通用认证服务器420、及认证服务器430中的一个或多个以软件模块的形式集成到该云管理服务器200。

图7示出了可以应用于图6所示的登录认证系统中的登录认证方法的流程图，该方法包括：

步骤s711，云管理服务器发送查询信息到通用认证模块，该查询信息用于查询认证服务器上待绑定用户身份信息。

该通用认证模块中封装了用户认证调用，使得认证服务器中的认证系统，即无论是ad认证系统还是非ad认证系统，对云管理服务器而言是一样的，屏蔽了不同场景下用户体系的差异。

步骤s712，该通用认证模块将所述查询信息发送到认证服务器。

该认证服务器中可以是基于ad认证系统，也可以是基于非ad认证系统，此处不作限制。该认证服务器中预先存储一些合法用户的身份信息，该云管理服务器可以首先发送查询信息，用于向该认证服务器查询待绑定用户身份信息，该认证服务器将通过查询，将待绑定用户身份信息发送到该云管理服务器。

步骤s713，认证服务器将待绑定用户身份信息发送到该通用认证模块。

步骤s714，该通用认证模块将待绑定用户身份信息返回到云管理服务器。

步骤s715，所述云管理服务器从其管理的虚拟机中选择一个或多个虚拟机，将所述待绑定用户身份信息与所述一个或多个虚拟机进行绑定。

步骤s716，用户终端向连接服务模块发送登录请求，所述登录请求中包括用户身份信息。

该连接服务模块是专门用于负责用户终端与云管理服务器或通用认证模块间的连接服务的模块，能够起到隔离的作用，使得整个登录认证更加安全可靠。

步骤s717，该连接服务模块将该登录请求发送到通用认证模块。

步骤s718，该通用认证模块再将该登录请求发送到认证服务器。

作为另一种实施方式，该通用认证模块可以将该登录请求转换为认证请求，并将所述认证请求发送到认证服务器。

步骤s719，该认证服务器对该登录请求进行认证。

若该认证服务器接收到的是认证请求，则对该认证请求进行认证。

步骤s720，当认证服务器认证通过后，发送用于确认认证通过的信息到该通用认证模块。

作为一种实施方式，该通用认证模块接收到所述用于确认认证通过的信息后，该通用认证模块可以记录所述用户身份信息的登录状态，当再次接收到的所述登录请求中包括该已经验证通过的用户身份信息时，则无需将该登录请求发送到认证服务器，使得该认证服务器对该用户身份信息进行再次验证。

步骤s721，该通用认证模块向连接服务模块发送用于标识用户身份的唯一标识符。

步骤s722，该连接服务模块返回所述用于标识用户身份的唯一标识符及认证成功的信息到用户终端。

步骤s723，用户终端向连接服务模块发送虚拟机列表请求信息，所述列表请求信息中包括用户身份信息及所述唯一标识符。

步骤s724，所述连接服务模块将虚拟机列表请求信息发送到云管理服务器。

步骤s725，所述云管理服务器将该虚拟机列表请求信息中的所述唯一标识符发送至通用认证模块。

步骤s726，该通用认证模块对该唯一标识符进行验证。

步骤s727，若认证成功，向所述云管理服务器发送认证通过的信息。

步骤s728，当云管理服务器接收到该认证通过的信息，云管理服务器将与所述用户身份信息绑定的虚拟机列表返回到连接服务模块。

步骤s729，连接服务模块再将该虚拟机列表返回到用户终端。

步骤s730，用户终端从所述虚拟机列表中选择待连接虚拟机，并向所述连接服务模块发送连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符。

步骤s731，所述连接服务模块将所述连接请求中的所述唯一标识符发送到所述通用认证模块。

步骤s732，所述通用认证模块对所述唯一标识符进行认证。

步骤s733，若认证成功，向所述连接服务模块发送认证通过的信息以及临时会话标识符。

步骤s734，该连接服务模块向云管理服务器发送授权通知信息，该授权通知信息包该临时会话标识符。

步骤s735，该云管理服务器将所述授权通知信息发送到虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块，以使所述硬件模拟模块授权所述临时会话标识符对应的用户可访问所述待连接虚拟机。

步骤s736，云管理服务器向连接服务模块返回所述虚拟化服务器的网络地址信息及该临时会话标识符。

步骤s737，该连接服务模块向所述用户终端返回虚拟化服务器的网络地址信息及该临时会话标识符。

步骤s738，用户终端根据所述网络地址信息及所述临时会话标识符访问所述待连接虚拟机。

可以理解到的是，用户终端根据所述网络地址信息访问所述待连接虚拟机时发送的访问请求中也需携带该临时会话标识符，虚拟化服务器通过该临时会话标识符来确定是否让所述用户终端访问所述待连接虚拟机。可以理解的是，由于用户每次认证都会分配一个临时会话标识符，因此即使本次分配的临时会话标识符被中间人截获了，则用户可以通过重新认证再次获得新的临时会话标识符，并使该临时会话标识符失效，然后采用该新的临时会话标识符重新登录待连接待虚拟机，因此采用临时会话标识符可以进一步加强安全性。

本发明实施例提供的登录认证方法，除了可以实现上述实施例能够实现的功能外，还使用通用认证模块封装用户认证调用，屏蔽了不同场景下用户体系的差异，使得系统支持多种用户体系(无论是ad认证系统还是非ad认证系统)进行用户登录认证和桌面交付，进一步的，还采用了连接服务模块专门负责连接服务，起到了隔离的作用，使得整个登录认证过程更加安全。

请参阅图8，是本发明第六实施例提供的登录认证装置800的功能模块示意图。所述登录认证装置800运行于云管理服务器200中。所述登录认证装置800包括第一接收模块810，第一返回模块820，第二接收模块830，第一发送模块840，以及第二返回模块850。

第一接收模块810，用于接收用户终端的登录请求并进行身份认证。

第一返回模块820，用于当身份认证通过时，向所述用户终端发送用于标识用户身份的唯一标识符。

第二接收模块830，用于接收所述用户终端发送的连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符。

第一发送模块840，用于向虚拟化服务器中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息，以使所述硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机。

第二返回模块850，用于向所述用户终端发送所述虚拟化服务器的网络地址信息，以使所述用户终端根据所述网络地址信息访问所述待连接虚拟机。

以上各模块可以是由软件代码实现，此时，上述的各模块可存储于云管理服务器200的存储器内。以上各模块同样可以由硬件例如集成电路芯片实现。

请参阅图9，是本发明第七实施例提供的登录认证装置900的功能模块示意图。所述登录认证装置900运行于用户终端100中。所述装置包括：第二发送模块910、第三接收模块920、第三发送模块930、及第四接收模块940。

第二发送模块910，用于向云管理服务器发送登录请求。

第三接收模块920，用于接收所述云管理服务器返回的用于标识用户身份的唯一标识符。

第三发送模块930，用于向所述云管理服务器发送连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符。

第四接收模块940，用于接收所述管理服务器发送的虚拟化服务器的网络地址信息，根据所述网络地址信息访问所述待连接虚拟机。

以上各模块可以是由软件代码实现，此时，上述的各模块可存储于用户终端100的存储器内。以上各模块同样可以由硬件例如集成电路芯片实现。

本发明实施例还提供了一种登录认证系统，所述系统包括云管理服务器200、用户终端100及虚拟化服务器300。

所述云管理服务器200，用于接收所述用户终端100的登录请求并进行身份认证；当身份认证通过时，向所述用户终端100发送用于标识用户身份的唯一标识符；接收所述用户终端100发送的连接请求，所述连接请求中包括待连接虚拟机的身份信息及所述唯一标识符；向虚拟化服务器300中与所述待连接虚拟机对应的硬件模拟模块发送授权通知信息，以使所述硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机；向所述用户终端100发送所述虚拟化服务器的网络地址信息，以使所述用户终端100根据所述网络地址信息访问所述待连接虚拟机。

所述用户终端100，用于向所述云管理服务器200发送登录请求，接收所述云管理服务器200发送的用于标识用户身份的唯一标识符；向所述云管理服务器200发送所述连接请求；接收所述云管理服务器200发送的所述虚拟化服务器的网络地址信息，根据所述网络地址信息访问所述待连接虚拟机。

所述虚拟化服务器300，用于接收所述云管理服务器200发送的所述授权通知信息，以使所述虚拟化服务器300中与所述待连接虚拟机对应的硬件模拟模块授权所述唯一标识符对应的用户可访问所述待连接虚拟机。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本发明实施例所提供的登录认证装置及系统，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read－onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第三等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。