CN103888432A - 一种在虚拟化环境中共享安全设备的方法 - Google Patents
一种在虚拟化环境中共享安全设备的方法 Download PDFInfo
- Publication number
- CN103888432A CN103888432A CN201210563328.5A CN201210563328A CN103888432A CN 103888432 A CN103888432 A CN 103888432A CN 201210563328 A CN201210563328 A CN 201210563328A CN 103888432 A CN103888432 A CN 103888432A
- Authority
- CN
- China
- Prior art keywords
- virtual
- csp
- client
- terminal
- safety means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本发明公开了一种在虚拟化环境中共享安全设备的方法,其包括如下步骤:(1)通过终端虚拟CSP客户端程序将终端上安全设备中的证书导入到虚拟化的Windows系统中;(2)虚拟化的Windows系统使用设备的操作由虚拟CSP服务传输到虚拟CSP客户端,由虚拟CSP客户端完成对终端上安全设备的操作;(3)虚拟CSP客户端将操作得到的数据返回到虚拟CSP服务,由虚拟CSP服务返回到虚拟化的Windows系统中。通过本发明可以解决大多数虚拟化技术无法在终端和虚拟机之间共享安全设备的问题,同时便于用户真实信息在虚拟化环境中的传递。
Description
技术领域
本发明涉及一种在虚拟化的Windows环境中安全技术,具体涉及一种在终端和虚拟机之间共享安全设备的技术。
背景技术
虚拟化(Virtualization)技术在云计算中得到了广泛的应用,比如Microsoft的Hyper-V技术,VMWare公司的vSphere技术,以及开源的Xen,KVM等技术,都可以让原先的PC上运行的Windows操作系统能在云端运行。
终端(虚拟CSP客户端)访问部署在云计算环境内的Windows虚拟机时,一般会涉及到不同的远程传输协议,如RDP,RemoteFX,PCoIP,HDX,VNC等。各种虚拟桌面协议对于终端(客户端)和虚拟机之间的设备共享采取了不同的手段,对于安全设备(如USBKEY等),某些协议设计了共享机制(如高版本的RDP协议),某些协议如PCoIP,HDX等则只允许独占设备-也即终端(客户端)或虚拟机中同时只能有一方使用安全设备,而类似VNC这样的开源协议,则不支持在虚拟机中访问终端(客户端)上的安全设备。
不同的实现方式给在虚拟化环境中使用安全设备带来了影响和限制,尤其对于USBKey设备。
由此,提供一种能够对各类虚拟化环境都适用的安全设备共享技术是本领域亟需解决的问题。
发明内容
本发明针对现有不同的虚拟化环境中使用安全设备所存在的问题,而提供一种在虚拟化环境中共享安全设备的方法。该方法通过虚拟CSP服务及虚拟CSP客户端,实现用户可通过虚拟CSP服务远程控制终端安全设备,从而实现终端安全设备在终端与远程虚拟Windows中的共享。
为了达到上述目的,本发明采用如下的技术方案:
一种在虚拟化环境中共享安全设备的方法,所述方法包括如下步骤:
(1)通过终端虚拟CSP客户端程序将终端上安全设备中的证书导入到虚拟化的Windows系统中;
(2)虚拟化的Windows系统使用设备的操作由虚拟CSP服务传输到虚拟CSP客户端,由虚拟CSP客户端完成对终端上安全设备的操作;
(3)虚拟CSP客户端将操作得到的数据返回到虚拟CSP服务,由虚拟CSP服务返回到虚拟化的Windows系统中。
在本发明的优选实例中,所述步骤(1)通过如下步骤实现:
(11)在终端运行虚拟CSP客户端程序,在虚拟化的Windows系统中运行虚拟CSP服务;
(12)终端远程连接到虚拟化的Windows系统,同时虚拟CSP客户端连接到虚拟CSP服务;
(13)虚拟CSP客户端根据远程连接的账户SESSION信息,将终端上安全设备中的证书注册到对应虚拟化的Windows账户中。
进一步的,所述步骤(13)在实现时,虚拟CSP客户端根据自身平台与安全设备间的接口,读取安全设备中的证书,并将该证书发送至虚拟CSP服务,且根据远程连接的账户SESSION信息,将证书注册到对应虚拟化的Windows账户的证书容器中。
进一步的,在虚拟化的Windows系统具有多用户的环境下,虚拟CSP服务需要根据远程连接的账户SESSION信息注销时,将与SESSION信息绑定的证书从对应的证书容器中删除。
本发明提供的虚拟化环境下共享安全设备的方案,通过虚拟CSP服务及虚拟CSP客户端,实现用户可通过虚拟CSP服务远程控制终端上的安全设备,从而实现终端安全设备在终端与远程虚拟Windows环境中的共享。解决大多数虚拟化技术无法在终端和虚拟机之间共享安全设备的问题,同时便于用户真实信息在虚拟化环境中的传递。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为实现在终端及虚拟化中的Windows间共享终端安全设备的流程示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
在本发明提供的在虚拟化环境中共享安全设备的方法涉及到以下名词,此处对其加以解释:
虚拟CSP服务:虚拟化的windows系统的后台服务,系统启动时,服务自动启动。其可通过终端上的虚拟CSP客户端可远程操作终端上的安全设备,将终端上的操作返回值返回到虚拟化的Windows系统。
虚拟CSP客户端:相对虚拟CSP服务的客户端程序,运行在终端。
虚拟化的Windows系统:运行在虚拟机中的windows系统。
终端:计算机、手机、平板等。
远程连接的账户SESSION:包含用户名,ID,连接时间等信息。
据此,本发明提供的方案包括如下步骤:
(1)通过终端虚拟CSP客户端程序将终端上安全设备中的证书导入到虚拟化的Windows系统中。该步骤具体通过如下步骤实现:
(11)在终端运行虚拟CSP客户端程序,在虚拟化的Windows系统中运行虚拟CSP服务;
(12)终端远程连接到虚拟化的Windows系统,同时虚拟CSP客户端连接到虚拟CSP服务;
(13)虚拟CSP客户端根据远程连接的账户SESSION信息,将终端上安全设备中的证书注册到对应虚拟化的Windows账户中。在具体注册时,虚拟CSP客户端根据自身平台与安全设备间的接口,读取安全设备中的证书,并将该证书发送至虚拟CSP服务,且根据远程连接的账户SESSION信息,将证书注册到对应虚拟化的Windows账户的证书容器中。
(2)虚拟化的Windows系统使用设备的操作由虚拟CSP服务传输到虚拟CSP客户端,由虚拟CSP客户端完成对终端上安全设备的操作。
(3)虚拟CSP客户端将操作得到的数据返回到虚拟CSP服务,由虚拟CSP服务返回到虚拟化的Windows系统中。
在此基础上,本发明提供的方案还包括虚拟化的Windows系统中账户信息注销的步骤。在虚拟化的Windows系统具有多用户的环境下,虚拟CSP服务需要根据远程连接的账户SESSION信息注销时,将与SESSION信息绑定的证书从对应的证书容器中删除。
基于上述方案本发明的具体实施过程如图1所示,包括如下步骤:
1)虚拟CSP服务监听本地的端口。
2)终端基于远程传输协议的远程桌面连接到虚拟化的windows桌面。该步骤中采用的远程传输协议具体可以为RDP、RFB、PCoIP、ICA等,可根据实际情况而定。
3)虚拟CSP客户端使用TCP socket连接到虚拟CSP服务,并将远程连接的账户session信息传输到虚拟CSP服务。
4)虚拟CSP客户端读取终端上安全设备(如USBKEY、手机TF卡等)中的证书。
5)虚拟CSP客户端通过本地与安全设备接口,将安全设备中的证书传输到虚拟CSP服务。
6)虚拟CSP服务根据远程连接的账户session信息,将终端上安全设备中的证书注册到对应虚拟化的Windows账户的证书容器中。
7)终端用户通过远程桌面操作,选择虚拟化的windows系统中相应的证书进行签名等私钥操作。
8)虚拟化的windows系统调用虚拟CSP服务进行签名等私钥操作。
9)虚拟CSP服务获取或创建虚拟CSP密钥容器的句柄。
10)虚拟CSP服务将原文数据,摘要算法等参数值发送到虚拟CSP客户端。
11)虚拟CSP客户端使用安全设备的接口,将原始数据送入终端的安全设备中,实现对虚拟CSP服务传过来的原文进行签名等私钥操作。
12)虚拟CSP客户端将得到的签名值传回到虚拟CSP服务。
13)虚拟CSP服务将得到的签名值返回给用户的签名调用。
14)虚拟CSP服务检查虚拟CSP客户端连接是否断开。
15)虚拟CSP客户端断开或远程连接断开。
16)虚拟CSP服务删除注册的证书信息。
由上实例可知,本发明提供的方案通过虚拟CSP服务及虚拟CSP客户端,实现用户可通过虚拟CSP服务远程控制终端安全设备,从而实现终端安全设备在终端与远程虚拟Windows中的共享,便于用户真实信息在虚拟化环境中的传递。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (4)
1.一种在虚拟化环境中共享安全设备的方法,其特征在于,所述方法包括如下步骤:
(1)通过终端虚拟CSP客户端程序将终端上安全设备中的证书导入到虚拟化的Windows系统中;
(2)虚拟化的Windows系统使用设备的操作由虚拟CSP服务传输到虚拟CSP客户端,由虚拟CSP客户端完成对终端上安全设备的操作;
(3)虚拟CSP客户端将操作得到的数据返回到虚拟CSP服务,由虚拟CSP服务返回到虚拟化的Windows系统中。
2.根据权利要求1所述的一种在虚拟化环境中共享安全设备的方法,其特征在于,所述步骤(1)通过如下步骤实现:
(11)在终端运行虚拟CSP客户端程序,在虚拟化的Windows系统中运行虚拟CSP服务;
(12)终端远程连接到虚拟化的Windows系统,同时虚拟CSP客户端连接到虚拟CSP服务;
(13)虚拟CSP客户端根据远程连接的账户SESSION信息,将终端上安全设备中的证书注册到对应虚拟化的Windows账户中。
3.根据权利要求2所述的一种在虚拟化环境中共享安全设备的方法,其特征在于,所述步骤(13)在实现时,虚拟CSP客户端根据自身平台与安全设备间的接口,读取安全设备中的证书,并将该证书发送至虚拟CSP服务,且根据远程连接的账户SESSION信息,将证书注册到对应虚拟化的Windows账户的证书容器中。
4.根据权利要求1所述的一种在虚拟化环境中共享安全设备的方法,其特征在于,在虚拟化的Windows系统具有多用户的环境下,虚拟CSP服务需要根据远程连接的账户SESSION信息注销时,将与SESSION信息绑定的证书从对应的证书容器中删除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210563328.5A CN103888432A (zh) | 2012-12-21 | 2012-12-21 | 一种在虚拟化环境中共享安全设备的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210563328.5A CN103888432A (zh) | 2012-12-21 | 2012-12-21 | 一种在虚拟化环境中共享安全设备的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103888432A true CN103888432A (zh) | 2014-06-25 |
Family
ID=50957154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210563328.5A Pending CN103888432A (zh) | 2012-12-21 | 2012-12-21 | 一种在虚拟化环境中共享安全设备的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103888432A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105426733A (zh) * | 2015-11-11 | 2016-03-23 | 北京市国路安信息技术股份有限公司 | 一种基于网络的USBKey复用方法及系统 |
| CN105426732A (zh) * | 2015-11-11 | 2016-03-23 | 北京市国路安信息技术股份有限公司 | 一种基于网络的USBKey复用方法及网络远程端 |
| CN106534325A (zh) * | 2016-11-24 | 2017-03-22 | 深圳市永达电子信息股份有限公司 | 一种铁路轨道交通的异构网络通信系统 |
| CN111782319A (zh) * | 2020-06-16 | 2020-10-16 | 贵州省广播电视信息网络股份有限公司 | 在云桌面挂载USBKey实现共享访问的系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030154375A1 (en) * | 2002-02-08 | 2003-08-14 | Weimin Yang | Universal crypto-adaptor system for supporting multiple APIs and multiple smart cards |
| US20060174352A1 (en) * | 2001-07-25 | 2006-08-03 | Seagate Technology Llc | Method and apparatus for providing versatile services on storage devices |
| US20090198618A1 (en) * | 2008-01-15 | 2009-08-06 | Yuen Wah Eva Chan | Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce |
| CN101883122A (zh) * | 2010-07-30 | 2010-11-10 | 迈普通信技术股份有限公司 | 安全连接创建方法以及用于创建安全连接的客户端设备 |
| CN101908964A (zh) * | 2010-08-17 | 2010-12-08 | 公安部第三研究所 | 远程虚拟密码设备认证方法 |
| CN102412969A (zh) * | 2011-11-14 | 2012-04-11 | 深圳市深信服电子科技有限公司 | 远程使用证书与密钥进行认证的方法、装置及系统 |
-
2012
- 2012-12-21 CN CN201210563328.5A patent/CN103888432A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060174352A1 (en) * | 2001-07-25 | 2006-08-03 | Seagate Technology Llc | Method and apparatus for providing versatile services on storage devices |
| US20030154375A1 (en) * | 2002-02-08 | 2003-08-14 | Weimin Yang | Universal crypto-adaptor system for supporting multiple APIs and multiple smart cards |
| US20090198618A1 (en) * | 2008-01-15 | 2009-08-06 | Yuen Wah Eva Chan | Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce |
| CN101883122A (zh) * | 2010-07-30 | 2010-11-10 | 迈普通信技术股份有限公司 | 安全连接创建方法以及用于创建安全连接的客户端设备 |
| CN101908964A (zh) * | 2010-08-17 | 2010-12-08 | 公安部第三研究所 | 远程虚拟密码设备认证方法 |
| CN102412969A (zh) * | 2011-11-14 | 2012-04-11 | 深圳市深信服电子科技有限公司 | 远程使用证书与密钥进行认证的方法、装置及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105426733A (zh) * | 2015-11-11 | 2016-03-23 | 北京市国路安信息技术股份有限公司 | 一种基于网络的USBKey复用方法及系统 |
| CN105426732A (zh) * | 2015-11-11 | 2016-03-23 | 北京市国路安信息技术股份有限公司 | 一种基于网络的USBKey复用方法及网络远程端 |
| CN106534325A (zh) * | 2016-11-24 | 2017-03-22 | 深圳市永达电子信息股份有限公司 | 一种铁路轨道交通的异构网络通信系统 |
| CN111782319A (zh) * | 2020-06-16 | 2020-10-16 | 贵州省广播电视信息网络股份有限公司 | 在云桌面挂载USBKey实现共享访问的系统及方法 |
| CN111782319B (zh) * | 2020-06-16 | 2024-03-22 | 贵州省广播电视信息网络股份有限公司 | 在云桌面挂载USBKey实现共享访问的系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9807066B2 (en) | Secure data transmission and verification with untrusted computing devices | |
| EP2829024B1 (en) | Techniques for packet management in an input/output virtualization system | |
| US20160124760A1 (en) | Cloud computing system and method | |
| CN109670291B (zh) | 一种验证码的实现方法、装置及存储介质 | |
| CN102033781B (zh) | 虚拟机桌面系统切换方法 | |
| CN109118160B (zh) | 一种信息共享方法、装置、终端设备和介质 | |
| CN104717261A (zh) | 一种登录方法和桌面管理设备 | |
| CN103634419B (zh) | 终端的远程控制方法及终端 | |
| CN108234659B (zh) | 数据处理方法、装置及系统 | |
| CN108809975B (zh) | 一种内外网隔离系统及实现内外网隔离的方法 | |
| CN103888432A (zh) | 一种在虚拟化环境中共享安全设备的方法 | |
| CN105391719A (zh) | 一种基于tcp/ip网络的智能设备远程控制系统及其交互方法 | |
| CN102932791A (zh) | 智能手机与电脑之间通过wifi无线网络协同处理信息的方法 | |
| US11372658B2 (en) | Cross-device mulit-monitor setup for remote desktops via image scanning | |
| CN102289691A (zh) | 网络环境下基于平板电脑的远程虚拟sim卡读写系统 | |
| CN103220359A (zh) | 桌面一体机管理系统及方法 | |
| KR20220061926A (ko) | 미니 프로그램 페이지의 스킨 전환 방법, 장치 및 전자 기기 | |
| CN102412969B (zh) | 远程使用证书与密钥进行认证的方法、装置及系统 | |
| CN103578056A (zh) | 一种开放式旅游服务信息处理系统 | |
| CN106612316A (zh) | 一种kvm延长器传输虚拟终端的方法 | |
| EP2795431B1 (en) | Remote machine management | |
| CN104507087A (zh) | 移动办公的安全服务系统及安全服务方法 | |
| CN109583182B (zh) | 启动远程桌面的方法、装置、电子设备及计算机存储介质 | |
| US20230038446A1 (en) | System for authenticating a phone number using a phone number certificate | |
| CN102752412B (zh) | Wan环境下端口映射方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140625 |
|
| RJ01 | Rejection of invention patent application after publication |