CN104468573B - 一种可信云终端装置 - Google Patents
一种可信云终端装置 Download PDFInfo
- Publication number
- CN104468573B CN104468573B CN201410740413.3A CN201410740413A CN104468573B CN 104468573 B CN104468573 B CN 104468573B CN 201410740413 A CN201410740413 A CN 201410740413A CN 104468573 B CN104468573 B CN 104468573B
- Authority
- CN
- China
- Prior art keywords
- management module
- cloud terminal
- card
- credible
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000009434 installation Methods 0.000 title claims abstract description 24
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 3
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种可信云终端装置。所述装置包括:可信软件部分和可信硬件部分。可信软件部分包括:IC卡管理模块、云终端基础管理模块、可信芯片管理模块,桌面通道管理模块;可信硬件部分包括:IC卡及读卡单元、云终端基础芯片及主板、可信密码芯片。本发明在基础云终端软硬件之外增加可信密码芯片和IC卡硬件、以及管理模块,并将经过验证的桌面通道控制信息写入装置的存储器中,控制云终端与服务端的桌面通道建立。采用本发明的可信云终端装置,可有效地提高云终端的安全性。
Description
技术领域
本发明涉及云计算技术及可信计算技术,尤其涉及一种可信云终端装置。
背景技术
随着互联网的迅速发展,云计算已在不同行业中得到了应用。云计算即指基于互联网络的超级计算模式,即把存储于个人计算机、服务器和其他设备上的大量存储器容量和处理器资源集中在一起,统一管理并协同工作,其打破软了硬件资源边界。其中,桌面云技术通过在服务端虚拟出用户桌面,借助于极瘦的客户端,为用户提供了一种灵活的系统数据访问手段。桌面云技术关键就是通过虚拟化技术将用户的桌面环境与其使用的终端设备解耦合。服务器上存放的是每个用户的完整桌面环境。用户可以使用具有足够处理和显示功能的不同终端设备通过网络访问该桌面环境。
国际性的非盈利机构可信计算工作组( Trusted Computing Group,TCG) 对可信的定义为: 可信是一种期望,在这种期望下设备按照特定目的以特定方式运转。TCG 针对不同的终端类型和平台形式制订了一系列完整性规范,例如个人电脑、服务器、移动电话、通信网络、软件等,这些规范所定义的可信平台模块( Trust Platform Module,TPM) 通常以硬件的形式被嵌入各种计算终端,用于提供更可信的运算基础。总体来看,可信计算平台就是在整个计算设施中建立一个验证体系,通过确保每个终端的安全性来提升整个计算机系统的安全性。因此,可信计算创建了一个安全的计算环境。
目前已经出了可信技术增强的PC机、PC服务器及安全网关等产品,但在云计算领域中还未出现可信技术增强的产品和装置。
发明内容
(一)要解决的技术问题
本发明综合利用可信计算、桌面云等新技术,提供一种可信云终端装置,可有效地提高云终端的安全性。
(二)技术方案
为了解决上述技术问题,本发明提供了一种可信云终端装置,包括可信软件部分和可信硬件部分;
所述可信软件部分包括:IC卡管理模块、可信芯片管理模块,桌面通道管理模块、云终端基础管理模块;其中,
所述IC卡管理模块,用于读取可信云终端用户的帐号密码信息,并对所述用户帐号密码信息进行管理;
所述可信芯片管理模块,用于读取用户身份信息,并对所述用户身份信息进行管理;
所述桌面通道管理模块,用于读取经过验证的用户身份信息,并生成用户的桌面通道控制信息;
所述云终端基础管理模块,用于读取用户的桌面通道控制信息,并维护云终端与服务端的桌面通道;
所述可信硬件部分包括:IC卡及读卡单元、云终端基础芯片及主板、可信密码芯片;其中,
所述IC卡及读卡单元,用于读取IC卡用户限制信息,并提供给可信密码芯片;
所述可信密码芯片,用于计算用户初始信任链,并写入装置的存储器中;
所述云终端基础芯片及主板,用于读取可信密码芯片、IC卡及读卡单元提供的用户身份信息,并将用户桌面通道控制信息写入装置的存储器中。
所述可信云终端装置访问云服务端的步骤为:
步骤a: IC卡管理模块读取用户信息;
步骤b:可信芯片管理模块验证用户信息;
步骤c:桌面通道管理模块生成通道控制信息;
步骤d:桌面终端基础管理模块建立传输通道。
所述可信云终端装置访问云服务端步骤a中数据要点为:包括USB、串口、并口、1394端口用户限制信息;
所述可信云终端装置访问云服务端步骤b中数据要点为:信任链校验信息;
所述可信云终端装置访问云服务端步骤c中数据要点为:包括管理通道、视频读写通道、音频读写通道、USB通道、输入通道、光标通道、串口、并口、1394端口通道控制信息。
(三)有益效果
由上述方案可知,本发明在基础云终端软硬件之外增加可信芯片和IC卡硬件、以及管理模块,控制云终端与服务端的桌面通道建立,采用本发明可有效地提高云终端的安全性。
本发明提供一种可信云终端装置,极大的提高了云终端的安全性,同时本发明具有稳定、高效、安全的特点。
附图说明
图1为本发明实施例提供的可信云终端装置的结构示意图;
图2为本发明实施例所述的可信云终端装置工作步骤图;
图3为为本发明实施例所述的可信云终端装置的数据要点图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的可信云终端装置的结构示意图。如图所示,本实施例一所述的可信云终端装置包括:可信软件部分和可信硬件部分。
软件部分包括:IC卡管理模块、可信芯片管理模块,桌面通道管理模块、云终端基础管理模块;其中,所述IC卡管理模块,用于读取可信云终端用户的帐号密码信息,并对所述用户帐号密码信息进行管理;所述可信芯片管理模块,用于读取用户身份信息,并对所述用户身份信息进行管理;所述桌面通道管理模块,用于读取经过验证的用户身份信息,并生成用户的桌面通道控制信息;所述云终端基础管理模块,用于读取用户的桌面通道控制信息,并维护云终端与服务端的桌面通道。
硬件部分包括:IC卡及读卡单元、云终端基础芯片及主板、可信密码芯片。 所述IC卡及读卡单元,用于读取IC卡用户限制信息,并提供给可信密码芯片。所述可信密码芯片,用于计算用户初始信任链,并写入装置的存储器中。所述云终端基础芯片及主板,用于读取可信密码芯片、IC卡及读卡单元提供的用户身份信息,并将用户桌面通道控制信息写入装置的存储器中。
进一步地,上述实施例中所述的可信云终端装置访问云服务端可采用如图2所述的步骤实现。具体地,如图2所示,所述步骤包括:步骤a、步骤b、步骤c和步骤d。其中,所述步骤a用于IC卡管理模块读取用户信息;所述步骤b用于可信芯片管理模块验证用户信息;所述步骤c用于桌面通道管理模块生成通道控制信息;所述步骤d用于桌面终端基础管理模块建立传输通道。
再进一步地,上述实施例中所述的可信云终端装置可采用如图3所述的数据要点实现。具体地,如图3所示,所述数据要点包括:数据要点1、包括USB、串口、并口、1394端口等用户限制信息;数据要点2、信任链校验信息;数据要点3、包括管理通道、视频读写通道、音频读写通道、USB通道、输入通道、光标通道、串口、并口、1394端口等通道控制信息。
本发明实施例在基础云终端软硬件之外增加可信芯片和IC卡硬件、以及管理模块,控制云终端与服务端的桌面通道建立,采用本发明实施例可有效地提高云终端的安全性。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (1)
1.一种可信云终端装置,其特征在于,包括可信软件部分和可信硬件部分;
所述可信软件部分包括:IC卡管理模块、可信芯片管理模块,桌面通道管理模块、云终端基础管理模块;其中,
所述IC卡管理模块,用于读取可信云终端用户的帐号密码信息,并对所述用户帐号密码信息进行管理;
所述可信芯片管理模块,用于读取用户身份信息,并对所述用户身份信息进行管理;
所述桌面通道管理模块,用于读取经过验证的用户身份信息,并生成用户的桌面通道控制信息;
所述云终端基础管理模块,用于读取用户的桌面通道控制信息,并维护云终端与服务端的桌面通道;
所述可信硬件部分包括:IC卡及读卡单元、云终端基础芯片及主板、可信密码芯片;其中,
所述IC卡及读卡单元,用于读取IC卡用户限制信息,并提供给可信密码芯片;
所述可信密码芯片,用于计算用户初始信任链,并写入装置的存储器中;
所述云终端基础芯片及主板,用于读取可信密码芯片、IC卡及读卡单元提供的用户身份信息,并将用户桌面通道控制信息写入装置的存储器中;
所述可信云终端装置访问云服务端的步骤为:
步骤a: IC卡管理模块读取用户信息;
步骤b:可信芯片管理模块验证用户信息;
步骤c:桌面通道管理模块生成通道控制信息;
步骤d:桌面终端基础管理模块建立传输通道;
所述可信云终端装置访问云服务端步骤a中数据要点为:包括USB、串口、并口、1394端口用户限制信息;
所述可信云终端装置访问云服务端步骤b中数据要点为:信任链校验信息;
所述可信云终端装置访问云服务端步骤c中数据要点为:包括管理通道、视频读写通道、音频读写通道、USB通道、输入通道、光标通道、串口、并口、1394端口通道控制信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410740413.3A CN104468573B (zh) | 2014-12-09 | 2014-12-09 | 一种可信云终端装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410740413.3A CN104468573B (zh) | 2014-12-09 | 2014-12-09 | 一种可信云终端装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104468573A CN104468573A (zh) | 2015-03-25 |
CN104468573B true CN104468573B (zh) | 2019-01-01 |
Family
ID=52913945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410740413.3A Active CN104468573B (zh) | 2014-12-09 | 2014-12-09 | 一种可信云终端装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104468573B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101778099A (zh) * | 2009-12-31 | 2010-07-14 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的可信网络接入的架构及其接入方法 |
CN103747036A (zh) * | 2013-12-23 | 2014-04-23 | 中国航天科工集团第二研究院七〇六所 | 一种桌面虚拟化环境下的可信安全增强方法 |
-
2014
- 2014-12-09 CN CN201410740413.3A patent/CN104468573B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101778099A (zh) * | 2009-12-31 | 2010-07-14 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的可信网络接入的架构及其接入方法 |
CN103747036A (zh) * | 2013-12-23 | 2014-04-23 | 中国航天科工集团第二研究院七〇六所 | 一种桌面虚拟化环境下的可信安全增强方法 |
Non-Patent Citations (2)
Title |
---|
"一种高效的虚拟桌面可信保证机制";石勇 等;《四川大学学报(工程科学版)》;20140131;第46卷(第1期);第29-34页 |
"安全虚拟桌面系统的设计与实现";郑兴艳;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20121015;I139-269 |
Also Published As
Publication number | Publication date |
---|---|
CN104468573A (zh) | 2015-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kai et al. | Security and privacy mechanism for health internet of things | |
US9391980B1 (en) | Enterprise platform verification | |
US10389728B2 (en) | Multi-level security enforcement utilizing data typing | |
US10032037B1 (en) | Establishing application trust levels using taint propagation as a service | |
US10360402B2 (en) | Intercepting sensitive data using hashed candidates | |
US9930034B2 (en) | Authenticating applications using a temporary password | |
CN107528830B (zh) | 账号登陆方法、系统及存储介质 | |
CN101378361A (zh) | 通信量控制系统以及通信量控制方法 | |
US9860243B2 (en) | Authenticating applications using a temporary password | |
CA3083722C (en) | Re-encrypting data on a hash chain | |
US20200285759A1 (en) | Secure execution guest owner controls for secure interface control | |
Akram et al. | Security, privacy and trust of user-centric solutions | |
US10972443B2 (en) | System and method for encrypted document co-editing | |
US10951621B2 (en) | Leveraging a regulated network to enable device connectivity in a restricted zone | |
CN104468573B (zh) | 一种可信云终端装置 | |
CN205395480U (zh) | 一种增强了安全部件的打印机主板 | |
CN106104413B (zh) | 设置时钟的速度的设备和方法 | |
US11627132B2 (en) | Key-based cross domain registration and authorization | |
CN113645025A (zh) | 数据加密存储方法、存储设备、用户设备及存储介质 | |
CN108200013B (zh) | 一种基于云端的远程安全访问的方法、装置以及系统 | |
CN108134785B (zh) | 一种服务器的切换方法、装置、终端设备及存储介质 | |
US10680801B2 (en) | Data distribution against credential information leak | |
US10621382B2 (en) | Monitoring leakage of corporation information for smart phone | |
US20230239148A1 (en) | Chained manifest for key management and attestation | |
US11171904B1 (en) | Message authentication using generative adversarial networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |