CN104468573B - 一种可信云终端装置 - Google Patents

Abstract

本发明提供一种可信云终端装置。所述装置包括：可信软件部分和可信硬件部分。可信软件部分包括：IC卡管理模块、云终端基础管理模块、可信芯片管理模块，桌面通道管理模块；可信硬件部分包括：IC卡及读卡单元、云终端基础芯片及主板、可信密码芯片。本发明在基础云终端软硬件之外增加可信密码芯片和IC卡硬件、以及管理模块，并将经过验证的桌面通道控制信息写入装置的存储器中，控制云终端与服务端的桌面通道建立。采用本发明的可信云终端装置，可有效地提高云终端的安全性。

Description

一种可信云终端装置

技术领域

本发明涉及云计算技术及可信计算技术，尤其涉及一种可信云终端装置。

背景技术

随着互联网的迅速发展，云计算已在不同行业中得到了应用。云计算即指基于互联网络的超级计算模式，即把存储于个人计算机、服务器和其他设备上的大量存储器容量和处理器资源集中在一起，统一管理并协同工作，其打破软了硬件资源边界。其中，桌面云技术通过在服务端虚拟出用户桌面，借助于极瘦的客户端，为用户提供了一种灵活的系统数据访问手段。桌面云技术关键就是通过虚拟化技术将用户的桌面环境与其使用的终端设备解耦合。服务器上存放的是每个用户的完整桌面环境。用户可以使用具有足够处理和显示功能的不同终端设备通过网络访问该桌面环境。

国际性的非盈利机构可信计算工作组( Trusted Computing Group，TCG) 对可信的定义为: 可信是一种期望，在这种期望下设备按照特定目的以特定方式运转。TCG 针对不同的终端类型和平台形式制订了一系列完整性规范，例如个人电脑、服务器、移动电话、通信网络、软件等，这些规范所定义的可信平台模块( Trust Platform Module，TPM) 通常以硬件的形式被嵌入各种计算终端，用于提供更可信的运算基础。总体来看，可信计算平台就是在整个计算设施中建立一个验证体系，通过确保每个终端的安全性来提升整个计算机系统的安全性。因此，可信计算创建了一个安全的计算环境。

目前已经出了可信技术增强的PC机、PC服务器及安全网关等产品，但在云计算领域中还未出现可信技术增强的产品和装置。

发明内容

（一）要解决的技术问题

本发明综合利用可信计算、桌面云等新技术，提供一种可信云终端装置，可有效地提高云终端的安全性。

（二）技术方案

为了解决上述技术问题，本发明提供了一种可信云终端装置，包括可信软件部分和可信硬件部分；

所述可信软件部分包括：IC卡管理模块、可信芯片管理模块，桌面通道管理模块、云终端基础管理模块；其中，

所述IC卡管理模块，用于读取可信云终端用户的帐号密码信息，并对所述用户帐号密码信息进行管理；

所述可信芯片管理模块，用于读取用户身份信息，并对所述用户身份信息进行管理；

所述桌面通道管理模块，用于读取经过验证的用户身份信息，并生成用户的桌面通道控制信息；

所述云终端基础管理模块，用于读取用户的桌面通道控制信息，并维护云终端与服务端的桌面通道；

所述可信硬件部分包括：IC卡及读卡单元、云终端基础芯片及主板、可信密码芯片；其中，

所述IC卡及读卡单元，用于读取IC卡用户限制信息，并提供给可信密码芯片；

所述可信密码芯片，用于计算用户初始信任链，并写入装置的存储器中；

所述云终端基础芯片及主板，用于读取可信密码芯片、IC卡及读卡单元提供的用户身份信息，并将用户桌面通道控制信息写入装置的存储器中。

所述可信云终端装置访问云服务端的步骤为：

步骤a： IC卡管理模块读取用户信息；

步骤b：可信芯片管理模块验证用户信息；

步骤c：桌面通道管理模块生成通道控制信息;

步骤d：桌面终端基础管理模块建立传输通道。

所述可信云终端装置访问云服务端步骤a中数据要点为：包括USB、串口、并口、1394端口用户限制信息；

所述可信云终端装置访问云服务端步骤b中数据要点为：信任链校验信息；

所述可信云终端装置访问云服务端步骤c中数据要点为：包括管理通道、视频读写通道、音频读写通道、USB通道、输入通道、光标通道、串口、并口、1394端口通道控制信息。

（三）有益效果

由上述方案可知，本发明在基础云终端软硬件之外增加可信芯片和IC卡硬件、以及管理模块，控制云终端与服务端的桌面通道建立，采用本发明可有效地提高云终端的安全性。

本发明提供一种可信云终端装置，极大的提高了云终端的安全性，同时本发明具有稳定、高效、安全的特点。

附图说明

图1为本发明实施例提供的可信云终端装置的结构示意图；

图2为本发明实施例所述的可信云终端装置工作步骤图；

图3为为本发明实施例所述的可信云终端装置的数据要点图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供的可信云终端装置的结构示意图。如图所示，本实施例一所述的可信云终端装置包括：可信软件部分和可信硬件部分。

软件部分包括：IC卡管理模块、可信芯片管理模块，桌面通道管理模块、云终端基础管理模块；其中，所述IC卡管理模块，用于读取可信云终端用户的帐号密码信息，并对所述用户帐号密码信息进行管理；所述可信芯片管理模块，用于读取用户身份信息，并对所述用户身份信息进行管理；所述桌面通道管理模块，用于读取经过验证的用户身份信息，并生成用户的桌面通道控制信息；所述云终端基础管理模块，用于读取用户的桌面通道控制信息，并维护云终端与服务端的桌面通道。

硬件部分包括：IC卡及读卡单元、云终端基础芯片及主板、可信密码芯片。 所述IC卡及读卡单元，用于读取IC卡用户限制信息，并提供给可信密码芯片。所述可信密码芯片，用于计算用户初始信任链，并写入装置的存储器中。所述云终端基础芯片及主板，用于读取可信密码芯片、IC卡及读卡单元提供的用户身份信息，并将用户桌面通道控制信息写入装置的存储器中。

进一步地，上述实施例中所述的可信云终端装置访问云服务端可采用如图2所述的步骤实现。具体地，如图2所示，所述步骤包括：步骤a、步骤b、步骤c和步骤d。其中，所述步骤a用于IC卡管理模块读取用户信息；所述步骤b用于可信芯片管理模块验证用户信息；所述步骤c用于桌面通道管理模块生成通道控制信息;所述步骤d用于桌面终端基础管理模块建立传输通道。

再进一步地，上述实施例中所述的可信云终端装置可采用如图3所述的数据要点实现。具体地，如图3所示，所述数据要点包括：数据要点1、包括USB、串口、并口、1394端口等用户限制信息；数据要点2、信任链校验信息；数据要点3、包括管理通道、视频读写通道、音频读写通道、USB通道、输入通道、光标通道、串口、并口、1394端口等通道控制信息。

本发明实施例在基础云终端软硬件之外增加可信芯片和IC卡硬件、以及管理模块，控制云终端与服务端的桌面通道建立，采用本发明实施例可有效地提高云终端的安全性。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (1)

1.一种可信云终端装置，其特征在于，包括可信软件部分和可信硬件部分；

所述可信软件部分包括：IC卡管理模块、可信芯片管理模块，桌面通道管理模块、云终端基础管理模块；其中，

所述IC卡管理模块，用于读取可信云终端用户的帐号密码信息，并对所述用户帐号密码信息进行管理；

所述可信芯片管理模块，用于读取用户身份信息，并对所述用户身份信息进行管理；

所述桌面通道管理模块，用于读取经过验证的用户身份信息，并生成用户的桌面通道控制信息；

所述云终端基础管理模块，用于读取用户的桌面通道控制信息，并维护云终端与服务端的桌面通道；

所述可信硬件部分包括：IC卡及读卡单元、云终端基础芯片及主板、可信密码芯片；其中，

所述IC卡及读卡单元，用于读取IC卡用户限制信息，并提供给可信密码芯片；

所述可信密码芯片，用于计算用户初始信任链，并写入装置的存储器中；

所述云终端基础芯片及主板，用于读取可信密码芯片、IC卡及读卡单元提供的用户身份信息，并将用户桌面通道控制信息写入装置的存储器中；

所述可信云终端装置访问云服务端的步骤为：

步骤a： IC卡管理模块读取用户信息；

步骤b：可信芯片管理模块验证用户信息；

步骤c：桌面通道管理模块生成通道控制信息;

步骤d：桌面终端基础管理模块建立传输通道；

所述可信云终端装置访问云服务端步骤a中数据要点为：包括USB、串口、并口、1394端口用户限制信息；

所述可信云终端装置访问云服务端步骤b中数据要点为：信任链校验信息；

所述可信云终端装置访问云服务端步骤c中数据要点为：包括管理通道、视频读写通道、音频读写通道、USB通道、输入通道、光标通道、串口、并口、1394端口通道控制信息。