CN108171039A - 一种基于ukey的安全办公方法 - Google Patents
一种基于ukey的安全办公方法 Download PDFInfo
- Publication number
- CN108171039A CN108171039A CN201711418466.3A CN201711418466A CN108171039A CN 108171039 A CN108171039 A CN 108171039A CN 201711418466 A CN201711418466 A CN 201711418466A CN 108171039 A CN108171039 A CN 108171039A
- Authority
- CN
- China
- Prior art keywords
- ukey
- office
- operation system
- terminal module
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2133—Verifying human interaction, e.g., Captcha
Abstract
本发明公开了一种基于UKEY的安全办公方法,包括以下步骤:步骤1、创建标准的办公操作系统镜像,建立UKEY与服务器之间办公操作系统镜像对应关系;步骤2、启动开机后,UKEY进行多级校验;其中某一级校验失败则终止启动系统,如若多级校验均成功则挂载已分配给用户的网络磁盘。本发明的一种基于UKEY的安全办公方法,可实现移动办公、并且兼具硬件兼容性高、高安全保证、高用户体验的诸多优点。
Description
技术领域
本发明涉及安全办公技术领域,尤其涉及一种基于UKEY的安全办公方法。
背景技术
随着计算机技术的进步和不断发展,企业员工移动办公的需求越来越多,但随之而来的企业信息安全风险也越来越大。不少企业希望通过UKEY个人信息认证的技术来解决人员移动办公的认证问题,以及共享物理计算机带来的数据驻留等可能的信息泄露风险。
UKEY是一种通过USB(通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。UKEY设计小巧精致、携带方便。UKEY自身所具备的存贮器可以用来存储一些个人信息或证书,内部密码算法可以为数据传输提供安全的管道,UKEY是适用于单机或网络应用的安全防护产品。
一般的UKEY认证安全登录技术包含以下几点功能特征:合法用户必须持有UKEY才可以登录系统;只允许当前用户登录,不允许其他用户登录;拔出UKEY时退出系统或锁定计算机。
通常的UKEY认证安全登录技术仅仅解决了移动办公登录时认证的问题,但并未完全解决移动办公带来的系统安全,比如本地磁盘信息驻留,用户办公桌面标准化与个性化的平衡等等,其本质上还是在物理计算机本地操作系统之上的一种应用层技术。
通常的UKEY认证也都是基于相应的操作系统之上,所以也带来了一定的安全隐患,比如通过驱动拦截UKEY交互进行反向破解,或者通过操作系统底层HOOK进行认证欺骗,通过木马注入窃取密码等等,从而导致UKEY认证系统的可用性大大降低。
发明内容
为解决上述背景技术中所涉及的问题,本发明的技术方案如下:
本发明中的一种基于UKEY的安全办公方法,包括以下步骤:
步骤1、创建标准的办公操作系统镜像,建立UKEY与服务器之间办公操作系统镜像对应关系;
步骤2、启动开机后,UKEY进行多级校验;其中某一级校验失败则终止启动系统,如若多级校验均成功则挂载已分配给用户的网络磁盘。
在一种优选的实施方式中,步骤1包括:
步骤1.1、管理员登录服务器模块并创建标准的办公操作系统镜像;
步骤1.2、管理员录入UKEY证书与办公操作系统镜像的对应关系;
步骤1.3、管理员安装终端模块到UKEY的安全存储区;
步骤1.4、UKEY计算并保存终端模块的校验码;
步骤1.5、管理员下载办公操作系统镜像到UKEY的安全存储区或本地磁盘;
步骤1.6、UKEY计算并保存办公操作系统镜像的校验码。
在一种优选的实施方式中,步骤2包括:
步骤2.1、启动开机后,当检测到UKEY设备插入时,UKEY校验终端模块;
步骤2.2、终端模块校验通过后,终端模块启动,初始化启动环境,校验UKEY安全存储区或者本地磁盘中的办公操作系统镜像,校验通过后,终端模块将办公操作系统镜像加载到虚拟机并启动虚拟机;
步骤2.3、虚拟机启动时,终端模块透传UKEY设备到办公操作系统环境中;
步骤2.4、办公操作系统运行在虚拟机环境中,通过透传到系统的UKEY设备,登录桌面并连接到服务器进行用户身份认证,如果认证失败,则已经启动的办公操作系统被锁定;如果认证成功,办公操作系统根据服务器返回的结果,挂载已分配给用户的网络磁盘,用户正常办公,并可以通过UKEY继续登录各个应用系统。
在一种优选的实施方式中,步骤2.1包括:
步骤2.1.1、启动开机后,当检测到UKEY设备插入时,通过UKEY启动引导系统,UKEY中的引导固件开始校验安全存储区文件;
步骤2.1.2、UKEY校验安全存储区文件中的终端模块,比对校验码,如果比对失败,终止启动系统;如果比对成功,UKEY引导固件启动终端模块,让出系统控制权。
在一种优选的实施方式中,步骤2.2具体为:
终端模块校验通过后,终端模块启动,初始化启动环境,读取UKEY安全存储区或者本地磁盘中的办公操作系统镜像,比对校验码,如果比对失败,终止启动系统;如果比对成功,终端模块将办公操作系统镜像加载到虚拟机并启动虚拟机。
本发明中的一种基于UKEY的安全办公方法,与现有技术相比,其有益效果为:
(1)移动办公:用户持有UKEY就持有了自己的操作系统环境,在任何一台满足运行性能要求的物理计算机上都可以直接插入UKEY进行办公,并使用自己的操作系统环境。
(2)硬件兼容性高:用户的操作系统环境运行在虚拟化环境中,具有统一的硬件配置,不会出现不同物理计算机导致的硬件不兼容,操作系统重复激活,软件失效等情况,本发明中的基于UKEY的安全办公方法可以在任意的物理主机上运行,兼容性高。
(3)高安全保证:通过UKEY的安全存储区以及校验机制,确保了系统的安全性,无论是底层终端模块还是标准化的操作系统镜像都无法被篡改,同时基于UKEY认证的网络存储分配,保证了本地数据不驻留。
(4)高用户体验:通过本地运行的虚拟化技术,充分利用了本地计算机的性能,避免了后端虚拟化带来的低用户体验。
附图说明
图1是本发明中一种基于UKEY的安全办公方法的流程图;
图2是本发明中一种基于UKEY的安全办公方法中的UKEY硬件存储区划分结构图。
具体实施方式
下面将结合本发明的附图,对本发明的技术方案进行清楚、完整地描述。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明中的一种基于UKEY的安全办公方法,其中涉及的产品包括服务器模块、终端模块以及UKEY模块。各产品在本发明中的作用如下:
服务器模块:为用户创建标准的办公操作系统镜像以及分配对应的网络存储空间;提供基于UKEY的认证接入,通过识别UKEY上报的用户证书,为指定用户下发创建好的标准的办公操作系统镜像;通过识别UKEY上报的用户证书,为用户指定已经分配好的网络存储空间信息。
终端模块:终端模块是事先安装在UKEY的安全存储区,提供虚拟机镜像的加载,虚拟机的启动,关闭,快照,恢复等管理能力;通过与服务器模块交互,下载标准的办公操作系统镜像到UKEY的安全存储区或者物理计算机的本地硬盘;通过与服务器模块交互,挂载为用户分配的网络存储空间。
UKEY模块:提供通常的UKEY加解密基础功能;提供对安全存储区内终端模块以及用户的办公操作系统镜像的完整性,合法性校验功能。
本发明具体的基于UKEY的安全办公方法,如图1及图2所示,包括:
步骤1、创建标准的办公操作系统镜像,建立UKEY与服务器之间办公操作系统镜像对应关系;本发明中所述办公操作系统镜像是指将通常直接安装在物理硬件上的操作系统(比如Windows 7)打包到一个文件中,通过虚拟化技术引导文件中的操作系统启动。
步骤1.1、管理员登录服务器模块并创建标准的办公操作系统镜像;
步骤1.2、管理员录入UKEY证书与办公操作系统镜像的对应关系;
步骤1.3、管理员安装终端模块到UKEY的安全存储区;
步骤1.4、UKEY计算并保存终端模块的校验码;
步骤1.5、管理员下载办公操作系统镜像到UKEY的安全存储区或本地磁盘;
步骤1.6、UKEY计算并保存办公操作系统镜像的校验码。
步骤2、启动开机后,UKEY进行多级校验;其中某一级校验失败则终止启动系统,如若多级校验均成功则挂载已分配给用户的网络磁盘。
步骤2.1、启动开机后,当检测到UKEY设备插入时,UKEY校验终端模块;
步骤2.1.1、启动开机后,当检测到UKEY设备插入时,通过UKEY启动引导系统,UKEY中的引导固件开始校验安全存储区文件;其中UKEY的硬件划分结构图如图2所示,证书区保存用户相关的证书文件,加密信息等;安全存储区用来保存终端模块以及标准操作系统镜像文件;引导固件区为USB引导启动时所需的引导系统。这些区域用户不可见,只能通过程序或者MCU芯片进行读写。
步骤2.1.2、UKEY校验安全存储区文件中的终端模块,比对校验码,如果比对失败,终止启动系统;如果比对成功,UKEY引导固件启动终端模块,让出系统控制权。
步骤2.2、终端模块校验通过后,终端模块启动,初始化启动环境,读取UKEY安全存储区或者本地磁盘中的办公操作系统镜像,比对校验码,如果比对失败,终止启动系统;如果比对成功,终端模块将办公操作系统镜像加载到虚拟机并启动虚拟机。
步骤2.3、虚拟机启动时,终端模块透传UKEY设备到办公操作系统环境中;
步骤2.4、办公操作系统运行在虚拟机环境中,通过透传到系统的UKEY设备,登录桌面并连接到服务器进行用户身份认证,如果认证失败,则已经启动的办公操作系统被锁定;如果认证成功,办公操作系统根据服务器返回的结果,挂载已分配给用户的网络磁盘,用户正常办公,并可以通过UKEY继续登录各个应用系统。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (5)
1.一种基于UKEY的安全办公方法,其特征在于,包括以下步骤:
步骤1、创建标准的办公操作系统镜像,建立UKEY与服务器之间办公操作系统镜像对应关系;
步骤2、启动开机后,UKEY进行多级校验;其中某一级校验失败则终止启动系统,如若多级校验均成功则挂载已分配给用户的网络磁盘。
2.根据权利要求1所述的一种基于UKEY的安全办公方法,其特征在于,步骤1包括:
步骤1.1、管理员登录服务器模块并创建标准的办公操作系统镜像;
步骤1.2、管理员录入UKEY证书与办公操作系统镜像的对应关系;
步骤1.3、管理员安装终端模块到UKEY的安全存储区;
步骤1.4、UKEY计算并保存终端模块的校验码;
步骤1.5、管理员下载办公操作系统镜像到UKEY的安全存储区或本地磁盘;
步骤1.6、UKEY计算并保存办公操作系统镜像的校验码。
3.根据权利要求2所述的一种基于UKEY的安全办公方法,其特征在于,步骤2包括:
步骤2.1、启动开机后,当检测到UKEY设备插入时,UKEY校验终端模块;
步骤2.2、终端模块校验通过后,终端模块启动,初始化启动环境,校验UKEY安全存储区或者本地磁盘中的办公操作系统镜像,校验通过后,终端模块将办公操作系统镜像加载到虚拟机并启动虚拟机;
步骤2.3、虚拟机启动时,终端模块透传UKEY设备到办公操作系统环境中;
步骤2.4、办公操作系统运行在虚拟机环境中,通过透传到系统的UKEY设备,登录桌面并连接到服务器进行用户身份认证,如果认证失败,则已经启动的办公操作系统被锁定;如果认证成功,办公操作系统根据服务器返回的结果,挂载已分配给用户的网络磁盘,用户正常办公,并可以通过UKEY继续登录各个应用系统。
4.根据权利要求3所述的一种基于UKEY的安全办公方法,其特征在于,步骤2.1包括:
步骤2.1.1、启动开机后,当检测到UKEY设备插入时,通过UKEY启动引导系统,UKEY中的引导固件开始校验安全存储区文件;
步骤2.1.2、UKEY校验安全存储区文件中的终端模块,比对校验码,如果比对失败,终止启动系统;如果比对成功,UKEY引导固件启动终端模块,让出系统控制权。
5.根据权利要求3所述的一种基于UKEY的安全办公方法,其特征在于,步骤2.2具体为:
终端模块校验通过后,终端模块启动,初始化启动环境,读取UKEY安全存储区或者本地磁盘中的办公操作系统镜像,比对校验码,如果比对失败,终止启动系统;如果比对成功,终端模块将办公操作系统镜像加载到虚拟机并启动虚拟机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711418466.3A CN108171039A (zh) | 2017-12-25 | 2017-12-25 | 一种基于ukey的安全办公方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711418466.3A CN108171039A (zh) | 2017-12-25 | 2017-12-25 | 一种基于ukey的安全办公方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108171039A true CN108171039A (zh) | 2018-06-15 |
Family
ID=62520433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711418466.3A Pending CN108171039A (zh) | 2017-12-25 | 2017-12-25 | 一种基于ukey的安全办公方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108171039A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109086099A (zh) * | 2018-07-25 | 2018-12-25 | 浪潮(北京)电子信息产业有限公司 | 一种启动虚拟机的方法、装置、设备以及存储介质 |
| CN113282376A (zh) * | 2021-07-22 | 2021-08-20 | 北京关键科技股份有限公司 | 应用于云平台架构的UKey虚机穿透方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
| CN102096782A (zh) * | 2011-01-27 | 2011-06-15 | 中国科学院软件研究所 | 一种基于虚拟机的移动介质网银安全认证方法 |
| CN104298472A (zh) * | 2014-10-12 | 2015-01-21 | 张维加 | 一种分层实现计算虚拟化的方法与设备 |
| GB2517732A (en) * | 2013-08-29 | 2015-03-04 | Sim & Pin Ltd | System for accessing data from multiple devices |
| CN105656842A (zh) * | 2014-11-12 | 2016-06-08 | 江苏威盾网络科技有限公司 | 一种确保安全内网环境的方法 |
-
2017
- 2017-12-25 CN CN201711418466.3A patent/CN108171039A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
| CN102096782A (zh) * | 2011-01-27 | 2011-06-15 | 中国科学院软件研究所 | 一种基于虚拟机的移动介质网银安全认证方法 |
| GB2517732A (en) * | 2013-08-29 | 2015-03-04 | Sim & Pin Ltd | System for accessing data from multiple devices |
| CN104298472A (zh) * | 2014-10-12 | 2015-01-21 | 张维加 | 一种分层实现计算虚拟化的方法与设备 |
| CN105656842A (zh) * | 2014-11-12 | 2016-06-08 | 江苏威盾网络科技有限公司 | 一种确保安全内网环境的方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109086099A (zh) * | 2018-07-25 | 2018-12-25 | 浪潮(北京)电子信息产业有限公司 | 一种启动虚拟机的方法、装置、设备以及存储介质 |
| CN113282376A (zh) * | 2021-07-22 | 2021-08-20 | 北京关键科技股份有限公司 | 应用于云平台架构的UKey虚机穿透方法 |
| CN113282376B (zh) * | 2021-07-22 | 2021-11-12 | 北京关键科技股份有限公司 | 应用于云平台架构的UKey虚机穿透方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9300640B2 (en) | Secure virtual machine | |
| US8868898B1 (en) | Bootable covert communications module | |
| US8335931B2 (en) | Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments | |
| US8522018B2 (en) | Method and system for implementing a mobile trusted platform module | |
| US8200952B2 (en) | Platform authentication via a transparent second factor | |
| US8909940B2 (en) | Extensible pre-boot authentication | |
| CN102208000B (zh) | 为虚拟机镜像提供安全机制的方法和系统 | |
| US8024790B2 (en) | Portable secured computing environment for performing online confidential transactions in untrusted computers | |
| US9703586B2 (en) | Distribution control and tracking mechanism of virtual machine appliances | |
| US8230207B2 (en) | System and method of providing security to an external attachment device | |
| US8082434B2 (en) | System and method for providing a secure computing environment | |
| US20090319806A1 (en) | Extensible pre-boot authentication | |
| US20100146267A1 (en) | Systems and methods for providing secure platform services | |
| US9721102B2 (en) | Boot mechanisms for bring your own management | |
| CN107704308B (zh) | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 | |
| US7836309B2 (en) | Generic extensible pre-operating system cryptographic infrastructure | |
| CN109804598B (zh) | 信息处理的方法、系统及计算机可读介质 | |
| EP2483801B1 (en) | Method and system for provisioning portable desktops | |
| JP2022522678A (ja) | セキュア実行ゲスト所有者環境制御 | |
| CN105975872A (zh) | 一种Windows下测试TPM模块的方法 | |
| CN108171039A (zh) | 一种基于ukey的安全办公方法 | |
| CN101504708B (zh) | 计算机安全防护装置及其方法 | |
| Małowidzki et al. | Drive Encryption and Secure Login to a Secure Workstation for Special Applications | |
| Baentsch et al. | IBM secure enterprise desktop | |
| Baentsch et al. | Secure Enterprise Desktop |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180615 |