CN113992346A - 一种基于国密加固的安全云桌面的实现方法 - Google Patents
一种基于国密加固的安全云桌面的实现方法 Download PDFInfo
- Publication number
- CN113992346A CN113992346A CN202111089232.5A CN202111089232A CN113992346A CN 113992346 A CN113992346 A CN 113992346A CN 202111089232 A CN202111089232 A CN 202111089232A CN 113992346 A CN113992346 A CN 113992346A
- Authority
- CN
- China
- Prior art keywords
- spice
- cloud
- client
- cloud desktop
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 230000002787 reinforcement Effects 0.000 title claims abstract description 26
- 235000013599 spices Nutrition 0.000 claims abstract description 246
- 230000005540 biological transmission Effects 0.000 claims abstract description 33
- 230000006854 communication Effects 0.000 claims description 50
- 238000004891 communication Methods 0.000 claims description 48
- 238000012795 verification Methods 0.000 claims description 10
- 238000007596 consolidation process Methods 0.000 claims description 8
- 238000005728 strengthening Methods 0.000 claims description 7
- 230000000694 effects Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明公开了一种基于国密加固的安全云桌面的实现方法,其包括获取基于国密加固的http协议;建立云桌面客户端与云桌面服务端之间的国密可信传输通道;对登陆用户进行鉴权,获取该登陆用户下所关联的云主机列表及云主机状态信息;调用spice客户端;对云主机进行操作;建立spice客户端与spice服务端之间的国密可信传输通道;获取spice密码,通过spice协议与spice服务端连接;获取云主机信息,并将云主机信息通过spice协议传输到云桌面客户端。本发明分别通过在基于http协议、spice协议的基础上增加基于国密SM2/SM3/SM4的TLS单向认证,有效解决攻击者伪造云桌面服务端获取云桌面客户端信息,拦截云桌面客户端与云桌面服务端之间的报文获取传输数据,造成用户数据及隐私泄露的技术问题。
Description
技术领域
本发明涉及云计算技术领域,尤其是涉及一种基于国密加固的安全云桌面的实现方法。
背景技术
随着计算机和网络技术的不断发展,云计算的应用变得越来越普遍。云桌面是云计算技术的一个典型应用,能够为用户提供远程的计算机桌面服务。同时,随着CPU(中央处理器)工作效率的提升以及多任务操作系统的发展,用户可以在一台计算机上进行多种并行操作,多显示设备模式已经被越来越多的人使用。
在实现云桌面的方法中,通常采用spice协议和http协议与openstack云平台对接的方式,openstack云平台利用虚拟化技术QEMU提供云主机,通过spice协议和http协议实现云桌面服务端和云桌面客户端的数据传输通信。
然而,上述实现云桌面的方法在数据传输通信方面通过spice协议和http协议进行云桌面客户端与云桌面服务端之间进行数据传输通信的方式,其客户端与服务端之间未进行有效身份认证且明文传输数据,攻击者可以伪造服务端获取客户端信息,拦截客户端与服务端之间的报文,就可直接获取传输数据,造成用户数据及隐私泄露。
发明内容
基于此,本发明的目的在于提供一种基于openstack平台和spice协议、http协议的基于国密加固的安全云桌面的实现方法,有效解决外部攻击者伪造云桌面服务端获取云桌面客户端信息,拦截云桌面客户端与云桌面服务端之间的报文获取传输数据,造成用户数据及隐私泄露的技术问题。
为解决上述技术问题,本发明采用以下技术方案:
本发明提供了一种基于国密加固的安全云桌面的实现方法,其包括如下步骤:
在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,获取基于国密加固的http协议;
建立云桌面客户端与云桌面服务端之间的国密可信传输通道;
云桌面客户端基于国密加固的http协议调用openstack云平台RESTful接口对登陆用户进行鉴权,获取该登陆用户下所关联的云主机列表及云主机状态信息;
调用spice客户端;
openstack云平台接收云桌面客户端发送的http请求,并对云主机进行操作;
在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,建立spice客户端与spice服务端之间的国密可信传输通道;
spice客户端获取云桌面客户端设置的spice密码,通过基于国密加固的spice协议与spice服务端连接;
spice服务端在接收到spice客户端的请求后,通过openstack云平台下QEMU-kvm获取云主机信息,并将云主机信息通过基于国密加固的spice协议传输到云桌面客户端。
在其中一个实施例中,所述步骤建立云桌面客户端与云桌面服务端之间的国密可信传输通道的方法,具体操作包括:
步骤S201、云桌面服务端向公共平台认证中心申请数字证书C1;
步骤S202、云桌面客户端向云桌面服务端发送SSL信息并产生随机数A1;其中,SSL信息包括云桌面客户端支持的SSL协议的版本及国密算法列表;
步骤S203、云桌面服务端接收SSL信息后,向云桌面客户端回应云桌面服务端所使用的SSL协议的版本及加密算法,并产生随机数B1,从云桌面服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C1发送给云桌面客户端;
步骤S204、通过CA管理平台以及SM3国密算法验证云桌面客户端接收到的数字证书C1是否具有合法性及完整性;若是,则执行步骤S205;若否,则云桌面客户端返回不安全的警告信息,并断开与云桌面服务端之间的数据通信;
步骤S205、数字证书C1验证通过后,云桌面客户端向云桌面服务端发送云桌面客户端支持的SM4国密算法方案信息给云桌面服务端;
步骤S206、云桌面服务端接收云桌面客户端发送的SM4国密算法方案信息后,由于SM4国密算法的加密效率高,云桌面服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给云桌面客户端;
步骤S207、云桌面客户端根据随机数A1和随机数B1生成随机码R1,随机码R1作为SM4国密算法加解密的密钥,并使用收到的云桌面服务端的SM2公钥对随机码R1进行加密,获得加密随机码R11并发送给云桌面服务端;
步骤S208、云桌面服务端使用SM2私钥对加密随机码R11进行解密,以获得SM4国密算法的密钥R;
步骤S209、云桌面客户端与云桌面服务端之间基于国密算法SM2/SM3/SM4的TLS单向认证建立国密可信传输通道。
在其中一个实施例中,所述步骤云桌面客户端基于国密加固的http协议调用openstack云平台RESTful接口对登陆用户进行鉴权,获取该登陆用户下所关联的云主机列表及各云主机对应的状态信息之前,还包括:
在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户。
在其中一个实施例中,所述步骤在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户之前,还包括:
在云桌面服务端搭建openstack云平台。
在其中一个实施例中,所述步骤在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户之前,还包括:
部署云桌面客户端。
在其中一个实施例中,所述步骤在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户之后,还包括:
在openstack云平台上的云主机创建接口中增加多显示设备功能对应的元数据。
在其中一个实施例中,所述步骤在openstack云平台上的云主机创建接口中增加多显示设备功能对应的元数据的方法,具体操作包括:
步骤S910、修改openstack云平台源码nova下libvirt提供的API;
步骤S920、增加add muti video support实现多显示设备接入的支持;具体地,在nova/virt/libvirt/driver.py下LibvirtDriver驱动接口中通过instance.metadata.get()函数获取创建云主机时设置的元数据use_second_video_device的值,作为add_video_device()函数的输入,并决定是否支持多显示设备接入,yes则增加第二显示设备接入,false则不支持第二显示设备接入;
步骤S930、重复所述步骤S920的操作。
在其中一个实施例中,所述步骤spice客户端获取云桌面客户端设置的spice密码,通过基于国密加固的spice协议与spice服务端连接之前,还包括
调用SM4国密算法的密钥R对spice密码进行加密。
在其中一个实施例中,所述在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,建立spice客户端与spice服务端之间的国密可信传输通道的方法,具体操作包括:
步骤S601、在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证;
步骤S602、spice服务端向公共平台认证中心申请数字证书C2;
步骤S603、spice客户端向spice服务端发送SSL信息并产生随机数A2;其中,SSL信息包括spice客户端支持的SSL协议的版本及国密算法列表;
步骤S604、spice服务端接收SSL信息后,向spice客户端回应spice服务端所使用的SSL协议的版本及加密算法,并产生随机数B2,从spice服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C2发送给spice客户端;
步骤S605、通过CA管理平台以及SM3国密算法验证spice客户端接收到的数字证书C2是否具有合法性及完整性;若是,则执行步骤S606;若否,则spice客户端返回不安全的警告信息,并断开与spice服务端之间的数据通信;
步骤S606、数字证书C2验证通过后,spice客户端向spice服务端发送spice客户端支持的SM4国密算法方案信息给spice服务端;
步骤S607、spice服务端接收spice客户端发送的SM4国密算法方案信息后,由于SM4国密算法的加密效率高,spice服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给spice客户端;
步骤S608、spice客户端根据随机数A2和随机数B2生成随机码R2,随机码R2作为SM4国密算法加解密的密钥,并使用收到的spice服务端的SM2公钥对随机码R2进行加密,获得加密随机码R21并发送给spice服务端;
步骤S609、spice服务端使用SM2私钥对加密随机码R21进行解密,以获得SM4国密算法的密钥R;
步骤S610、spice客户端与spice服务端之间基于国密算法SM2/SM3/SM4的TLS单向认证建立国密可信传输通道。
在其中一个实施例中,所述步骤调用spice客户端的方法,具体操作为:
云桌面客户端在获取云主机列表后,通过spice连接参数调用spice客户端,其中,spice连接参数包括spice服务端IP地址、spice服务端端口及会话token。
综上所述,本发明提供的一种基于国密加固的安全云桌面的实现方法分别通过在基于http协议、spice协议的基础上增加基于国密SM2/SM3/SM4的TLS单向认证,有效解决攻击者伪造云桌面服务端获取云桌面客户端信息,拦截云桌面客户端与云桌面服务端之间的报文获取传输数据,造成用户数据及隐私泄露的技术问题。
附图说明
图1为本发明实施例提供的第一种ceph分布式对象存储方法国密加固方法的流程示意图;
图2为本发明实施例提供的第二种基于国密加固的安全云桌面的实现方法的流程示意图;
图3为本发明实施例提供的第三种基于国密加固的安全云桌面的实现方法的流程示意图;
图4为本发明实施例提供的第四种基于国密加固的安全云桌面的实现方法的流程示意图;
图5为本发明实施例提供的第五种基于国密加固的安全云桌面的实现方法的流程示意图;
图6为本发明实施例提供的本发明一种基于国密加固的安全云桌面的实现方法的架构图;
图7为本发明实施例提供一种基于国密加固的安全云桌面的实现方法中多显示设备接入的效果图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例提供的第一种基于国密加固的安全云桌面的实现方法的流程示意图,如图1所示,一种基于国密加固的安全云桌面的实现方法,具体包括如下步骤:
步骤S100、在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,获取基于国密加固的http协议。
具体地,所述步骤S100的方法,具体操作包括:
将OpenSSL源码的密码算法文件中修改为SM2/SM3/SM4国密算法;具体地,将OpenSSL源码的cipher.c密码算法文件中的密码替换为SM2/SM3/SM4国密算法;
利用OpenSSL生成国密算法SM2/SM4对应的密钥,获取基于国密加固的http协议。
步骤S200、建立云桌面客户端与云桌面服务端之间的国密可信传输通道。
其中,所述步骤S200的方法,具体操作包括:
步骤S201、云桌面服务端向公共平台认证中心(Certificate Authority)申请数字证书C1;
步骤S202、云桌面客户端向云桌面服务端发送SSL信息并产生随机数A1;其中,SSL信息包括云桌面客户端支持的SSL协议的版本及国密算法列表;
步骤S203、云桌面服务端接收SSL信息后,向云桌面客户端回应云桌面服务端所使用的SSL协议的版本及加密算法,并产生随机数B1,从云桌面服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C1发送给云桌面客户端;
步骤S204、通过CA管理平台以及SM3国密算法验证云桌面客户端接收到的数字证书C1是否具有合法性及完整性;若是,则执行步骤S205;若否,则云桌面客户端返回不安全的警告信息,并断开与云桌面服务端之间的数据通信;其中,通过CA管理平台以及SM3国密算法验证云桌面客户端接收到的数字证书C1是否具有合法性及完整性包括验证数字证书C1是否过期、是否已经被吊销、是否可信等内容;如果数字证书C1的验证没有通过,则云桌面客户端返回不安全的警告,并断开与云桌面服务端之间的数据通信,从而有效防止黑客冒充,提高了云桌面客户端及云桌面服务端双方的数据传输的可靠性和安全性;
步骤S205、数字证书C1验证通过后,云桌面客户端向云桌面服务端发送云桌面客户端支持的SM4国密算法方案信息给云桌面服务端;其中,SM4国密算法方案为对OpenSSL源码中算法库进行修改后形成。
步骤S206、云桌面服务端接收云桌面客户端发送的SM4国密算法方案信息后,由于SM4国密算法的加密效率高,云桌面服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给云桌面客户端;
步骤S207、云桌面客户端根据随机数A1和随机数B1生成随机码R1,随机码R1作为SM4国密算法加解密的密钥,并使用收到的云桌面服务端的SM2公钥对随机码R1进行加密,获得加密随机码R11并发送给云桌面服务端;
步骤S208、云桌面服务端使用SM2私钥对加密随机码R11进行解密,以获得SM4国密算法的密钥R;
步骤S209、云桌面客户端与云桌面服务端之间基于国密算法SM2/SM3/SM4的TLS单向认证建立国密可信传输通道;通过SM4国密算法的密钥R对通信报文进行加解密,开始进行云桌面客户端与云桌面服务端之间数据通信;云桌面客户端及云桌面服务端双方后续的数据通信都会建立在该SM4国密算法的密钥R上进行加解密,以保障云桌面客户端及云桌面服务端通信中信息的安全。
在其中一个实施例中,所述步骤S209之后,还包括
步骤S210、通过SM3国密算法验证云桌面客户端和云桌面服务端之间的数据通信过程中通信报文的完整性。
本发明一种基于国密加固的安全云桌面的实现方法通过在基于http协议的基础上增加基于国密SM2/SM3/SM4的TLS单向认证,有效解决攻击者伪造云桌面服务端获取云桌面客户端信息,拦截云桌面客户端与云桌面服务端之间的报文获取传输数据,造成用户数据及隐私泄露的技术问题。
步骤S300、云桌面客户端基于国密加固的http协议调用openstack云平台RESTful接口对登陆用户进行鉴权,获取该登陆用户下所关联的云主机列表及各云主机对应的状态信息;其中,云主机对应的状态信息为运行中、关机或错误等状态,用户在登录云桌面客户端成功后,用户可以通过云桌面客户端获取得到该登陆用户下所关联的云主机列表及各云主机对应的状态信息。
如图2所示,在一个实施例中,所述步骤S300之前,还包括
步骤S300-1、在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户;用户登陆openstack云平台根据需要创建至少一个云主机,创建出来的云主机与该登陆用户相关联。
本实施例中,步骤S300-1位于步骤S300之前,步骤S300-1也可根据需要描述成位于步骤S100或步骤S200之前。
在一个实施例中,所述步骤S300-1之前,还包括
步骤S300-2、在云桌面服务端搭建openstack云平台;其中,openstack云平台是基于openstack开源镜像在国产X86服务器上搭建完成的,本实施例中,国产X86服务器为ubantu 18.04操作系统的国产X86海光服务器。
在一个实施例中,所述步骤S300-2之后,还包括
步骤S300-3、定制openstack云平台RESTful接口;具体地,openstack云平台RESTful接口为在调用openstack云平台libvirt提供的API基础上,再加上云桌面客户端和openstack云平台为统一用户体系封装而成的接口,以保证同一登陆用户在云桌面客户端和openstack云平台上获取的云主机信息是一样的。
在一个实施例中,所述步骤S300-1之前,还包括
步骤S300-4、部署云桌面客户端;在第一硬件设备服务器上安装云桌面客户端,并配置云桌面服务端IP地址、云桌面服务端端口、云桌面服务端显示分辨率、云桌面服务端的多屏显示方式等参数,其中,第一硬件设备服务器为linux系统或者windows系统的硬件设备,还可以为IOS系统的硬件设备等。
步骤S400、调用spice客户端。
在一个实施例中,所述步骤S400的方法,具体操作为:
云桌面客户端在获取云主机列表后,通过spice连接参数调用spice客户端,其中,spice连接参数包括spice服务端IP地址、spice服务端端口及会话token;云桌面客户端包括spice客户端,即第一硬件设备服务器在安装云桌面客户端的同时,spice客户端也一并安装在了第一硬件设备服务器上。
进一步地,用户登录云桌面客户端并获取云主机列表后,在云主机列表中选择要进行远程连接的云主机执行连接操作,实现spice客户端的调用;具体地,用户在云桌面客户端获取的云主机列表中点击其中一个云主机,执行连接操作,从而实现对spice客户端的调用。
步骤S500、openstack云平台接收云桌面客户端发送的http请求,并对云主机进行操作;具体地,openstack云平台接收云桌面客户端发送的http请求后,通过openstack云平台下的libvirt提供的API调用QEMU-kvm对云主机进行操作,其中,libvirt和QEMU是在第二硬件设备服务器上部署完openstack云平台后自动安装形成,一个QEMU-kvm进程对应一个云主机。
上述对云主机进行操作包括云主机创建、启动、删除等操作,均是通过openstack云平台下libvirt提供的API调用QEMU-kvm实现。
步骤S600、在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,建立spice客户端与spice服务端之间的国密可信传输通道。
本实施例中,步骤S600位于步骤S500之后,步骤S600也可根据需要描述成位于步骤S100或步骤S200或步骤S300或步骤S400或步骤S500之前。
具体地,所述步骤S600中在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证的方法,具体操作包括:
将OpenSSL源码的密码算法文件中修改为SM2/SM3/SM4国密算法;具体地,将OpenSSL源码的cipher.c密码算法文件中的密码替换为SM2/SM3/SM4国密算法;
利用OpenSSL生成国密算法SM2/SM4对应的密钥。
在一个实施例中,所述步骤S600的方法,具体操作包括:
步骤S601、在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证;
步骤S602、spice服务端向公共平台认证中心(Certificate Authority)申请数字证书C2;
步骤S603、spice客户端向spice服务端发送SSL信息并产生随机数A2;其中,SSL信息包括spice客户端支持的SSL协议的版本及国密算法列表;
步骤S604、spice服务端接收SSL信息后,向spice客户端回应spice服务端所使用的SSL协议的版本及加密算法,并产生随机数B2,从spice服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C2发送给spice客户端;
步骤S605、通过CA管理平台以及SM3国密算法验证spice客户端接收到的数字证书C2是否具有合法性及完整性;若是,则执行步骤S606;若否,则spice客户端返回不安全的警告信息,并断开与spice服务端之间的数据通信;其中,通过CA管理平台以及SM3国密算法验证spice客户端接收到的数字证书C2是否具有合法性及完整性包括验证数字证书C2是否过期、是否已经被吊销、是否可信等内容;如果数字证书C2的验证没有通过,则spice客户端返回不安全的警告,并断开与spice服务端之间的数据通信,从而有效防止黑客冒充,提高了spice客户端及spice服务端双方的数据传输的可靠性和安全性;
步骤S606、数字证书C2验证通过后,spice客户端向spice服务端发送spice客户端支持的SM4国密算法方案信息给spice服务端;其中,SM4国密算法方案为对OpenSSL源码中算法库进行修改后形成。
步骤S607、spice服务端接收spice客户端发送的SM4国密算法方案信息后,由于SM4国密算法的加密效率高,spice服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给spice客户端;
步骤S608、spice客户端根据随机数A2和随机数B2生成随机码R2,随机码R2作为SM4国密算法加解密的密钥,并使用收到的spice服务端的SM2公钥对随机码R2进行加密,获得加密随机码R21并发送给spice服务端;
步骤S609、spice服务端使用SM2私钥对加密随机码R21进行解密,以获得SM4国密算法的密钥R;
步骤S610、spice客户端与spice服务端之间基于国密算法SM2/SM3/SM4的TLS单向认证建立国密可信传输通道;通过SM4国密算法的密钥R对通信报文进行加解密,开始进行spice客户端与spice服务端之间数据通信;spice客户端及spice服务端双方后续的数据通信都会建立在该SM4国密算法的密钥R上进行加解密,以保障spice客户端及spice服务端通信中信息的安全。
在其中一个实施例中,所述步骤S610之后,还包括
步骤S611、通过SM3国密算法验证spice客户端和spice服务端之间的数据通信过程中通信报文的完整性。
本发明一种实现spice的国密加固方法通过在基于spice协议的基础上增加基于国密SM2/SM3/SM4的TLS单向认证,有效解决攻击者伪造spice服务端获取spice客户端信息,拦截spice客户端与spice服务端之间的报文获取传输数据,造成用户数据及隐私泄露的技术问题。
步骤S700、spice客户端获取云桌面客户端设置的spice密码,通过基于国密加固的spice协议与spice服务端连接,实现云桌面客户端和云桌面服务端的通信;其中,云桌面服务端包括spice服务端,第二硬件设备服务器在支持spice服务端的同时需安装qxl驱动,spice密码为spice客户端与spice服务端之间进行连接所需要的密码。
具体地,为了提高spice客户端与spice服务端之间spice连接的安全性,需要通过openstack云平台下的virsh命令设置spice密码,通过virshdumpxml 80获取云主机xml信息,复制并修改如下部分在spice.xml中,并通过virsh update-device 80spice.xml命令更新spice设备:
<graphics type='spice'port='5901'passwd='abcd'autoport='yes'listen='0.0.0.0'>
<listen type='address'address='0.0.0.0'/>
</graphics>
上述的“abcd”即为设置的spice密码,在现有技术中该spice密码明为文存储的方式存在,存在安全隐患,spice客户端获取到明文的spice密码就可以连接spice服务端。
如图3所示,在一个实施例中,所述步骤S700之前,还包括
步骤S700-1、调用SM4国密算法的密钥R对spice密码进行加密,以进一步提高spice客户端与spice服务端之间spice连接的安全性,解决了恶意攻击者在获取spice密码后可直接连接spice服务端的技术问题。
所述步骤S700-1的方法,具体操作为:
通过CA管理平台产生SM4国密算法的密钥R,并保存在openstack云平台所在的第二硬件设备服务器上,设置spice密码passwd0时先调用SM4国密算法的密钥R对该spice密码passwd0加密,得到加密后的spice密码passwd1;将加密后的spice密码passwd1传输给云主机以及spice客户端,并将加密后的spice密码passwd1存储在第二硬件设备服务器的数据库中;其中,加密后的spice密码passwd1供spice客户端在调用spice协议时使用。
进一步地,利用OpenSSL生成SM4国密算法对应的密钥R,并将密钥R置于第二硬件设备服务器的/opt/safe目录下,在得到spice密码passwd0后,调用密钥R对spice密码passwd0进行加密得到加密后的spice密码passwd1,将加密后的spice密码passwd1传输给云主机xml文件以及将加密后的spice密码passwd1供spice客户端在调用spice协议时使用,并将加密后的spice密码passwd1存储在数据库中。
步骤S800、spice服务端在接收到spice客户端的请求后,通过openstack云平台下QEMU-kvm获取云主机信息,并将云主机信息通过基于国密加固的spice协议传输到云桌面客户端。
具体地,所述云主机信息包括云主机的显示内容信息、声音内容信息等其他对云主机的操作,通过spice协议的不同通道传输到spice客户端,进而传输到云桌面客户端。
如图4所示,在一个实施例中,所述步骤S300-1之后,还包括
步骤S900、在openstack云平台上的云主机创建接口中增加多显示设备功能对应的元数据,实现多显示设备的接入效果;另外,如实现声卡接入效果或qxl显卡接入效果,则需在openstack云平台上的云主机创建接口中增加对应的元数据,如设置enable_audio为yes,以供openstack云平台底层nova调用。
具体地,为使云主机支持云桌面客户端及云桌面服务端依赖spice协议或qxl显卡,在openstack云平台创建云主机时调用libvirt的ztychangeinstancexml()接口实现对云主机xml的修改,同时为提高效率减少配置出错,此部分的修改需编译在openstack云平台部署镜像中,修改后的云主机xml中对spice协议以及qxl显卡支持部分如下:
<graphics type="spice"autoport="yes">
<listen type="address"/>
<image compression="off"/>
</graphics>
<video>
<model type="qxl"ram="65536"vram="65536"vgamem="16384"heads="1"primary="yes"/>
<address type="pci"domain="0x0000"bus="0x00"slot="0x01"function="0x0"/>
</video>
在一个实施例中,所述步骤S900的方法,具体操作包括:
步骤S910、修改openstack云平台源码nova下libvirt提供的API;
步骤S920、增加add muti video support实现多显示设备接入的支持;具体地,在nova/virt/libvirt/driver.py下LibvirtDriver驱动接口中通过instance.metadata.get()函数获取创建云主机时设置的元数据use_second_video_device的值,作为add_video_device()函数的输入,并决定是否支持多显示设备接入,yes则增加第二显示设备接入,false则不支持第二显示设备接入;
步骤S930、重复所述步骤S920的操作,以增加第三显示设备、第四显示设备等更多的显示设备接入。
在其他实施例中,上述实现声卡的接入效果的方法,具体操作为:
增加add audio device实现声卡的支持;在nova/virt/libvirt/driver.py下LibvirtDriver驱动接口中通过instance.metadata.get()获取创建云主机时设置的元数据enable_audio,audio_model的值,作为函数add_audio_device()的输入,并决定是否支持声卡,yes则支持,false则不支持,其中audio_model通过libvirt接口vconfig.LibvirtConfigGuestAudio()获取。
本发明一种基于国密加固的安全云桌面的实现方法通过对openstack云平台nova下libvirt接口的修改以及对云主机元数据的设置,实现了云桌面的多显示设备接入效果,提高其可用性;其中,本发明一种基于国密加固的安全云桌面的实现方法中多显示设备接入的效果如图7中的(1)和(2)所示,图7中两个显示设备采用分辨率自适应、屏幕扩展的方式显示。
如图5和图6所示,为了更加清晰本发明的技术方案,下面再阐述优选实施例。
步骤S100、在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,获取基于国密加固的http协议;
步骤S200、建立云桌面客户端与云桌面服务端之间的国密可信传输通道;
步骤S300-2、在云桌面服务端搭建openstack云平台;
步骤S300-3、定制openstack云平台RESTful接口;
步骤S300-4、部署云桌面客户端;
步骤S300-1、在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户;
步骤S900、在openstack云平台上的云主机创建接口中增加多显示设备功能对应的元数据;
步骤S300、云桌面客户端基于国密加固的http协议调用openstack云平台RESTful接口对登陆用户进行鉴权,获取该登陆用户下所关联的云主机列表及各云主机对应的状态信息;
步骤S400、调用spice客户端;
步骤S500、openstack云平台接收云桌面客户端发送的http请求,并对云主机进行操作;
步骤S600、在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,建立spice客户端与spice服务端之间的国密可信传输通道;
步骤S700-1、调用SM4国密算法的密钥R对spice密码进行加密;
步骤S700、spice客户端获取云桌面客户端设置的spice密码,通过基于国密加固的spice协议与spice服务端连接;
步骤S800、spice服务端在接收到spice客户端的请求后,通过openstack云平台下QEMU-kvm获取云主机信息,并将云主机信息通过基于国密加固的spice协议传输到云桌面客户端。
综上所述,本发明一种基于国密加固的安全云桌面的实现方法通过在基于http协议的基础上增加基于国密SM2/SM3/SM4的TLS单向认证,有效解决攻击者伪造云桌面服务端获取云桌面客户端信息,拦截云桌面客户端与云桌面服务端之间的报文获取传输数据,造成用户数据及隐私泄露的技术问题;另外,通过在基于spice协议的基础上增加基于国密SM2/SM3/SM4的TLS单向认证,有效解决攻击者伪造spice服务端获取spice客户端信息,拦截spice客户端与spice服务端之间的报文获取传输数据,造成用户数据及隐私泄露的技术问题。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的方法和方法,可以通过其它的方式实现。例如,以上所描述的方法实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个方法,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于国密加固的安全云桌面的实现方法,其特征在于,包括如下步骤:
在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,获取基于国密加固的http协议;
建立云桌面客户端与云桌面服务端之间的国密可信传输通道;
云桌面客户端基于国密加固的http协议调用openstack云平台RESTful接口对登陆用户进行鉴权,获取该登陆用户下所关联的云主机列表及云主机状态信息;
调用spice客户端;
openstack云平台接收云桌面客户端发送的http请求,并对云主机进行操作;
在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,建立spice客户端与spice服务端之间的国密可信传输通道;
spice客户端获取云桌面客户端设置的spice密码,通过基于国密加固的spice协议与spice服务端连接;
spice服务端在接收到spice客户端的请求后,通过openstack云平台下QEMU-kvm获取云主机信息,并将云主机信息通过基于国密加固的spice协议传输到云桌面客户端。
2.根据权利要求1所述的一种基于国密加固的安全云桌面的实现方法,其特征在于,所述步骤建立云桌面客户端与云桌面服务端之间的国密可信传输通道的方法,具体操作包括:
步骤S201、云桌面服务端向公共平台认证中心申请数字证书C1;
步骤S202、云桌面客户端向云桌面服务端发送SSL信息并产生随机数A1;其中,SSL信息包括云桌面客户端支持的SSL协议的版本及国密算法列表;
步骤S203、云桌面服务端接收SSL信息后,向云桌面客户端回应云桌面服务端所使用的SSL协议的版本及加密算法,并产生随机数B1,从云桌面服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C1发送给云桌面客户端;
步骤S204、通过CA管理平台以及SM3国密算法验证云桌面客户端接收到的数字证书C1是否具有合法性及完整性;若是,则执行步骤S205;若否,则云桌面客户端返回不安全的警告信息,并断开与云桌面服务端之间的数据通信;
步骤S205、数字证书C1验证通过后,云桌面客户端向云桌面服务端发送云桌面客户端支持的SM4国密算法方案信息给云桌面服务端;
步骤S206、云桌面服务端接收云桌面客户端发送的SM4国密算法方案信息后,由于SM4国密算法的加密效率高,云桌面服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给云桌面客户端;
步骤S207、云桌面客户端根据随机数A1和随机数B1生成随机码R1,随机码R1作为SM4国密算法加解密的密钥,并使用收到的云桌面服务端的SM2公钥对随机码R1进行加密,获得加密随机码R11并发送给云桌面服务端;
步骤S208、云桌面服务端使用SM2私钥对加密随机码R11进行解密,以获得SM4国密算法的密钥R;
步骤S209、云桌面客户端与云桌面服务端之间基于国密算法SM2/SM3/SM4的TLS单向认证建立国密可信传输通道。
3.根据权利要求1所述的一种基于国密加固的安全云桌面的实现方法,其特征在于,所述步骤云桌面客户端基于国密加固的http协议调用openstack云平台RESTful接口对登陆用户进行鉴权,获取该登陆用户下所关联的云主机列表及各云主机对应的状态信息之前,还包括:
在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户。
4.根据权利要求3所述的一种基于国密加固的安全云桌面的实现方法,其特征在于,所述步骤在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户之前,还包括:
在云桌面服务端搭建openstack云平台。
5.根据权利要求3所述的一种基于国密加固的安全云桌面的实现方法,其特征在于,所述步骤在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户之前,还包括:
部署云桌面客户端。
6.根据权利要求3所述的一种基于国密加固的安全云桌面的实现方法,其特征在于,所述步骤在openstack云平台创建云主机,云主机对应关联openstack云平台的登陆用户之后,还包括:
在openstack云平台上的云主机创建接口中增加多显示设备功能对应的元数据。
7.根据权利要求6所述的一种基于国密加固的安全云桌面的实现方法,其特征在于,所述步骤在openstack云平台上的云主机创建接口中增加多显示设备功能对应的元数据的方法,具体操作包括:
步骤S910、修改openstack云平台源码nova下libvirt提供的API;
步骤S920、增加add muti video support实现多显示设备接入的支持;具体地,在nova/virt/libvirt/driver.py下LibvirtDriver驱动接口中通过instance.metadata.get()函数获取创建云主机时设置的元数据use_second_video_device的值,作为add_video_device()函数的输入,并决定是否支持多显示设备接入,yes则增加第二显示设备接入,false则不支持第二显示设备接入;
步骤S930、重复所述步骤S920的操作。
8.根据权利要求1~3任一项所述的一种基于国密加固的安全云桌面的实现方法,其特征在于:所述步骤spice客户端获取云桌面客户端设置的spice密码,通过基于国密加固的spice协议与spice服务端连接之前,还包括
调用SM4国密算法的密钥R对spice密码进行加密。
9.根据权利要求1~3任一项所述的一种基于国密加固的安全云桌面的实现方法,其特征在于,所述在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证,建立spice客户端与spice服务端之间的国密可信传输通道的方法,具体操作包括:
步骤S601、在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证;
步骤S602、spice服务端向公共平台认证中心申请数字证书C2;
步骤S603、spice客户端向spice服务端发送SSL信息并产生随机数A2;其中,SSL信息包括spice客户端支持的SSL协议的版本及国密算法列表;
步骤S604、spice服务端接收SSL信息后,向spice客户端回应spice服务端所使用的SSL协议的版本及加密算法,并产生随机数B2,从spice服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C2发送给spice客户端;
步骤S605、通过CA管理平台以及SM3国密算法验证spice客户端接收到的数字证书C2是否具有合法性及完整性;若是,则执行步骤S606;若否,则spice客户端返回不安全的警告信息,并断开与spice服务端之间的数据通信;
步骤S606、数字证书C2验证通过后,spice客户端向spice服务端发送spice客户端支持的SM4国密算法方案信息给spice服务端;
步骤S607、spice服务端接收spice客户端发送的SM4国密算法方案信息后,由于SM4国密算法的加密效率高,spice服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给spice客户端;
步骤S608、spice客户端根据随机数A2和随机数B2生成随机码R2,随机码R2作为SM4国密算法加解密的密钥,并使用收到的spice服务端的SM2公钥对随机码R2进行加密,获得加密随机码R21并发送给spice服务端;
步骤S609、spice服务端使用SM2私钥对加密随机码R21进行解密,以获得SM4国密算法的密钥R;
步骤S610、spice客户端与spice服务端之间基于国密算法SM2/SM3/SM4的TLS单向认证建立国密可信传输通道。
10.根据权利要求1~3任一项所述的一种基于国密加固的安全云桌面的实现方法,其特征在于,所述步骤调用spice客户端的方法,具体操作为:
云桌面客户端在获取云主机列表后,通过spice连接参数调用spice客户端,其中,spice连接参数包括spice服务端IP地址、spice服务端端口及会话token。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111089232.5A CN113992346B (zh) | 2021-09-16 | 2021-09-16 | 一种基于国密加固的安全云桌面的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111089232.5A CN113992346B (zh) | 2021-09-16 | 2021-09-16 | 一种基于国密加固的安全云桌面的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992346A true CN113992346A (zh) | 2022-01-28 |
| CN113992346B CN113992346B (zh) | 2024-01-26 |
Family
ID=79735944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111089232.5A Active CN113992346B (zh) | 2021-09-16 | 2021-09-16 | 一种基于国密加固的安全云桌面的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992346B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001703A (zh) * | 2022-05-25 | 2022-09-02 | 深圳市证通电子股份有限公司 | 一种基于国密加密机的堡垒机安全提升方法 |
| CN115001705A (zh) * | 2022-05-25 | 2022-09-02 | 深圳市证通电子股份有限公司 | 一种基于加密设备的网络协议安全提升方法 |
| CN115065493A (zh) * | 2022-04-06 | 2022-09-16 | 电子科技大学中山学院 | 一种基于Spice协议的自主安全VDI模型及其优化方法 |
| CN115242783A (zh) * | 2022-09-22 | 2022-10-25 | 中科方德软件有限公司 | 传输方法、装置、电子设备和介质 |
| CN116938602A (zh) * | 2023-09-15 | 2023-10-24 | 天津卓朗昆仑云软件技术有限公司 | 一种基于云桌面的数据传输方法和装置 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110209064A1 (en) * | 2010-02-24 | 2011-08-25 | Novell, Inc. | System and method for providing virtual desktop extensions on a client desktop |
| CN104811455A (zh) * | 2015-05-18 | 2015-07-29 | 成都卫士通信息产业股份有限公司 | 一种云计算身份认证方法 |
| CN105262825A (zh) * | 2015-10-29 | 2016-01-20 | 曲阜师范大学 | 基于h.265的spice云桌面传输和展现方法及系统 |
| CN105487916A (zh) * | 2015-11-24 | 2016-04-13 | 上海君是信息科技有限公司 | 一种桌面云环境下的虚拟机安全加固方法 |
| US20170257215A1 (en) * | 2016-03-07 | 2017-09-07 | Citrix Systems, Inc. | Encrypted password transport across untrusted cloud network |
| CN108055327A (zh) * | 2017-12-15 | 2018-05-18 | 佛山三维二次方科技有限公司 | 基于OpenStack的云计算实验平台 |
| CN109359455A (zh) * | 2018-09-19 | 2019-02-19 | 广州杰赛科技股份有限公司 | 一种云桌面登录方法、装置与计算机可读存储介质 |
| CN109873805A (zh) * | 2019-01-02 | 2019-06-11 | 平安科技(深圳)有限公司 | 基于云安全的云桌面登陆方法、装置、设备和存储介质 |
| CN110336846A (zh) * | 2019-04-15 | 2019-10-15 | 长飞光纤光缆股份有限公司 | 一种基于spice协议的云桌面文件拖拽传输的方法 |
| CN110808983A (zh) * | 2019-11-05 | 2020-02-18 | 西安雷风电子科技有限公司 | 一种用于云桌面终端网络接入的云桌面身份识别检测方法 |
| CN111193776A (zh) * | 2019-12-11 | 2020-05-22 | 福建升腾资讯有限公司 | 云桌面环境下客户端自动登录方法、装置、设备和介质 |
| CN111835752A (zh) * | 2020-07-09 | 2020-10-27 | 国网山西省电力公司信息通信分公司 | 基于设备身份标识的轻量级认证方法及网关 |
| CN111865609A (zh) * | 2020-07-03 | 2020-10-30 | 上海缔安科技股份有限公司 | 一种基于国密算法的私有云平台数据加解密系统 |
| CN111917756A (zh) * | 2020-07-27 | 2020-11-10 | 杭州叙简科技股份有限公司 | 一种执法记录仪基于公钥路由的加密系统及加密方法 |
| CN112492028A (zh) * | 2020-11-26 | 2021-03-12 | 中国人寿保险股份有限公司 | 云桌面登录方法、装置、电子设备及存储介质 |
-
2021
- 2021-09-16 CN CN202111089232.5A patent/CN113992346B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110209064A1 (en) * | 2010-02-24 | 2011-08-25 | Novell, Inc. | System and method for providing virtual desktop extensions on a client desktop |
| CN104811455A (zh) * | 2015-05-18 | 2015-07-29 | 成都卫士通信息产业股份有限公司 | 一种云计算身份认证方法 |
| CN105262825A (zh) * | 2015-10-29 | 2016-01-20 | 曲阜师范大学 | 基于h.265的spice云桌面传输和展现方法及系统 |
| CN105487916A (zh) * | 2015-11-24 | 2016-04-13 | 上海君是信息科技有限公司 | 一种桌面云环境下的虚拟机安全加固方法 |
| US20170257215A1 (en) * | 2016-03-07 | 2017-09-07 | Citrix Systems, Inc. | Encrypted password transport across untrusted cloud network |
| CN108055327A (zh) * | 2017-12-15 | 2018-05-18 | 佛山三维二次方科技有限公司 | 基于OpenStack的云计算实验平台 |
| CN109359455A (zh) * | 2018-09-19 | 2019-02-19 | 广州杰赛科技股份有限公司 | 一种云桌面登录方法、装置与计算机可读存储介质 |
| WO2020140407A1 (zh) * | 2019-01-02 | 2020-07-09 | 平安科技(深圳)有限公司 | 基于云安全的云桌面登陆方法、装置、设备和存储介质 |
| CN109873805A (zh) * | 2019-01-02 | 2019-06-11 | 平安科技(深圳)有限公司 | 基于云安全的云桌面登陆方法、装置、设备和存储介质 |
| CN110336846A (zh) * | 2019-04-15 | 2019-10-15 | 长飞光纤光缆股份有限公司 | 一种基于spice协议的云桌面文件拖拽传输的方法 |
| CN110808983A (zh) * | 2019-11-05 | 2020-02-18 | 西安雷风电子科技有限公司 | 一种用于云桌面终端网络接入的云桌面身份识别检测方法 |
| CN111193776A (zh) * | 2019-12-11 | 2020-05-22 | 福建升腾资讯有限公司 | 云桌面环境下客户端自动登录方法、装置、设备和介质 |
| CN111865609A (zh) * | 2020-07-03 | 2020-10-30 | 上海缔安科技股份有限公司 | 一种基于国密算法的私有云平台数据加解密系统 |
| CN111835752A (zh) * | 2020-07-09 | 2020-10-27 | 国网山西省电力公司信息通信分公司 | 基于设备身份标识的轻量级认证方法及网关 |
| CN111917756A (zh) * | 2020-07-27 | 2020-11-10 | 杭州叙简科技股份有限公司 | 一种执法记录仪基于公钥路由的加密系统及加密方法 |
| CN112492028A (zh) * | 2020-11-26 | 2021-03-12 | 中国人寿保险股份有限公司 | 云桌面登录方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| MINGXING ZHOU; SHUHUA RUAN; JUNWEI LIU; XINGSHU CHEN; MIAOMIAO YANG; QIXU WANG: "vTPM-SM: An Application Scheme of SM2/SM3/SM4 Algorithms Based on Trusted Computing in Cloud Environment", 《IEEE》, pages 1 - 10 * |
| 莫止卿: "桌面虚拟化环境中的数据安全分析与设计", 《中国优秀硕士学位论文全文数据库》, pages 1 - 10 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115065493A (zh) * | 2022-04-06 | 2022-09-16 | 电子科技大学中山学院 | 一种基于Spice协议的自主安全VDI模型及其优化方法 |
| CN115001703A (zh) * | 2022-05-25 | 2022-09-02 | 深圳市证通电子股份有限公司 | 一种基于国密加密机的堡垒机安全提升方法 |
| CN115001705A (zh) * | 2022-05-25 | 2022-09-02 | 深圳市证通电子股份有限公司 | 一种基于加密设备的网络协议安全提升方法 |
| CN115001703B (zh) * | 2022-05-25 | 2023-09-01 | 深圳市证通电子股份有限公司 | 一种基于国密加密机的堡垒机安全提升方法 |
| CN115001705B (zh) * | 2022-05-25 | 2024-01-26 | 深圳市证通电子股份有限公司 | 一种基于加密设备的网络协议安全提升方法 |
| CN115242783A (zh) * | 2022-09-22 | 2022-10-25 | 中科方德软件有限公司 | 传输方法、装置、电子设备和介质 |
| CN115242783B (zh) * | 2022-09-22 | 2022-11-29 | 中科方德软件有限公司 | 传输方法、装置、电子设备和介质 |
| CN116938602A (zh) * | 2023-09-15 | 2023-10-24 | 天津卓朗昆仑云软件技术有限公司 | 一种基于云桌面的数据传输方法和装置 |
| CN116938602B (zh) * | 2023-09-15 | 2023-12-01 | 天津卓朗昆仑云软件技术有限公司 | 一种基于云桌面的数据传输方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992346B (zh) | 2024-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2022206349A1 (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
| US10129240B2 (en) | Distributing security codes through a restricted communications channel | |
| CN109361668B (zh) | 一种数据可信传输方法 | |
| CN113992346B (zh) | 一种基于国密加固的安全云桌面的实现方法 | |
| US11196729B2 (en) | Methods and systems for distributing encrypted cryptographic data | |
| US9917829B1 (en) | Method and apparatus for providing a conditional single sign on | |
| KR101130415B1 (ko) | 비밀 데이터의 노출 없이 통신 네트워크를 통해 패스워드 보호된 비밀 데이터를 복구하는 방법 및 시스템 | |
| KR101722631B1 (ko) | 프록시를 사용하여 자원들에의 보안 액세스 | |
| JP6335280B2 (ja) | 企業システムにおけるユーザおよびデバイスの認証 | |
| TWI608361B (zh) | 電子裝置、伺服器、通訊系統及通訊方法 | |
| AU2018328182A1 (en) | Securing a data connection for communicating between two end-points | |
| JP2018518738A (ja) | サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証 | |
| US10819709B1 (en) | Authorizing delegated capabilities to applications in a secure end-to-end communications system | |
| US10045212B2 (en) | Method and apparatus for providing provably secure user input/output | |
| CN110177099B (zh) | 基于非对称加密技术的数据交换方法、发送终端和介质 | |
| CN113992702B (zh) | 一种ceph分布式文件系统存储国密加固方法及系统 | |
| KR100326361B1 (ko) | 인터넷 웹상에서 암호화, 인증기술을 이용한 보안메일 사용방법 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| KR20100025624A (ko) | 안전하지 않은 통신 채널에서 비인증서 공개키를 사용한 보안키 생성 방법 | |
| KR100970552B1 (ko) | 비인증서 공개키를 사용하는 보안키 생성 방법 | |
| CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
| CN115348077A (zh) | 一种虚拟机加密方法、装置、设备、存储介质 | |
| US11611541B2 (en) | Secure method to replicate on-premise secrets in a cloud environment | |
| US11601402B1 (en) | Secure communications to multiple devices and multiple parties using physical and virtual key storage | |
| CN114503105A (zh) | 用于浏览器应用的密码服务 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |