基于高速可信硬件模块的云终端网络接入系统技术方案

本发明专利技术公开了一种基于高速可信硬件模块的云终端网络接入系统，其中，包括：云终端以及服务器；云终端包括高速可信硬件模块、操作系统以及远程桌面连接模块；该高速可信硬件模块用于对该操作系统核心文件以及对远程桌面连接模块的完整性进行度量；该高速可信硬件模块存储有云终端的身份信息；该服务器能够对使用云终端的用户身份进行认证，如果认证通过，则继续对该高速可信硬件模块中的云终端的身份进行认证，如果认证通过，该服务器能对云终端的平台完整性状态进行度量，如果度量结果满足网络接入的安全策略，则允许云终端接入网络。

【技术实现步骤摘要】
基于高速可信硬件模块的云终端网络接入系统
本专利技术涉及一种基于高速可信硬件模块的云终端网络接入
，特别是基于高速可信硬件模块的云终端网络接入系统。
技术介绍
云终端已经广泛应用于各类公有云、私有云、虚拟数据中心，接入的云终端是否安全将直接影响着整个云环境。通过利用可信网络接入的思想，实施严格的高安全云终端网络接入，来保证接入公有云、私有云、虚拟数据中心的云终端安全可信，同时采用高速可信硬件模块来降低额外安全损耗，实现对远程接入云终端的强认证并确保经由网络传输数据的保密性、完整性和可用性。云终端模式的广泛应用已经成为终端应用的新潮流，即终端只作为与用户交互而存在，自身基本不承担任何运算处理任务，而几乎全部的计算、存储和统一管理的任务都通过桌面虚拟化的方式转移到虚拟服务端进行完成。与传统终端相比，云终端具有更好的扩展性、安全隔离性、移动性及可配置性。用户只要通过使用云终端就可以享受到强大云提供的各种服务。在云终端的使用模式中，位于公有云、私有云、虚拟数据中心的虚拟桌面服务器使用虚拟化技术可同时为数百个乃至数千个虚拟桌面客户端提供服务。在如此高密度的应用中，如何确保双方身份安全、平台安全、通信安全等就成为了主要的安全问题，同时还要考虑降低额外安全损耗等因素。也就是说，广泛部署的云终端是否安全可信、云终端与服务器之间的通信是否安全可信，将直接约束和影响整个公有云、私有云、虚拟数据中心的安全等级。
技术实现思路
本专利技术一种基于高速可信硬件模块的云终端网络接入系统，用以解决上述现有技术的问题。本专利技术一种基于高速可信硬件模块的云终端网络接入系统，其中，包括：云终端以及服务器；云终端包括高速可信硬件模块、操作系统以及远程桌面连接模块；该高速可信硬件模块用于对该操作系统核心文件以及对远程桌面连接模块的完整性进行度量；该高速可信硬件模块存储有云终端的身份信息；该服务器能够对使用云终端的用户身份进行认证，如果认证通过，则继续对该高速可信硬件模块中的云终端的身份进行认证，如果认证通过，该服务器能对云终端的平台完整性状态进行度量，如果度量结果满足网络接入的安全策略，则允许云终端接入网络。根据本专利技术的基于高速可信硬件模块的云终端网络接入系统的一实施例，其中，如果度量结果不满足网络接入的安全策略，则将该云终端连接到指定的隔离区域，对该云终端进行安全性修补和升级。根据本专利技术的基于高速可信硬件模块的云终端网络接入系统的一实施例，其中，服务器在云终端度量结果满足网络接入的安全策略后，该云终端还通过远程桌面连接模块，建立与服务器的虚拟机的远程桌面连接，能够将服务器中虚拟机的桌面图像信息通过传送到云终端。根据本专利技术的基于高速可信硬件模块的云终端网络接入系统的一实施例，其中，该服务器还包括第二高速可信硬件模块，用于进行服务器上运行的服务器虚拟化加固系统、虚拟机中运行的应用系统提供高速的数据加解密、数据签名/验证、散列值计算以及随机数生成。综上，本专利技术基于高速可信硬件模块的云终端网络接入系统，能够基于高速可信硬件模块中存有的平台信息和用户身份信息，采用平台可信网络接入技术实现瘦客户端的安全接入，确保只有符合安全策略的云终端才能够接入公有云、私有云、虚拟数据中心，同时在发现云终端状态出现安全异常后，能够及时断开远程桌面连接。附图说明图1所示为本专利技术基于高速可信硬件模块的云终端网络接入系统模块图。具体实施方式为使本专利技术的目的、内容、和优点更加清楚，下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述。图1所示为本专利技术基于高速可信硬件模块的云终端网络接入系统模块图，如图1所示，云终端1与服务器6通信。云终端1包括：高速可信硬件模块2、操作系统3以及远程桌面连接模块4。服务器6包括：高速可信硬件模块7、虚拟机监视器8、虚拟机a-虚拟机n、操作系统10以及虚拟机监视器8。参考图1，服务器6位于公有云、私有云、虚拟数据中心，安装有虚拟机监控器8，可以同时运行多个安全隔离的虚拟机a-n。虚拟机运行操作系统及各类应用软件，云终端1通过远程桌面连接模块4能够接收虚拟机a-n实时桌面图像信息远程推送。通过在云终端1嵌入高速可信硬件模块2，采用完整性度量、可信网络接入控制、信任链传递等可信计算框架下的方法实现云终端1的安全可信接入，显著降低公有云、私有云、虚拟数据中心被恶意攻击的概率。其中，云终端1高速可信硬件模块可以采用外接或内置(USB或PCIE)方式。参考图1，简述本专利技术的基于高速可信硬件模块的云终端网络接入系统的具体工作过程，服务器6通过安装虚拟机监视器8运行多个相互隔离的虚拟机a-虚拟机n，以云终端1访问虚拟机a为例，在设计的基于高速可信硬件模块2的云终端1网络接入模式下，云终端1加电运行，首先基于高速可信硬件模块2对操作系统3核心文件的完整性进行度量，度量(通过哈希算法)通过后方允许云终端1加载操作系统；接着对远程桌面连接模块4(用于获取服务器对应虚拟机的桌面图像信息5)的完整性进行度量，度量通过后方允许加载运行。在云终端1在接入公有云、私有云、虚拟数据中心的服务器6时，服务器6对使用云终端1的用户身份进行认证；如果认证通过，对高速可信硬件模块2中的云终端1的身份进行认证；如果认证通过，对高速可信硬件模块2中云终端1的平台完整性状态进行度量，如果度量结果满足网络接入的安全策略，则允许云终端1接入网络，否则将云终端1连接到指定的隔离区域，对其进行安全性修补和升级。在全部认证通过后，通过远程桌面连接模块4，建立与云端服务器6中虚拟机a的远程桌面连接，能够将服务器6中虚拟机a的桌面图像信息通过网络远程传送到云终端1。服务器6接收云终端1的的数据输入并处理，再将桌面图像信息5显示帧推送到云终端1的显示输出设备上。云终端1自身不承担任何运算处理任务，全部的计算、存储和统一管理的任务都通过虚拟化的方式转移到服务器6中的虚拟机a来完成。基于云终端1通过与云端服务器6中的虚拟机a建立远程桌面连接，能够运行操作系统，更能够实现较高安全等级的安全保护。参考图1，对于另一实施例，可以在服务器6中接入高速可信硬件模块7，为云服务器6上运行的服务器6虚拟化加固系统、虚拟机中运行的应用系统提供高速的数据加解密、数据签名/验证、散列值计算以及随机数生成等功能。本专利技术基于高速可信硬件模块的云终端网络接入系统，能够基于高速可信硬件模块中存有的平台信息和用户身份信息，采用平台可信网络接入技术实现瘦客户端的安全接入，确保只有符合安全策略的云终端才能够接入公有云、私有云、虚拟数据中心，同时在发现云终端状态出现安全异常后，能够及时断开远程桌面连接。以上所述仅是本专利技术的优选实施方式，应当指出，对于本
的普通技术人员来说，在不脱离本专利技术技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本专利技术的保护范围。本文档来自技高网...

【技术保护点】
一种基于高速可信硬件模块的云终端网络接入系统，其特征在于，包括：云终端以及服务器；云终端包括高速可信硬件模块、操作系统以及远程桌面连接模块；该高速可信硬件模块用于对该操作系统核心文件以及对远程桌面连接模块的完整性进行度量；该高速可信硬件模块存储有云终端的身份信息；该服务器能够对使用云终端的用户身份进行认证，如果认证通过，则继续对该高速可信硬件模块中的云终端的身份进行认证，如果认证通过，该服务器能对云终端的平台完整性状态进行度量，如果度量结果满足网络接入的安全策略，则允许云终端接入网络。

【技术特征摘要】
1.一种基于高速可信硬件模块的云终端网络接入系统，其特征在于，包括：云终端以及服务器；云终端包括高速可信硬件模块、操作系统以及远程桌面连接模块；该高速可信硬件模块用于对该操作系统核心文件以及对远程桌面连接模块的完整性进行度量；该高速可信硬件模块存储有云终端的身份信息；该服务器能够对使用云终端的用户身份进行认证，如果认证通过，则继续对该高速可信硬件模块中的云终端的身份进行认证，如果认证通过，该服务器能对云终端的平台完整性状态进行度量，如果度量结果满足网络接入的安全策略，则允许云终端接入网络。2.如权利要求1的基于高速可信硬件模块的云终端网络接入系统，其特征在于，如果度量...

【专利技术属性】
技术研发人员：曾颖明，王斌，曾淑娟，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京,11