桌面云服务器与终端安全通信方法技术

本发明专利技术提供一种桌面云服务器与终端安全通信方法，通过将终端可选择地配置为普通模式或保密模式，以使终端既保留常规的信息处理能力，还具有能够随时访问自己私有虚拟桌面的功能，以满足用户多样化的办公需求；尤其是终端内部置放有安全芯片，在保密模式下能够实现终端向服务器传输的操作指令，和/或服务器向终端反馈的应用图像被由量子随机数形成的会话密钥加密，由于量子随机数具有真随机特性，被加密的通信数据难以被破解，因此，本发明专利技术的桌面云服务器与终端的通信方法具备绝对安全的特性。特性。特性。

【技术实现步骤摘要】
桌面云服务器与终端安全通信方法


[0001]本专利技术涉及桌面云
，尤其涉及一种桌面云服务器与终端安全通信方法。

技术介绍

[0002]桌面云以其数据不落地，为用户提供可移动办公的特点成为替代传统电脑的一种新办公模式，在该模式中，用户资料均存储在服务器，现有技术中服务器仅验证用户的登录密码以向其开放相关虚拟桌面资源，在验证通过后服务器与终端数据传输中未对数据进行保密处理，因此，传输数据的安全性极低，容易被黑客窃取；且现有技术中对文件的保密方式是通过在终端安装加密软件实现，该种方式使得终端上所有文件均实现加密，对于用户来说，复杂了不涉密文件的编辑和传输，换句话说，现有技术的终端包括不加密的普通操作系统和全加密的保密操作系统，未公开能够在两者之间切换的既满足保密办公需求又满足自由编辑外发文件的普通需求实现方式；同时现有技术中一终端加密的文件未解密之前，只要其他终端也安装授权的加密软件，或知晓该加密文件的打开密码，则加密文件可以在其他终端正常打开，暂未出现加密的文件未解密之前仅限于某一特定终端打开的方式，无法满足用户对所持终端享有专有权的需求。

技术实现思路

[0003]为了克服现有技术中的缺点和不足，本专利技术的第一方面提供一种桌面云服务器与终端安全通信方法，所述终端内置预充注量子密钥的安全芯片，所述服务器存储有虚拟桌面池，所述服务器可通信地连接一加密机；所述安全通信方法包括：S101：所述终端接受用户选择配置为普通模式或保密模式；S102：在保密模式下，所述终端向所述服务器发起认证请求被通过后，所述服务器开放与所述终端认证信息匹配的所述虚拟桌面池资源，并将虚拟桌面图像映射在所述终端；S103：所述终端采集所述用户在所述虚拟桌面输入的操作指令，经会话密钥key
‑
A加密后传输给所述服务器；S104：所述加密机向密管平台申请会话密钥key
‑
a对所述操作指令实施解密后发送给所述服务器，所述服务器参照所述操作指令执行相应动作；其中，所述会话密钥key
‑
A和所述会话密钥key
‑
a由量子随机数形成。
[0004]进一步的，所述安全通信方法还包括：S105：所述服务器执行相应动作的同时生成运行图像，所述运行图像由所述会话密钥key
‑
a加密后传输给所述终端，所述终端利用所述会话密钥key
‑
A解密，并显示在所述终端的界面。
[0005]进一步的，步骤S102具体包括：所述终端入网与所述服务器建立应用会话，生成第一会话ID；利用所述量子密钥形成的保护密钥加密所述第一会话ID，并将所述安全芯片的身份编码和所述第一会话ID密文发送给密管平台，以获取所述会话密钥key
‑
A；所述用户在所述终端输入认证信息，利用所述会话密钥key
‑
A加密后传输给所述服务器；所述服务器将所述认证信息密文和所述第一会话ID发送给所述加密机，所述加密机将所述第一会话ID发送
给所述密管平台，所述密管平台生成与所述会话密钥key
‑
A相同或相关联的会话密钥key
‑
a；利用所述会话密钥key
‑
a解密所述认证信息并发送给所述服务器的鉴权单元，以确认所述终端的访问权限。
[0006]进一步的，获取所述会话密钥key
‑
A具体包括：将生成所述保护密钥的密钥参数和所述身份编码写入所述第一会话ID的数据头，所述安全芯片依照所述密钥参数生成所述保护密钥，利用所述保护密钥加密所述第一会话ID的数据部分，将所述第一会话ID数据包发送给所述密管平台；所述密管平台依照所述身份编码定位到自身存储的所述量子密钥，依照所述密钥参数生成所述保护密钥发送给所述加密机，所述加密机利用所述保护密钥对所述第一会话ID的数据部分实施解密之后，将所述第一会话ID发送给所述密管平台，所述密管平台生成所述会话密钥key
‑
A发送给终端，并登记所述第一会话ID和所述会话密钥key
‑
A的对应关系。
[0007]进一步的，将所述会话密钥key
‑
A发送给终端之前，利用所述保护密钥加密所述会话密钥key
‑
A。
[0008]进一步的，所述终端认证通过之后，所述鉴权单元向所述终端颁发临时身份令牌，并利用所述会话密钥key
‑
a加密所述临时身份令牌发送给所述终端；所述终端利用所述会话密钥key
‑
A解密，后续在所述应用会话断开之前，所述终端向所述服务器的访问均携带所述临时身份令牌。
[0009]进一步的，步骤S102实施之前，由系统管理员配置与所述认证信息匹配的所述虚拟桌面，并生成与所述认证信息唯一关联的云ID，所述终端认证通过之后，仅对匹配的所述虚拟桌面享有访问权限。
[0010]进一步的，在保密模式下，所述虚拟桌面的文件外发时，由所述服务器的防护模块对外发行为进行拦截，核验所述终端输入的所述认证信息。
[0011]进一步的，所述服务器还连接有适于为其提供算力支持的量子计算机，所述量子计算机与所述服务器基于TCP协议通讯。
[0012]进一步的，当与所述终端认证信息匹配的所述虚拟桌面资源位于第一服务器，所述终端与第二服务器组网连接时，所述安全通信方法还包括：S106：所述第二服务器与所述第一服务器建立应用会话，生成第三会话ID；S107：与所述第二服务器通信连接的第二加密机携带所述第三会话ID和与所述认证信息关联的云ID向第二密管平台申请会话密钥key
‑
C，利用所述会话密钥key
‑
C加密所述第二服务器向所述第一服务器发起的访问请求，并发送给所述第一服务器；S108：所述第一服务器验证所述云ID通过之后，基于所述第三会话ID向第一密管平台申请会话密钥key
‑
c对所述访问请求实施解密，并调取与所述云ID匹配的所述虚拟桌面；S109：利用所述会话密钥key
‑
c加密所述虚拟桌面的图像传输给所述第二服务器，所述第二服务器利用所述会话密钥key
‑
C解密后传输给所述终端；其中，所述第一密管平台包括QKD1，所述第二密管平台包括QKD2，所述会话密钥key
‑
C由所述QKD1设备生成，所述会话密钥key
‑
c由所述QKD2设备生成。
[0013]进一步的，在步骤106实施之前，所述安全通信方法还包括：所述终端与所述第二服务器建立应用会话，生成第二会话ID；利用所述量子密钥形成的保护密钥加密所述第二会话ID，并将所述安全芯片的身份编码和所述第二会话ID密文发送给所述第二密管平台，以获得会话密钥key
‑
B；所述用户在所述终端输入认证信息，利用所述会话密钥key
‑
B加密
后传输给所述第二服务器；所述第二加密机携带所述第二会话ID向所述第二密管平台申请会话密钥ke本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种桌面云服务器与终端安全通信方法，其特征在于，所述终端内置预充注量子密钥的安全芯片，所述服务器存储有虚拟桌面池，所述服务器可通信地连接一加密机；所述安全通信方法包括：S101：所述终端接受用户选择配置为普通模式或保密模式；S102：在保密模式下，所述终端向所述服务器发起认证请求被通过后，所述服务器开放与所述终端认证信息匹配的所述虚拟桌面池资源，并将虚拟桌面图像映射在所述终端；S103：所述终端采集所述用户在所述虚拟桌面输入的操作指令，经会话密钥key
‑
A加密后传输给所述服务器；S104：所述加密机向密管平台申请会话密钥key
‑
a对所述操作指令实施解密后发送给所述服务器，所述服务器参照所述操作指令执行相应动作；其中，所述会话密钥key
‑
A和所述会话密钥key
‑
a由量子随机数形成。2.根据权利要求1所述的安全通信方法，其特征在于，所述安全通信方法还包括：S105：所述服务器执行相应动作的同时生成运行图像，所述运行图像由所述会话密钥key
‑
a加密后传输给所述终端，所述终端利用所述会话密钥key
‑
A解密，并显示在所述终端的界面。3.根据权利要求2所述的安全通信方法，其特征在于，步骤S102具体包括：所述终端入网与所述服务器建立应用会话，生成第一会话ID；利用所述量子密钥形成的保护密钥加密所述第一会话ID，并将所述安全芯片的身份编码和所述第一会话ID密文发送给所述密管平台，以获取所述会话密钥key
‑
A；所述用户在所述终端输入认证信息，利用所述会话密钥key
‑
A加密后传输给所述服务器；所述服务器将所述认证信息密文和所述第一会话ID发送给所述加密机，所述加密机携带所述第一会话ID向所述密管平台申请会话密钥key
‑
a；利用所述会话密钥key
‑
a解密所述认证信息并发送给所述服务器的鉴权单元，以确认所述终端的访问权限。4.根据权利要求3所述的安全通信方法，其特征在于，获取所述会话密钥key
‑
A具体包括：将生成所述保护密钥的密钥参数和所述身份编码写入所述第一会话ID的数据头，所述安全芯片依照所述密钥参数生成所述保护密钥，利用所述保护密钥加密所述第一会话ID的数据部分，将所述第一会话ID数据包发送给所述密管平台；所述密管平台依照所述身份编码定位到自身存储的所述量子密钥，依照所述密钥参数生成所述保护密钥发送给所述加密机，所述加密机利用所述保护密钥对所述第一会话ID的数据部分实施解密之后，将所述第一会话ID数据包发送给所述密管平台，所述密管平台生成所述会话密钥key
‑
A发送给终端，并登记所述第一会话ID和所述会话密钥key
‑
A的对应关系。5.根据权利要求4所述的安全通信方法，其特征在于，将所述会话密钥key
‑
A发送给终端之前，利用所述保护密钥加密所述会话密钥key
‑
A。6.根据权利要求3所述的安全通信方法，其特征在于，所述终端认证通过之后，所述鉴权单元向所述终端颁发临时身份令牌，并利用所述会话密钥key
‑
a加密所述临时身份令牌
发送给所述终端；所述终端利用所述会话密钥key
‑
A解密，后续在所述应用会话断开之前，所述终端向所述服务器的访问均携带所述临时身份令牌。7.根据权利要求3所述的安全通信方法，其特征在于，步骤S102实施之前，由系统管理员配置与所述认证信息匹配的所述虚拟桌面，并生成与所述认证信息唯一关联的云ID，所述终端认证通过之后，仅对匹配的所述虚拟桌面享有访问权限。8.根据权利要求1所述的安全通信方法，其特征在于，在保密模式下，所述虚拟桌面的文件外发时，由所述服务器的防护模块对外发行为进行拦截，核验所述终端输入的所述认证信息。9.根据权利要求1至8任一项所述的安全通信方法，其特征在于，所述服务器还连接有适于为其提供算力支持的量子计算机，所述量子计算机与所述服务器基于TCP协议通讯。10.根据权利要求2至8任一项所述的安全通信方法，其特征在于，当与所述终端认证信息匹配的所述虚拟桌面资源位于第一服务器，所述终端与第二服务器组网连接时，所述安全通信方法还包括：S106：所述第二服务器与所述第一服务器建立应用会话，生...

【专利技术属性】
技术研发人员：范犇，田阳柱，徐红星，
申请(专利权)人：长江量子武汉科技有限公司，
类型：发明
国别省市：