專利名稱:基于智能卡的云桌面認證方法
技術領域:
本發(fā)明涉及國際專利分類H04L數(shù)字信息的傳輸或;G06F電數(shù)字數(shù)據(jù)處理技術領域,尤其是基于智能卡的云桌面認證方法�。
背景技術:
公知技術中,云桌面已有廣泛應用����,云桌面就是通過云計算軟件來實現(xiàn)桌面的統(tǒng)一����,資源的共享,讓客戶端脫離主機�����,用顯示器和云計算設備就能實現(xiàn)登錄��,辦公��,這樣可以大大減少管理和維護費用����。云桌面基于分布式云計算存儲技術,集成互聯(lián)網(wǎng)精華應用��,依托高度加密算法�,為互聯(lián)網(wǎng)各個層次用戶提供簡便、豐富�����、安全和細致的人性化服務。除此而外��,云桌面可提供互聯(lián)網(wǎng)用戶的基于瀏覽器的上網(wǎng)桌面系統(tǒng)����,能夠最大程度的方便用戶個性化上網(wǎng),提供各項常用功能的管理��,諸如微博消息樹提醒�、郵箱新郵件提醒、各類網(wǎng)站的導航等����;提供個性化定制功能,用戶可以按分類自由管理使用常用常去的網(wǎng)站���,定制網(wǎng)站的圖標�,個性化桌面的風格等�����;擴展各種上網(wǎng)的入口功能,如搜索引擎集成功能���,網(wǎng)絡收藏夾等�。目前常用的云桌面登錄方式采用戶口令方式����,因而存在較多的安全隱患�����。就現(xiàn)有技術而言�,云桌面的應用在具備十分強大的優(yōu)勢的同時,其系統(tǒng)的安全性也行應引起特別關注�����。已公開的專利申請中也未找到相關改進技術�,如,申請?zhí)?01010238063 —種智能卡外部認證方法�����,它包括如下步驟(1)由C A產(chǎn)生的生產(chǎn)公私鑰對P K O / SK0�,并將生產(chǎn)公鑰P K O在出廠時寫入智能卡中;(2 )通過生產(chǎn)私鑰S K O對加解密公私鑰對P K 1 / S K 1加密寫入智能卡中;(3 )通過加解密私鑰S K 1對簽名公私鑰對P K 2 / S K 2加密寫入智能卡��;(4 )生產(chǎn)私鑰S K O由C A管理�����,對智能卡私鑰的操作都要由C A使用生產(chǎn)私鑰S K O簽名��。專利申請?zhí)?01120010198涉及云計算技術領域�,特指一種基于云計算服務的桌面終端。包括中央處理器���、內(nèi)存�、存儲器���、音頻模塊�、U S B模塊�、網(wǎng)絡模塊、A V模塊��、V G A模塊和電源模塊���,所述的內(nèi)存��、存儲器���、音頻模塊�、USB模塊�、網(wǎng)絡模塊、A V模塊�、V G A模塊與中央處理器相連,電源模塊對各需電部分供電���。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于智能卡的云桌面認證方法。本發(fā)明的發(fā)明目的是通過如下技術措施實現(xiàn)的認證過程包括CSP為用戶定制智能卡SD-KEY�,用戶以該智能卡SD-KEY插入其移動終端,插入SD-KEY移動終端與電腦通訊建立綁定��,由電腦通過互聯(lián)網(wǎng)訪問云認證中心����,云認證中心與移動終端建立交互通訊進行雙向認證,電腦取得認證后訪問云桌面中心�。本發(fā)明的有益效果是有機整合智能卡、移動終端和遠程云認證的便捷的優(yōu)點�����,并兼顧互聯(lián)網(wǎng)以及移動終端廣泛存在的現(xiàn)實條件,通過對私鑰相關操作內(nèi)容進行簽名驗證��, 有效地彌補智能卡中私鑰文件所存在的缺陷���,由CSP實現(xiàn)對私鑰操作內(nèi)容完整性的保護����,能夠在不安全的終端和信道環(huán)境下避免私鑰文件被截取�、覆蓋和替換的風險,實現(xiàn)云桌面有效安全認證��,對于利用云計算系統(tǒng)提供可靠登陸和訪問基本技術�,具有作為云桌面安全認證推廣和運行標準的前景。
圖1是本發(fā)明中的認證方法涉及設備連接關系示意2是本發(fā)明認證方法工作功能示意圖
具體實施例方式下面結合具體實施方式
����,進一步闡述本發(fā)明。本發(fā)明中�����,參與云桌面認證工作系統(tǒng)由SD-KEY�、移動終端、電腦��、互聯(lián)網(wǎng)、云桌面中心和云認證中心構成��。認證過程包括CSP為用戶定制智能卡SD-KEY�����,用戶以該智能卡SD-KEY插入其移動終端���,插入SD-KEY移動終端與電腦通訊建立綁定����,由電腦通過互聯(lián)網(wǎng)訪問云認證中心�����,云認證中心與移動終端建立交互通訊進行雙向認證��,電腦取得認證后訪問云桌面中心����。本發(fā)明中���,移動終端作為SD-KEY的讀卡器�����,SD-KEY中寫入用戶身份信息�����,該 SD-KEY由商業(yè)服務提供商CSP提供��,同時��,云桌面中心和云認證中心與商業(yè)服務提供商CSP 關聯(lián)���,信息資源身份認證權限由商業(yè)服務提供商CSP授權��。本發(fā)明中的云桌面主是要基于云計算平臺而開發(fā)�,通過該云端服務���,用戶可通過常規(guī)的客戶端來訪問跨平臺的應用程序���,以及整個客戶桌面。用戶只需要在一個簡單的客戶端上����,通過專用程序或瀏覽器��,就可訪問駐留在服務器端的個人桌面及各種應用��。本發(fā)明利用SD-KEY技術較好的解決了安全登陸云桌面和進行認證這個問題����。鑒于用戶攜帶手機作為移動終端的概率遠遠高于電腦�����,因此如何利用移動終端結合SD-KEY 的技術來實現(xiàn)云桌面的驗證���,將會是云桌面得到大量推廣的關鍵����。在本發(fā)明中����,用戶將帶有SD-KEY技術的智能安全卡插入隨身攜帶的移動終端上�, 當用戶需要訪問遠程桌面的時候,只需要將該移動終端接入用戶所使用的電腦��,然后向云認證鑒權中心發(fā)起身份認證���,認證鑒權將從插在移動終端上的SD-KEY中獲得�����,并且可以配合用戶口令或其他的生物識別技術進行策略認證�。在相關的身份鑒權通過云認證中心的認證后,用戶方可訪問遠程云桌面系統(tǒng)��,并進行正常的文檔操作����。所述SD-KEY是一種多功能SD卡,同時具備KEY��、數(shù)據(jù)存儲和數(shù)據(jù)加解密三大功能��, 卡內(nèi)置的安全模塊通過SD接口提供各種安全應用�����,包括身份認證���、數(shù)字簽名���、訪問權限控制和數(shù)據(jù)加解密等���;SD-KEY采用Mandard SD、Mini SD�����、Micro SD等多種封裝形式��,和普通 SD卡一樣具備超強的設備接入能力����,能廣泛應用于PDA、手機����、筆記本、PC等各類終端���。用戶在使用過程中����,不可以隨意脫離移動終端同用戶正在使用的電腦連接��,否則云桌面系統(tǒng)將會在檢測異常后自行鎖定�����,并關閉遠程連接通道�����,以確保用戶數(shù)據(jù)安全����。本發(fā)明中云桌面的用戶可任意管理使用自定義桌面;用戶通過任意選擇模板�,定制用戶喜歡的桌面風格;展開消息樹功能�,針對新浪微博、騰訊微博��、人人網(wǎng)等進行同步獲取消息提醒���;用戶可以對常用的郵箱進行郵件提醒����;綜合分類網(wǎng)址導航網(wǎng)站庫功能���。本發(fā)明中云桌面對于未登錄用戶����,也給與一定的訪問功能,比如使用時����,默認未登錄用戶也可以使用云桌面功能,任何上網(wǎng)用戶可直接輸入網(wǎng)址進行訪問����;頂部左側(cè)為云桌面Logo,頂部右側(cè)分別為4個公共功能設為首頁�����、下載云桌面����、導入收藏夾和個性定義桌面風格;點擊設為首頁�����,如果是普通瀏覽器將直接進入設定首頁提示����,非普通瀏覽器將出現(xiàn)用戶協(xié)助設置�;點擊下載云桌面�����,將彈出對話框�,可以將云桌面快捷下載保存到用戶的本地電腦����;桌面中間左側(cè)是各類功能的導航菜單,主要包括消息樹��、郵箱管理���、搜索引擎集成入口��、網(wǎng)站庫���、收藏夾、回收站等功能�����。默認中間主內(nèi)容區(qū)為初始化常用網(wǎng)站的相關數(shù)據(jù)以及分類,用戶注冊并登錄后可以進行各個管理功能的使用���。在最右側(cè)有兩個迷你按鈕意見反饋與新手教程����,提供用戶問題互動與幫助功能��;導入收藏夾和個性化桌面風格定義�����。本發(fā)明中云桌面對于用戶登錄使用時����,點擊右側(cè)導航菜單的“未登錄”,將彈出用戶登錄對話框�,點擊“登錄”按鈕下部的郵箱注冊或者手機注冊,將跳轉(zhuǎn)到用戶注冊頁面�����, 用戶注冊完成后將直接進行云桌面首頁�����,已經(jīng)存在的用戶,直接輸入用戶名密碼登錄即可進入登錄后的云桌面進行使用與管理���;登錄后可以看到用戶的頭像以及名稱�����,同時會加載用戶自定義的各種風格與數(shù)據(jù),在設置了消息配置的左側(cè)消息樹會自動顯示消息數(shù)量提示 fn息ο作為本發(fā)明的一個實施例����,本發(fā)明中,智能卡SD-KEY中一般帶有兩對公私鑰��,一對是用來對信息進行加解密的�����,一般稱為加密公私鑰對�����,由第三方CSP簽發(fā)并托管(以下稱其私鑰為SK1,公鑰為Hg ��;另一對是用來對數(shù)據(jù)進行簽名的�,一般稱為簽名公私鑰對���,由智能卡本身產(chǎn)生(以下稱其私鑰為SK2,公鑰為PK2)。所述SK1是由CSP產(chǎn)生的�,并由CSP或其它可信管理機構負責寫入,然后將對應公鑰PK1證書發(fā)布出來�,寫入的私鑰SK1對外界也是不可讀的。在所述智能卡SD-KEY中�,簽名公私鑰對都是由智能卡SD-KEY本身產(chǎn)生的;當用戶向CSP申請注冊并得到CSP的認可后�,CSP就會要求智能卡產(chǎn)生簽名公私鑰對,然后私鑰 SK2留在智能卡內(nèi)���,并且對外界不可讀���;而公鑰PK2則導出,由CSP對其簽名生成證書�。本發(fā)明中,由于簽名私鑰SK2是由智能卡SD-KEY自身產(chǎn)生并且外界無法讀取���,所以不存在被截取的風險�。其中�����,由CSP產(chǎn)生的生產(chǎn)公私鑰對PKcZSKtl,并將生產(chǎn)公鑰PKtl在出廠時寫入智能卡 SD-KEY中,這個過程具體換包括CSP通過生產(chǎn)私鑰SKtl對加解密公私鑰對Hi1ZSK1加密寫入智能卡SD-KEY中����;通過加解密私鑰SKjf簽名公私鑰對PK2/SK2W密寫入智能卡;生產(chǎn)私鑰SKtl由CSP管理����,對智能卡私鑰的操作都要由CSP使用生產(chǎn)私鑰SKtl簽名。在本發(fā)明的一個實施例中�,當CSP初始化智能卡SD-KEY時,其寫入的加解密公私鑰對I3KysK1的步驟如下
①由CSP產(chǎn)生加解密公私鑰對!^/SK1��;
②由CSP用生產(chǎn)私鑰SKtl對加解密私鑰SK1進行加密���,得到&= E(SK1)sko ;
③由智能卡用生產(chǎn)公鑰PKtl解密接收到的�����,得到SK1= D(S0^)pkqjSK1就是所要寫入的加解密私鑰���。在本發(fā)明的一個實施例��,當智能卡SD-KEY需要產(chǎn)生簽名公私鑰對PK2/SK2時�����,其步驟如下
①由CSP發(fā)出產(chǎn)生簽名公私鑰對的指令Csig��;
②由CSP用生產(chǎn)私鑰SKtl對指令進行簽名����,得到簽名S1= Sig(Csig)sro ;③由CSP用托管的加解密公鑰PK1對S1進行加密�����,得到=E(S1)pki �;
④由智能卡SD-KEY用加解密私鑰SK1對接收到的E0,進行解密�,得到S/= D (E0')
SKl ‘
⑤由智能卡SD-KEY用生產(chǎn)公鑰PKtl對S/進行驗證,得到Csig’= Veri (Si’ )PK0 ���;
⑥智能卡SD-KEY中����,如果Csig= Csig’�,則產(chǎn)生簽名公私鑰對H(2/SK2 ;否則,拒絕��。在本發(fā)明的一個實施例中�����,當智能卡SD-KEY在進行加解密公私鑰對更新時�����,數(shù)據(jù)傳輸過程可能處于遠程環(huán)境下���,其步驟如下
①由CSP產(chǎn)生加解密公私鑰對HV/SK1'�����;
②由CSP用生產(chǎn)私鑰SK0對SV進行加密����,得到So����,=E (SK/ )SK0 �;
③由CSP用已注冊的簽名公鑰PK2對S0'進行加密,得到E1= E(S0' )PK2 ;
④由智能卡用簽名私鑰SK2對接收到的E/進行解密����,得到=D(E/ )SK2 ;
⑤由智能卡用生產(chǎn)公鑰PK�����。解密接收到的�����,得到SK/�����,=D (&”)■���。通過對私鑰相關操作內(nèi)容進行簽名驗證�����,有效地彌補智能卡SD-KEY中私鑰文件所存在的缺陷����,由CSP實現(xiàn)對私鑰操作內(nèi)容完整性的保護,能夠在不安全的終端和信道環(huán)境下避免私鑰文件被截取�、覆蓋和替換的風險。在整個智能卡SD-KEY的生命周期中�,如果某一公私鑰對發(fā)生損壞的情況,那么智能卡SD-KEY的生命周期將終止����。根據(jù)上面的分析和描述,我們看到���,由于對私鑰的操作都與CSP有關�����,所以可以通過引入PKQ/SKQ的方法���,由CSP實現(xiàn)對私鑰操作內(nèi)容完整性的保護。 雖然增加了 CSP的管理負擔���,但能夠在不安全的終端和信道環(huán)境下避免私鑰文件被截取��、 覆蓋和替換的風險。在本發(fā)明中智能卡SD-KEY可以采用文中描述的內(nèi)部認證機制�����,以提高智能卡交互的安全性,本發(fā)明的智能卡外部認證方法可以具體應用有如下幾種網(wǎng)上銀行使用的 U盾����、市民卡、手機SIM卡和社?�?ǖ?��。這些實施案例僅用于說明本發(fā)明�,而不用于限制本發(fā)明的范圍��。此外���,本領域技術人員在閱讀了本發(fā)明的內(nèi)容之后���,以等同替代或變劣進行對本發(fā)明作各種改動或修改,同樣落于本申請所附權利要求書所限定的范圍����。
權利要求
1.基于智能卡的云桌面認證方法,其特征是認證過程包括CSP為用戶定制智能卡SD-KEY����,用戶以該智能卡SD-KEY插入其移動終端��,插入SD-KEY移動終端與電腦通訊建立綁定�,由電腦通過互聯(lián)網(wǎng)訪問云認證中心�,云認證中心與移動終端建立交互通訊進行雙向認證,電腦取得認證后訪問云桌面中心���。
2.如權利要求1所述的基于智能卡的云桌面認證方法�,其特征在于����,參與云桌面認證工作系統(tǒng)由SD-KEY、移動終端�����、電腦���、互聯(lián)網(wǎng)��、云桌面中心和云認證中心構成���。
3.如權利要求1所述的基于智能卡的云桌面認證方法,其特征在于��,移動終端作為SD-KEY的讀卡器���,SD-KEY中寫入用戶身份信息��,該SD-KEY由商業(yè)服務提供商CSP提供��,同時���,云桌面中心和云認證中心與商業(yè)服務提供商CSP關聯(lián),信息資源身份認證權限由商業(yè)服務提供商CSP授權�。
4.如權利要求1所述的基于智能卡的云桌面認證方法,其特征在于���,SD-KEY是一種智能多功能SD卡���,同時具備KEY、數(shù)據(jù)存儲和數(shù)據(jù)加解密三大功能����,卡內(nèi)置的安全模塊通過SD接口提供各種安全應用,包括身份認證���、數(shù)字簽名��、訪問權限控制和數(shù)據(jù)加解密�����;SD-KEY采用Mandard SD, Mini SD, Micro SD等多種封裝形式����,和普通SD卡一樣具備超強的設備接入能力,能廣泛應用于PDA���、手機����、筆記本��、PC各類終端�����。
5.如權利要求1所述的基于智能卡的云桌面認證方法���,其特征在于����,智能卡SD-KEY中一般帶有兩對公私鑰,一對是用來對信息進行加解密的�,一般稱為加密公私鑰對�����,由第三方CSP簽發(fā)并托管(以下稱其私鑰為SK1,公鑰為Hg �����;另一對是用來對數(shù)據(jù)進行簽名的�,一般稱為簽名公私鑰對,由智能卡本身產(chǎn)生(以下稱其私鑰為SK2,公鑰為PK2)��。
6.如權利要求5所述的基于智能卡的云桌面認證方法����,其特征在于,所述SK1是由CSP產(chǎn)生的����,并由CSP或其它可信管理機構負責寫入,然后將對應公鑰PK1證書發(fā)布出來��,寫入的私鑰SK1對外界也是不可讀的。
7.如權利要求1所述的基于智能卡的云桌面認證方法�����,其特征在于����,在所述智能卡SD-KEY中,簽名公私鑰對都是由智能卡SD-KEY本身產(chǎn)生的����;當用戶向CSP申請注冊并得到CSP的認可后,CSP就會要求智能卡產(chǎn)生簽名公私鑰對��,然后私鑰SK2留在智能卡內(nèi)�����,并且對外界不可讀�;而公鑰PK2則導出,由CSP對其簽名生成證書��。
全文摘要
基于智能卡的云桌面認證方法��,認證過程包括CSP為用戶定制智能卡SD-KEY,用戶以該智能卡SD-KEY插入其移動終端���,插入SD-KEY的移動終端與電腦通訊建立綁定���,由電腦通過互聯(lián)網(wǎng)訪問云認證中心,云認證中心與移動終端建立交互通訊進行雙向認證���,電腦取得認證后訪問云桌面中心�。通過對私鑰相關操作內(nèi)容進行簽名驗證�,有效地彌補智能卡中私鑰文件所存在的缺陷����,由CSP實現(xiàn)對私鑰操作內(nèi)容完整性的保護,能夠在不安全的終端和信道環(huán)境下避免私鑰文件被截取��、覆蓋和替換的風險�����,實現(xiàn)云桌面有效安全認證���,為云計算系統(tǒng)提供可靠登陸和訪問安全認證措施���,具有作為云桌面安全認證推廣和運行標準的前景�。
文檔編號H04L9/32GK102571359SQ20121009890
公開日2012年7月11日 申請日期2012年4月6日 優(yōu)先權日2012年4月6日
發(fā)明者胡傳科 申請人:上海凱卓信息科技有限公司