(19)国家知识产权局
(12)发明 专利
(10)授权公告 号
(45)授权公告日
(21)申请 号 202211156166.3
(22)申请日 2022.09.22
(65)同一申请的已公布的文献号
申请公布号 CN 115242785 A
(43)申请公布日 2022.10.25
(73)专利权人 长江量子 (武汉) 科技有限公司
地址 430000 湖北省武汉市东湖新 技术开
发区关东街道佳园路2 号高科大厦6楼
618号房 (自贸区武汉片区)
(72)发明人 范犇 田阳柱 徐红星
(51)Int.Cl.
H04L 67/08(2022.01)
H04L 9/40(2022.01)
H04L 9/08(2006.01)(56)对比文件
CN 113541931 A,2021.10.2 2
CN 106507344 A,2017.0 3.15
CN 110289952 A,2019.09.27
CN 104243143 A,2014.12.24
CN 113596062 A,2021.1 1.02
WO 2021167336 A1,2021.08.26
审查员 罗帆
(54)发明名称
桌面云服务器与终端安全通信方法
(57)摘要
本发明提供一种桌面云服务器与终端安全
通信方法, 通过将终端可选择地配置为普通模式
或保密模式, 以使终端既保留常规的信息处理能
力, 还具有能够随时访问自己私有虚拟桌面的功
能, 以满足用户多样化的办公需求; 尤其是终端
内部置放有安全芯片, 在保密模式下能够实现终
端向服务器传输的操作指令, 和/或服务器向终
端反馈的应用图像被由量子随机数形成的会话
密钥加密, 由于量子随机数具有真随机特性, 被
加密的通信数据难以被破解, 因此, 本发明的桌
面云服务器与终端的通信方法具备绝对安全的
特性。
权利要求书3页 说明书10页 附图6页
CN 115242785 B
2022.12.16
CN 115242785 B
1.一种桌面云服务器与终端安全通信方法, 其特征在于, 所述终端内置预充注量子密
钥的安全芯片, 所述服务器存储有虚拟桌面池, 所述服务器可通信地连接一加密机; 所述安
全通信方法包括:
S101: 所述终端接受用户选择配置为普通模式或保密模式;
S102: 在所述保密模式下, 所述终端向所述服务器发起认证请求被通过后, 所述服务器
开放与所述终端认证信息匹配的所述虚拟桌面池资源, 并将虚拟桌面图像映射在所述终
端;
S103: 所述终端采集所述用户在所述虚拟桌面输入的操作指令, 经密管平台分发的会
话密钥key ‑A加密后传输给 所述服务器;
S104: 所述加密机向所述密管平台申请会话密钥key ‑a对所述操作指令实施解密后发
送给所述服务器, 所述 服务器参照所述操作指令执 行相应动作;
其中, 所述会话密钥key ‑A和所述会话密钥key ‑a由量子随机数 形成。
2.根据权利要求1所述的安全通信方法, 其特 征在于, 所述 安全通信方法还 包括:
S105: 所述服务器执行相应动作的同时生成运行图像, 所述运行图像由所述会话密钥
key‑a加密后传输给所述终端, 所述终端利用所述会话密钥key ‑A解密, 并显示在所述终端
的界面。
3.根据权利要求2所述的安全通信方法, 其特 征在于, 步骤S102具体包括:
所述终端入网与所述 服务器建立应用会话, 生成第一会话 ID;
利用所述量子密钥形成的保护密钥加密所述第 一会话ID, 并将所述安全芯片的身份编
码和所述第一会话 ID密文发送给 所述密管平台, 以获取 所述会话密钥key ‑A;
所述用户在所述终端输入认证信息, 利用所述会话密钥key ‑A加密后传输给所述服务
器;
所述服务器将所述认证信 息密文和所述第一会话ID发送给所述加密机, 所述加密机携
带所述第一会话 ID向所述密管平台申请会话密钥key ‑a;
利用所述会话密钥key ‑a解密所述认证信息并发送给所述服务器的鉴权单元, 以确认
所述终端的访问权限。
4.根据权利要求3所述的安全通信方法, 其特征在于, 获取所述会话密钥key ‑A具体包
括:
将生成所述保护密钥的密钥参数和所述身份编码写入所述第 一会话ID的数据头, 所述
安全芯片依照所述密钥参数生成所述保护 密钥, 利用所述保护 密钥加密所述第一会话ID的
数据部分, 将所述第一会话 ID数据包发送给 所述密管平台;
所述密管平台依照所述身份编码定位到自身存储的所述量子密钥, 依照所述密钥参数
生成所述保护密钥发送给所述加密机, 所述加密机利用所述保护 密钥对所述第一会话ID的
数据部分实施解密之后, 将所述第一会话ID数据包发送给所述密管平台, 所述密管平台生
成所述会话密钥key ‑A发送给终端, 并登记所述第一会话ID和所述会话密钥key ‑A的对应关
系。
5.根据权利要求4所述的安全通信方法, 其特征在于, 将所述会话密钥key ‑A发送给终
端之前, 利用所述保护密钥加密所述会话密钥key ‑A。
6.根据权利要求3所述的安全通信方法, 其特征在于, 所述终端认证通过之后, 所述鉴权 利 要 求 书 1/3 页
2
CN 115242785 B
2权单元向所述终端颁发临时身份令牌, 并利用所述会话密钥key ‑a加密所述临时身份令牌
发送给所述终端;
所述终端利用所述会话密钥key ‑A解密, 后续在所述应用会话断开之前, 所述终端向所
述服务器的访问均携带 所述临时身份令牌。
7.根据权利要求3所述的安全通信方法, 其特征在于, 步骤S102实施之前, 由系 统管理
员配置与所述认证信息匹配的所述虚拟桌面, 并生成与所述认证信息唯一关联的云ID, 所
述终端认证通过之后, 仅对匹配的所述虚拟桌 面享有访问权限。
8.根据权利要求1所述的安全通信方法, 其特征在于, 在保密模式下, 所述虚拟桌面的
文件外发时, 由所述服务器的防护模块对外发行为进行拦截, 核验所述终端输入的所述认
证信息。
9.根据权利要求1至8任一项所述的安全通信方法, 其特征在于, 所述服务器还连接有
适于为其提供算力支持的量子计算机, 所述 量子计算机与所述 服务器基于TCP协议 通讯。
10.根据权利要求2至8任一项所述的安全通信方法, 其特征在于, 当与 所述终端认证信
息匹配的所述虚拟桌面资源位于第一服务器, 所述终端与第二服务器组网连接时, 所述安
全通信方法还 包括:
S106: 所述第二 服务器与所述第一 服务器建立应用会话, 生成第三会话 ID;
S107: 与所述第二服务器通信连接的第二加密机携带所述第三会话ID和与所述认证信
息关联的云ID向第二密管平台申请会话密钥key ‑C, 利用所述会话密钥key ‑C加密所述第二
服务器向所述第一 服务器发起的访问请求, 并发送给 所述第一 服务器;
S108: 所述第一服务器验证所述云ID通过之后, 基于所述第三会话ID向第一密管平台
申请会话密钥key ‑c对所述访问请求实施解密, 并调取与所述云ID匹配的所述虚拟桌 面;
S109: 利用所述会话密钥key ‑c加密所述虚拟桌面的图像传输给所述第二服务器, 所述
第二服务器利用所述会话密钥key ‑C解密后传输给 所述终端;
其中, 所述第一密管平台包括QKD1, 所述第二密管平台包括QKD2, 所述会话密钥key ‑C
由所述QKD2设备生成, 所述会话密钥key ‑c由所述QKD1设备生成。
11.根据权利要求10所述的安全通信方法, 其特征在于, 在步骤106实施之前, 所述安全
通信方法还 包括:
所述终端与所述第二 服务器建立应用会话, 生成第二会话 ID;
利用所述量子密钥形成的保护密钥加密所述第 二会话ID, 并将所述安全芯片的身份编
码和所述第二会话 ID密文发送给 所述第二密管平台, 以获得会话密钥key ‑B;
所述用户在所述终端输入认证信息, 利用所述会话密钥key ‑B加密后传输给所述第二
服务器;
所述第二加密机携带所述第二会话ID 向所述第二密管平台申请会话密钥key ‑b, 以解
密所述认证信息;
所述第二服务器查询到所述认证信 息匹配的所述虚拟桌面资源位于所述第 一服务器,
向所述第一 服务器发起访问请求。
12.根据权利要求11所述的安全通信方法, 其特征在于, 所述服务器具有多个, 包括主
服务器和至少一个从服务器, 各所述服务器一侧均配备有所述密管平台, 所述服务器与所
述密管平台可通信地连接, 所述密管平台之间通过光纤或量子卫星 进行数据通信;权 利 要 求 书 2/3 页
3
CN 115242785 B
3
专利 桌面云服务器与终端安全通信方法
文档预览
中文文档
20 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共20页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-18 04:08:22上传分享