一种基于usbkey的虚拟桌面文件保护方法及装置制造方法

一种基于usb key的虚拟桌面文件保护方法及装置制造方法
【专利摘要】本发明公开了一种基于USBKEY的虚拟桌面文件保护方法及装置，涉及桌面云安全【技术领域】。本发明的技术要点包括：步骤1：将接插到用户终端上的USBKEY设备映射至远端服务器的虚拟桌面上；所述USBKEY上存储有密钥；步骤2：在虚拟桌面上开辟一个虚拟存储区；步骤3：读取从用户终端映射到虚拟桌面上的USBKEY中的密钥，并利用该密钥对将存储到所述虚拟存储区中的数据加密，然后将加密后的数据存储到所述虚拟存储区中，以及利用所述密钥对将从所述存储区中读出的数据解密。
【专利说明】一种基于USB KEY的虚拟桌面文件保护方法及装置
【技术领域】
[0001]本发明涉及桌面云安全【技术领域】，尤其是一种基于USB KEY的虚拟桌面文件保护方法及装置。
【背景技术】
[0002]现有虚拟桌面中用户数据作为虚拟机镜像的一部分进行存储，该镜像一般包括操作系统、用户个人文件和数据、各类应用系统及其产生的数据，占据磁盘空间较大，对其进行加解密时效率较低。
[0003]从安全角度而言，用户个人数据才需要加密存储。而现有的桌面云安全技术对这些镜像一般采用文件级或磁盘级的加密进行保护，由于是全盘加密，所以性能代价和成本较闻。

【发明内容】

[0004]本发明针对上述存在的问题，结合虚拟磁盘技术和密码技术，利用桌面云平台的远程设备映射功能将用户终端的USB KEY密码设备映射到远端的虚拟桌面，提供了一种基于USB KEY的虚拟桌面文件保护方法及装置。
[0005]本发明的方法包括:
步骤1:将接插到用户终端上的USB KEY设备映射至远端服务器的虚拟桌面上；所述USB KEY上存储有密钥；
步骤2:在虚拟桌面上开辟一个虚拟存储区；
步骤3:读取从用户终端映射到虚拟桌面上的USB KEY中的密钥，并利用该密钥对将存储到所述虚拟存储区中的数据加密，然后将加密后的数据存储到所述虚拟存储区中，以及利用所述密钥对将从所述存储区中读出的数据解密。
[0006]优选地，所述虚拟存储区为一个文件，所述文件包括文件头与数据段；所述文件头中存放所述密钥；利用所述密钥加密后的数据存放到数据段中。
[0007]优选地，开辟所述虚拟存储区时为所述虚拟存储区设置访问用户名与密码，并将所述虚拟存储区映射为虚拟桌面上的一个盘符；当用户通过所述用户名及密码访问虚拟存储区时，利用存储在文件头中的密钥对从所述数据段中读出的数据解密。
[0008]优选地，虚拟桌面的操作系统检测到所述USB KEY被拔出用户终端时，控制虚拟桌面的操作系统实现锁屏。
[0009]优选地，通过加密通道将接插到用户终端上的USB KEY设备映射至远端服务器的虚拟桌面上。
[0010]本发明还提供了与上述方法对应的装置，包括:
用户终端映射模块，位于用户终端上，用于将接插到用户终端的USB KEY设备映射至远端服务器的虚拟桌面上；所述USB KEY上存储有密钥；
虚拟桌面磁盘驱动模块，位于虚拟桌面上，用于在虚拟桌面上开辟一个虚拟存储区；并读取从用户终端映射到虚拟桌面上的USB KEY中的密钥，利用该密钥对将存储到所述虚拟存储区中的数据加密，然后将加密后的数据存储到所述虚拟存储区中，以及利用所述密钥对将从所述虚拟存储区中读出的数据解密。
[0011 ] 优选地，所述虚拟存储区为一个文件，所述文件包括文件头与数据段；所述文件头中存放所述密钥；利用所述密钥加密后的数据存放到数据段中。
[0012]优选地，所述虚拟桌面磁盘驱动模块还用于将所述虚拟存储区映射为虚拟桌面上的一个盘符，用于在开辟所述虚拟存储区时为所述虚拟存储区设置访问用户名与密码，以及用于当用户通过所述用户名及密码访问虚拟存储区时，利用存储在文件头中的密钥对从所述数据段中读出的数据解密。
[0013]
优选地，还包括锁屏模块，用于在虚拟桌面操作系统检测到所述USB KEY被拔出用户终端时，控制虚拟桌面的操作系统实现锁屏。
[0014]优选地，所述用户终端映射模块用于将接插到用户终端上的USB KEY设备通过加密通道映射至远端服务器的虚拟桌面上。
[0015]综上所述，由于采用了上述技术方案，本发明的有益效果是:
1.安全:本发明对个人数据采用加密存储，恶意用户即使获取了桌面云的管理员权限也无法盗取用户存储在虚拟存储区中的数据；
2.高效:本发明实现了仅对个人数据进行加密，无需对整个镜像文件进行文件级或磁盘级加密，降低了成本，提高了效率。
[0016]3.易用友好:使用了本发明，对于用户而言，对虚拟存储区的操作类似于U盘在PC机上的使用流程，便于用户使用；
4.插件式架构，可以与现有的桌面云系统无缝集成。
【专利附图】

【附图说明】
[0017]本发明将通过例子并参照附图的方式说明，其中:
图1为本发明使用流程图。
【具体实施方式】
[0018]本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。
[0019]本说明书中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。
[0020]本发明的一个方法实施例是这样的，包括:
步骤1:将接插到用户终端上的USB KEY设备映射至远端服务器的虚拟桌面上；所述USB KEY上存储有密钥；
步骤2:在虚拟桌面上开辟一个虚拟存储区；
步骤3:读取从用户终端映射到虚拟桌面上的USB KEY中的密钥，并利用该密钥对将存储到所述虚拟存储区中的数据加密，然后将加密后的数据存储到所述虚拟存储区中，以及利用所述密钥对将从所述存储区中读出的数据解密。
[0021]在另一个具体实施例中，利用重定向技术实现USB KEY从用户终端映射到远端的虚拟桌面上。所述用户终端可以为普通的PC级及或者瘦终端。
[0022]在本发明方法的另一个实施例中，所述虚拟存储区为一个具有特定格式的文件，开辟虚拟存储区的过程实际就是创建该文件的过程。所述文件的格式是这样的:包括文件头与数据段；所述文件头中存放所述USB KEY中的密钥；利用所述密钥加密后的数据存放到数据段中。当用户将数据从数据段中读出是，利用存储在文件头中的密钥对从所述数据段中读出的数据解密。
[0023]为了防止文件头中的密钥被盗，在本发明又一实施例中，开辟所述虚拟存储区时为所述虚拟存储区设置访问用户名与密码，并将所述虚拟存储区映射为虚拟桌面上的一个盘符。当用户需要访问该文件时，需要输入预设的用户名及密码。将虚拟存储区映射为盘符为本领域现有的技术手段，在此不赘述其详细步骤。
[0024]当用户通过所述用户名及密码访问虚拟存储区时，利用存储在文件头中的密钥对从所述数据段中读出的数据解密。
[0025]为了进一步确保使用安全，在本发明的又一实施例中，虚拟桌面的操作系统检测到所述USB KEY被拔出用户终端时，控制虚拟桌面的操作系统实现锁屏。
[0026]为了防止映射过程中，USB KEY中的密钥被盗，可以在用户终端与服务器之间通过安全认证的方式建立加密通道，通过加密通道将接插到用户终端上的USB KEY设备映射至远端服务器的虚拟桌面上。
[0027]所述加密通道建立的一个具体实施方法是这样的:
1.用户终端发起认证请求；
2.远端服务器收到认证请求后产生随机数R1，并发送到用户终端；
3.用户终端对Rl进行签名并产生随机数R2;并传递Rl的签名值，R2及用户终端证
书;
4.服务器验证所述用户终端证书的有效性和Rl签名值，并对R2签名；然后将R2的签名值、服务器证书发送到用户终端；
5.用户终端验证所述服务器证书的有效性和R2的签名值，并向服务端返回认证结
果;
6.服务端收到所述认证结果后，生成票据并传给用户终端；从而建立起用户终端与服务端的加密通道，利用所述票据中的密钥对需要在该通道上传输的数据进行加密、解密。
[0028]当然加密通道的建立并非仅限于上述步骤，不应当将上述【具体实施方式】理解为对本发明的限制。
[0029]本发明还提供了包括与上述方法一一对应的功能模块的装置，包括:
用户终端映射模块，位于用户终端上，用于将接插到用户终端的USB KEY设备映射至远端服务器的虚拟桌面上；所述USB KEY上存储有密钥；
虚拟桌面磁盘驱动模块，位于虚拟桌面上，用于在虚拟桌面上开辟一个虚拟存储区；并读取从用户终端映射到虚拟桌面上的USB KEY中的密钥，利用该密钥对将存储到所述虚拟存储区中的数据加密，然后将加密后的数据存储到所述虚拟存储区中，以及利用所述密钥对将从所述虚拟存储区中读出的数据解密。[0030]相应的，所述虚拟存储区为一个文件，所述文件包括文件头与数据段；所述文件头中存放所述密钥；利用所述密钥加密后的数据存放到数据段中。
[0031]相应的，所述虚拟桌面磁盘驱动模块还用于将所述虚拟存储区映射为虚拟桌面上的一个盘符，用于在开辟所述虚拟存储区时为所述虚拟存储区设置访问用户名与密码，用于当用户通过所述用户名及密码访问虚拟存储区时，利用存储在文件头中的密钥对从所述数据段中读出的数据解密。
[0032]当USB KEY被从瘦终端等用户终端映射到虚拟桌面时，USB KEY在逻辑上是存在在虚拟桌面中的，虚拟桌面的操作系统能收到USB KEY的插入和拔出事件。可以在操作系统中实现一个服务，即锁屏模块，用于当虚拟桌面操作系统检测到USB KEY拔出事件的时候，控制虚拟桌面操作系统实现锁屏。
[0033]与方法相对应，在另一个实施例中，本发明装置中的用户终端映射模块用于将接插到用户终端上的USB KEY设备通过加密通道映射至远端服务器的虚拟桌面上。
[0034]当在用户终端及服务器上实施了本发明后，用户可以按照如下步骤来保护虚拟桌面上的个人数据:
首先，用户需要从用户终端登录到远端的虚拟桌面上，然后在用户终端上插入USBKEY ;用户终端映射模块将USB KEY映射到虚拟桌面上；虚拟桌面磁盘驱动模块会完成所述特定格式的文件的创建，根据用户输入的用户名及密码设定访问该文件的用户名及密码，虚拟桌面上会出现一个盘符；
用户通过所述用户名及密码进入文件，将要保护的个人数据拖拽到该文件中，完成个人数据的加密保护。
[0035]当然，用户也可以通过相应的用户名及密码访问先前创建好的文件一即虚拟存储区，读取其中的加密数据，虚拟桌面磁盘驱动模块会利用存储在文件头中的密钥对从所述数据段中读出的数据解密。
[0036]本发明并不局限于前述的【具体实施方式】。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。
【权利要求】
1.一种基于USB KEY的虚拟桌面文件保护方法，其特征在于，包括: 步骤1:将接插到用户终端上的USB KEY设备映射至远端服务器的虚拟桌面上；所述USB KEY上存储有密钥； 步骤2:在虚拟桌面上开辟一个虚拟存储区； 步骤3:读取从用户终端映射到虚拟桌面上的USB KEY中的密钥，并利用该密钥对将存储到所述虚拟存储区中的数据加密，然后将加密后的数据存储到所述虚拟存储区中，以及利用所述密钥对将从所述存储区中读出的数据解密。
2.根据权利要求1所述的一种基于USBKEY的虚拟桌面文件保护方法，其特征在于，所述虚拟存储区为一个文件，所述文件包括文件头与数据段；所述文件头中存放所述密钥；利用所述密钥加密后的数据存放到数据段中。
3.根据权利要求2所述的一种基于USBKEY的虚拟桌面文件保护方法，其特征在于，开辟所述虚拟存储区时为所述虚拟存储区设置访问用户名与密码，并将所述虚拟存储区映射为虚拟桌面上的一个盘符；当用户通过所述用户名及密码访问虚拟存储区时，利用存储在文件头中的密钥对从所述数据段中读出的数据解密。
4.根据权利要求1所述的一种基于USBKEY的虚拟桌面文件保护方法，其特征在于，虚拟桌面操作系统检测到所述USB KEY被拔出用户终端时，控制虚拟桌面操作系统实现锁屏。
5.根据权利要求1所述的一种基于USBKEY的虚拟桌面文件保护方法，其特征在于，通过加密通道将接插到用户终端上的USB KEY设备映射至远端服务器的虚拟桌面上。
6.一种基于USB KEY的虚拟桌面文件保护装置，其特征在于，包括: 用户终端映射模块，位于用户终端上，用于将接插到用户终端的USB KEY设备映射至远端服务器的虚拟桌面上；所述USB KEY上存储有密钥； 虚拟桌面磁盘驱动模块，位于虚拟桌面上，用于在虚拟桌面上开辟一个虚拟存储区；并读取从用户终端映射到虚拟桌面上的USB KEY中的密钥，利用该密钥对将存储到所述虚拟存储区中的数据加密，然后将加密后的数据存储到所述虚拟存储区中，以及利用所述密钥对将从所述虚拟存储区中读出的数据解密。
7.根据权利要求6所述的一种基于USBKEY的虚拟桌面文件保护装置，其特征在于，所述虚拟存储区为一个文件，所述文件包括文件头与数据段；所述文件头中存放所述密钥；利用所述密钥加密后的数据存放到数据段中。
8.根据权利要求7所述的一种基于USBKEY的虚拟桌面文件保护装置，其特征在于，所述虚拟桌面磁盘驱动模块还用于将所述虚拟存储区映射为虚拟桌面上的一个盘符，用于在开辟所述虚拟存储区时为所述虚拟存储区设置访问用户名与密码，以及用于当用户通过所述用户名及密码访问虚拟存储区时，利用存储在文件头中的密钥对从所述数据段中读出的数据解密。
9.根据权利要求6所述的一种基于USBKEY的虚拟桌面文件保护装置，其特征在于，还包括锁屏模块，用于在虚拟桌面操作系统检测到所述USB KEY被拔出用户终端时，控制虚拟桌面的操作系统实现锁屏。
10.根据权利要求6所述的一种基于USBKEY的虚拟桌面文件保护装置，其特征在于，所述用户终端映射模块用于将接插到用户终端上的USB KEY设备通过加密通道映射至远端服务器的虚拟桌面上。
【文档编号】H04L29/08GK103544453SQ201310501504
【公开日】2014年1月29日 申请日期:2013年10月23日 优先权日:2013年10月23日
【发明者】王华磊, 王斯梁 申请人:成都卫士通信息产业股份有限公司