CN105871926B - 一种基于桌面虚拟化的usb设备安全共享方法及*** - Google Patents
一种基于桌面虚拟化的usb设备安全共享方法及*** Download PDFInfo
- Publication number
- CN105871926B CN105871926B CN201610438441.9A CN201610438441A CN105871926B CN 105871926 B CN105871926 B CN 105871926B CN 201610438441 A CN201610438441 A CN 201610438441A CN 105871926 B CN105871926 B CN 105871926B
- Authority
- CN
- China
- Prior art keywords
- usb device
- virtual machine
- data packet
- list
- usb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于桌面虚拟化的USB设备安全共享方法及***,在终端使用USB设备的同时设置可重定向的VM列表(该列表内的任意一台虚拟机可共享USB设备);指定某些虚拟机有权限访问USB设备,提高网络安全性。采用对称加密与非对称加密相结合的方式发送PDU数据包,采用对称加密方式发送PDU数据包,但对称加密所使用的密钥通过非对称加密方式发送,即对称加密的密钥使用非对称加密的公钥进行加密,通过网络进行传输,接收方使用私钥进行解密得到对称加密的密钥。既能保证网络传输的安全性,又能提高URB数据包传送速度与USB设备读取速度。
Description
技术领域
本发明涉及一种基于桌面虚拟化的USB设备安全共享方法及***,属于云计算虚拟化领域。
背景技术
云计算技术是IT产业界的一场技术革命,它能够按需部署计算资源。从本质上讲,云计算是指用户终端通过远程连接获取存储、计算、数据库等计算资源。虚拟化技术是云计算技术的核心组成之一,是将各种计算及存储资源充分整合和高效利用的关键技术,包括服务器虚拟化和桌面虚拟化。
当前比较流行的虚拟化产品主要包括KVM(Kernel based Virtual Machine)、VMware、XenServer等。其中,KVM的最大优势是完全开源,且KVM是基于内核的完全虚拟化,与其他虚拟化产品相比,具有资源利用率高、性能良好的优势。
目前USB设备重定向技术已经广泛应用于桌面虚拟化场景中,可以保证使用桌面虚拟化环境的用户体验更加完整,在虚拟机中即可远程操作终端上的任意USB设备,如USB大容量存储、摄像头、打印机、加密狗等。针对这一需求市面上已经提供了很多USB设备共享技术,如USB anywhere、USB over Network等。USB anywhere其实就是一个具有以太网接口的USB转以太网的Hub,打破了传统的USB协议传输距离只有5米的限制,使得在局域网内的主机都可以访问远程的USB***设备;USB over Network是FabulaTech的软件解决方案,用户能够通过LAN或WAN访问远程主机上的USB设备,但是它只支持Windows***。
总之,目前市面上这些技术普遍存在如下问题:
1)支持的USB设备兼容性差:传统技术对可支持的USB设备类型有限,并且在有限的所支持的类型中,对不同品牌和型号的设备兼容也不稳定。
2)网络安全性差:传统的USB共享技术是通过IP网络直接发送URB数据包的方式,但是这样做的话安全性非常差,数据一旦丢失或遭受黑客攻击,那带来的损失是无法估量的。
发明内容
针对现有技术的不足,本发明提供了一种基于桌面虚拟化的USB设备安全共享方法;
本发明还提供了一种基于桌面虚拟化的USB设备安全共享***;
本发明在支持更多的设备类型的前提下保证更加安全可靠地共享USB设备,防止黑客攻击,避免不可估量的损失。本发明在安全机制上主要体现两方面:一是终端在共享USB设备时设置一个VM列表,指定某些虚拟机有权限访问该USB设备;二是终端与虚拟机端通过IP网络传输URB数据包时采用对称加密与非对称加密的方式,提高网络传输安全性。
术语解释
URB,USB Request Block,Linux内核中USB驱动实现上的一个数据结构,用于组织每一次的USB设备驱动的数据传输请求。
PDU,Protocol Data Unit,协议数据单元,是指对等层次之间传递的数据单位。
PDD,PerDevice Drivers,用于管理独立的USB设备,当对USB设备有I/O请求时,PDD会将I/O请求转换为URB数据包。
HCI,Host Controller Interface,主机控制器接口,规范描述了一个通用串行总线(USB)2.0版的主机控制器的寄存器级接口。
对称加密,是指采用单钥密码***的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
非对称加密,是指需要两个密钥来进行加密和解密,这两个秘钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。
本发明的技术方案为:
一种基于桌面虚拟化的USB设备安全共享方法,具体步骤包括:
(1)使用支持所述USB设备的终端通过远程桌面协议访问当前虚拟机,在所述终端创建可重定向的VM列表,连接当前虚拟机,获得当前虚拟机的IP地址、端口号、用户名和密码,写入所述VM列表中;
(2)设置所述VM列表,写入若干台虚拟机的IP地址、端口号、用户名、密码,所述VM列表中的虚拟机均具有访问所述USB设备的权限;
(3)当某台虚拟机中的应用程序对所述USB设备进行I/O访问时,判断所述虚拟机是否是VM列表中的虚拟机,如果是,则判定所述虚拟机具有访问所述USB设备的权限,所述虚拟机与所述USB设备连接成功,进入步骤(4);否则,所述虚拟机与所述USB设备连接失败,结束;
(4)所述虚拟机向所述USB设备发送I/O请求,USB设备驱动HCI将接收到的I/O请求转换为一系列的URB数据包;
(5)将所述URB数据包转换成可通过IP网络发送的PDU数据包,并对PDU数据包采用对称与非对称加密的方式进行加密,提高网络传输的安全性;
(6)所述虚拟机解密接收到PDU数据包,并将PDU数据包转换为URB数据包;
(7)所述虚拟机接收到URB数据包后,通过所述USB设备对应驱动PDD完成I/O操作。
根据本发明优选的,所述步骤(5)中,采用对称加密与非对称加密相结合的方式发送PDU数据包,具体是指:
a、所述虚拟机端使用独有的私钥解密终端对称加密的密钥,利用所述对称加密的密钥再解密接收到的PDU数据包;
b、将解密后的PDU数据包转为相应的URB数据包。
采用对称加密方式发送PDU数据包,但对称加密所使用的密钥通过非对称加密方式发送,即对称加密的密钥使用非对称加密的公钥进行加密,通过网络进行传输,接收方使用私钥进行解密得到对称加密的密钥。既能保证网络传输的安全性,又能提高URB数据包传送速度与USB设备读取速度。
根据本发明优选的,所述步骤(7)中,通过USB核心驱动USB Core传输URB数据包至所述虚拟机,所述虚拟机接收到URB数据包后通过USB对应设备驱动PDD完成I/O操作。
一种基于桌面虚拟化的USB设备安全共享***,包括虚拟化平台和客户端,所述客户端远程连接所述虚拟化平台中的虚拟机,所述虚拟化平台包括计算服务器与存储服务器,所述计算服务器包括若干台虚拟机,若干台虚拟机中安装有应用程序,所述客户端为支持所述USB设备的终端,所述终端上设置有VM列表,VM列表中写入若干台虚拟机的IP地址、端口号、用户名、密码,所述VM列表中的虚拟机均具有访问所述USB设备的权限。
本发明的有益效果为:
1、本发明在终端使用USB设备的同时设置可重定向的VM列表(该列表内的任意一台虚拟机可共享USB设备);指定某些虚拟机有权限访问USB设备,提高网络安全性。
2、本发明采用对称加密与非对称加密相结合的方式发送PDU数据包,采用对称加密方式发送PDU数据包,但对称加密所使用的密钥通过非对称加密方式发送,即对称加密的密钥使用非对称加密的公钥进行加密,通过网络进行传输,接收方使用私钥进行解密得到对称加密的密钥。既能保证网络传输的安全性,又能提高URB数据包传送速度与USB设备读取速度。
附图说明
图1为本发明所述基于桌面虚拟化的USB设备安全共享***的结构框图;
图2为本发明所述基于桌面虚拟化的USB设备安全共享方法的流程图。
具体实施方式
下面结合说明书附图和实施例对本发明作进一步限定,但不限于此。
实施例1
一种基于桌面虚拟化的USB设备安全共享方法,如图2所示,具体步骤包括:
(1)使用支持所述USB设备的终端通过远程桌面协议访问当前虚拟机,在所述终端创建可重定向的VM列表,连接当前虚拟机,获得当前虚拟机的IP地址、端口号、用户名和密码,写入所述VM列表中;
(2)设置所述VM列表,写入若干台虚拟机的IP地址、端口号、用户名、密码,所述VM列表中的虚拟机均具有访问所述USB设备的权限;
(3)当某台虚拟机中的应用程序对所述USB设备进行I/O访问时,判断所述虚拟机是否是VM列表中的虚拟机,如果是,则判定所述虚拟机具有访问所述USB设备的权限,所述虚拟机与所述USB设备连接成功,进入步骤(4);否则,所述虚拟机与所述USB设备连接失败,结束;
(4)所述虚拟机向所述USB设备发送I/O请求,USB设备驱动HCI将接收到的I/O请求转换为一系列的URB数据包;
(5)将所述URB数据包转换成可通过IP网络发送的PDU数据包,并对PDU数据包采用对称与非对称加密的方式进行加密;提高网络传输的安全性;
(6)所述虚拟机解密接收到PDU数据包,并将PDU数据包转换为URB数据包;
(7)所述虚拟机接收到URB数据包后,通过所述USB设备对应驱动PDD完成I/O操作。
URB数据包的生命周期如下:
1)由USB设备驱动创建;
2)分配给指定USB地址的指定端点;
3)由设备驱动提交给USB core;
4)提交给USB主机控制器;
5)经主机控制器处理,传递给USB物理设备;
6)URB数据包处理完成后,USB主机控制器会通知USB设备驱动,此时URB数据包结构中的complete回调函数被调用。
步骤(5)中,采用对称加密与非对称加密相结合的方式发送PDU数据包,具体是指:
a、所述虚拟机端使用独有的私钥解密终端对称加密的密钥,利用所述对称加密的密钥再解密接收到的PDU数据包;
b、将解密后的PDU数据包转为相应的URB数据包。
采用对称加密方式发送PDU数据包,但对称加密所使用的密钥通过非对称加密方式发送,即对称加密的密钥使用非对称加密的公钥进行加密,通过网络进行传输,接收方使用私钥进行解密得到对称加密的密钥。既能保证网络传输的安全性,又能提高URB数据包传送速度与USB设备读取速度。
步骤(7)中,通过USB核心驱动USB Core传输URB数据包至所述虚拟机,所述虚拟机接收到URB数据包后通过USB对应设备驱动PDD完成I/O操作。
实施例2
一种实现实施例1所述基于桌面虚拟化的USB设备安全共享方法的***,包括虚拟化平台和客户端,所述客户端远程连接所述虚拟化平台中的虚拟机,所述虚拟化平台包括计算服务器与存储服务器,所述计算服务器包括若干台虚拟机,若干台虚拟机中安装有应用程序,所述客户端为支持所述USB设备的终端,所述终端上设置有VM列表,VM列表中写入若干台虚拟机的IP地址、端口号、用户名、密码,所述VM列表中的虚拟机均具有访问所述USB设备的权限。如图1所示。
Claims (2)
1.一种基于桌面虚拟化的USB设备安全共享方法,其特征在于,具体步骤包括:
(1)使用支持所述USB设备的终端通过远程桌面协议访问当前虚拟机,在所述终端创建可重定向的VM列表,连接当前虚拟机,获得当前虚拟机的IP地址、端口号、用户名和密码,写入所述VM列表中;
(2)设置所述VM列表,写入若干台虚拟机的IP地址、端口号、用户名、密码,所述VM列表中的虚拟机均具有访问所述USB设备的权限;
(3)当某台虚拟机中的应用程序对所述USB设备进行I/O访问时,判断所述虚拟机是否是VM列表中的虚拟机,如果是,则判定所述虚拟机具有访问所述USB设备的权限,所述虚拟机与所述USB设备连接成功,进入步骤(4);否则,所述虚拟机与所述USB设备连接失败,结束;
(4)所述虚拟机向所述USB设备发送I/O请求,USB设备驱动HCI将接收到的I/O请求转换为一系列的URB数据包;
(5)将所述URB数据包转换成可通过IP网络发送的PDU数据包,并对PDU数据包采用对称与非对称加密的方式进行加密;
(6)所述虚拟机解密接收到PDU数据包,并将PDU数据包转换为URB数据包;所述虚拟机解密的过程如下:
a、所述虚拟机端使用独有的私钥解密终端对称加密的密钥,利用所述对称加密的密钥再解密接收到的PDU数据包;
b、将解密后的PDU数据包转为相应的URB数据包;
(7)所述虚拟机接收到URB数据包后,通过所述USB设备对应驱动PDD完成I/O操作,是指:通过USB核心驱动传输URB数据包至所述虚拟机,所述虚拟机接收到URB数据包后通过USB对应设备驱动PDD完成I/O操作。
2.一种实现权利要求1所述的基于桌面虚拟化的USB设备安全共享方法的***,其特征在于,包括虚拟化平台和客户端,所述客户端远程连接所述虚拟化平台中的虚拟机,所述虚拟化平台包括计算服务器与存储服务器,所述计算服务器包括若干台虚拟机,若干台虚拟机中安装有应用程序,所述客户端为支持所述USB设备的终端,所述终端上设置有VM列表,VM列表中写入若干台虚拟机的IP地址、端口号、用户名、密码,所述VM列表中的虚拟机均具有访问所述USB设备的权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610438441.9A CN105871926B (zh) | 2016-06-17 | 2016-06-17 | 一种基于桌面虚拟化的usb设备安全共享方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610438441.9A CN105871926B (zh) | 2016-06-17 | 2016-06-17 | 一种基于桌面虚拟化的usb设备安全共享方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105871926A CN105871926A (zh) | 2016-08-17 |
| CN105871926B true CN105871926B (zh) | 2019-07-19 |
Family
ID=56650980
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610438441.9A Active CN105871926B (zh) | 2016-06-17 | 2016-06-17 | 一种基于桌面虚拟化的usb设备安全共享方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105871926B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107169371B (zh) * | 2017-04-27 | 2019-11-22 | 北京众享比特科技有限公司 | 一种基于区块链的数据库操作方法和*** |
| CN109086238B (zh) * | 2018-07-04 | 2022-03-04 | 超越科技股份有限公司 | 一种基于usb重定向的服务器串口管理***及方法 |
| CN112231004B (zh) * | 2020-10-19 | 2022-06-17 | 北京京航计算通讯研究所 | 云桌面终端usb重定向*** |
| CN113687910A (zh) * | 2021-07-29 | 2021-11-23 | 广东浪潮智慧计算技术有限公司 | 一种集群内usb设备管理方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035039A (zh) * | 2007-04-20 | 2007-09-12 | 福建升腾资讯有限公司 | Usb映射方法 |
| CN102789432A (zh) * | 2011-05-19 | 2012-11-21 | 中国电信股份有限公司 | Usb设备驱动方法和*** |
| CN102804729A (zh) * | 2009-06-30 | 2012-11-28 | 诺基亚公司 | 用于加密错误检测和恢复的***、方法和装置 |
| CN103546421A (zh) * | 2012-07-10 | 2014-01-29 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密***及其实现方法 |
| CN103595790A (zh) * | 2013-11-14 | 2014-02-19 | 华为技术有限公司 | 设备远程访问的方法、瘦客户端和虚拟机 |
| CN105183675A (zh) * | 2015-09-30 | 2015-12-23 | 华为技术有限公司 | 对usb设备的访问方法、装置、终端、服务器及*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI317481B (en) * | 2006-07-05 | 2009-11-21 | Quanta Comp Inc | Method for controlling usb device between incompatible processing platforms |
-
2016
- 2016-06-17 CN CN201610438441.9A patent/CN105871926B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035039A (zh) * | 2007-04-20 | 2007-09-12 | 福建升腾资讯有限公司 | Usb映射方法 |
| CN102804729A (zh) * | 2009-06-30 | 2012-11-28 | 诺基亚公司 | 用于加密错误检测和恢复的***、方法和装置 |
| CN102789432A (zh) * | 2011-05-19 | 2012-11-21 | 中国电信股份有限公司 | Usb设备驱动方法和*** |
| CN103546421A (zh) * | 2012-07-10 | 2014-01-29 | 河北省电子认证有限公司 | 基于pki技术的网络工作交流安全保密***及其实现方法 |
| CN103595790A (zh) * | 2013-11-14 | 2014-02-19 | 华为技术有限公司 | 设备远程访问的方法、瘦客户端和虚拟机 |
| CN105183675A (zh) * | 2015-09-30 | 2015-12-23 | 华为技术有限公司 | 对usb设备的访问方法、装置、终端、服务器及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105871926A (zh) | 2016-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9571279B2 (en) | Systems and methods for secured backup of hardware security modules for cloud-based web services | |
| US9317316B2 (en) | Host virtual machine assisting booting of a fully-encrypted user virtual machine on a cloud environment | |
| EP3232634B1 (en) | Identity authentication method and device | |
| CN105184154B (zh) | 一种在虚拟化环境中提供密码运算服务的***和方法 | |
| CN105871926B (zh) | 一种基于桌面虚拟化的usb设备安全共享方法及*** | |
| US20150358294A1 (en) | Systems and methods for secured hardware security module communication with web service hosts | |
| CN106341375B (zh) | 实现资源加密访问的方法及*** | |
| WO2014183392A1 (zh) | 分布式环境下的安全通信认证方法及*** | |
| KR20160139493A (ko) | 클라우드 서비스를 위한 암호화 키 관리 방법 및 그 장치 | |
| CN109710386B (zh) | 一种虚拟机的虚拟可信根实例的整体动态迁移方法 | |
| WO2016107394A1 (zh) | 虚拟机的深度证明方法、计算设备和计算机*** | |
| WO2011009406A1 (zh) | 数据处理***和方法 | |
| CN103780609A (zh) | 一种云数据的处理方法、装置和云数据安全网关 | |
| WO2016184221A1 (zh) | 密码管理方法及装置、*** | |
| EP3664405A1 (en) | Resource processing method, device and system and computer-readable medium | |
| US11188658B2 (en) | Concurrent enablement of encryption on an operational path at a storage port | |
| US20240048375A1 (en) | Distributed storage system and method of reusing symmetric keys for encrypted message transmissions | |
| CN109104275A (zh) | 一种hsm设备 | |
| CN102984273A (zh) | 虚拟磁盘加密方法、解密方法、装置及云服务器 | |
| GB2546612A (en) | Password-authenticated public key encryption and decryption | |
| US20210328779A1 (en) | Method and apparatus for fast symmetric authentication and session key establishment | |
| CN101313309B (zh) | 对加密数据进行访问控制和入侵检测的方法、装置和*** | |
| WO2014117648A1 (zh) | 应用访问方法和设备 | |
| CN105472030A (zh) | 一种基于iSCSI的远程镜像方法及*** | |
| CN105843669A (zh) | 一种基于tpm加密的虚拟机数据保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |