[发明专利]一种基于国密加固的安全云桌面的实现方法

权利要求书

1.一种基于国密加固的安全云桌面的实现方法，其特征在于，包括如下步骤：

在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证，获取基于国密加固的http协议；

建立云桌面客户端与云桌面服务端之间的国密可信传输通道；

云桌面客户端基于国密加固的http协议调用openstack云平台RESTful接口对登陆用户进行鉴权，获取该登陆用户下所关联的云主机列表及云主机状态信息；

调用spice客户端；

openstack云平台接收云桌面客户端发送的http请求，并对云主机进行操作；

在基于spice协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS单向认证，建立spice客户端与spice服务端之间的国密可信传输通道；

spice客户端获取云桌面客户端设置的spice密码，通过基于国密加固的spice协议与spice服务端连接；

spice服务端在接收到spice客户端的请求后，通过openstack云平台下QEMU-kvm获取云主机信息，并将云主机信息通过基于国密加固的spice协议传输到云桌面客户端。

2.根据权利要求1所述的一种基于国密加固的安全云桌面的实现方法，其特征在于，所述步骤建立云桌面客户端与云桌面服务端之间的国密可信传输通道的方法，具体操作包括：

步骤S201、云桌面服务端向公共平台认证中心申请数字证书C1；

步骤S202、云桌面客户端向云桌面服务端发送SSL信息并产生随机数A1；其中，SSL信息包括云桌面客户端支持的SSL协议的版本及国密算法列表；

步骤S203、云桌面服务端接收SSL信息后，向云桌面客户端回应云桌面服务端所使用的SSL协议的版本及加密算法，并产生随机数B1，从云桌面服务端的秘钥库中取出要使用的SM2公钥，将SM2公钥及数字证书C1发送给云桌面客户端；

步骤S204、通过CA管理平台以及SM3国密算法验证云桌面客户端接收到的数字证书C1是否具有合法性及完整性；若是，则执行步骤S205；若否，则云桌面客户端返回不安全的警告信息，并断开与云桌面服务端之间的数据通信；

步骤S205、数字证书C1验证通过后，云桌面客户端向云桌面服务端发送云桌面客户端支持的SM4国密算法方案信息给云桌面服务端；

步骤S206、云桌面服务端接收云桌面客户端发送的SM4国密算法方案信息后，由于SM4国密算法的加密效率高，云桌面服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给云桌面客户端；

步骤S207、云桌面客户端根据随机数A1和随机数B1生成随机码R1，随机码R1作为SM4国密算法加解密的密钥，并使用收到的云桌面服务端的SM2公钥对随机码R1进行加密，获得加密随机码R11并发送给云桌面服务端；

步骤S208、云桌面服务端使用SM2私钥对加密随机码R11进行解密，以获得SM4国密算法的密钥R；

步骤S209、云桌面客户端与云桌面服务端之间基于国密算法SM2/SM3/SM4的TLS单向认证建立国密可信传输通道。

3.根据权利要求1所述的一种基于国密加固的安全云桌面的实现方法，其特征在于，所述步骤云桌面客户端基于国密加固的http协议调用openstack云平台RESTful接口对登陆用户进行鉴权，获取该登陆用户下所关联的云主机列表及各云主机对应的状态信息之前，还包括：

在openstack云平台创建云主机，云主机对应关联openstack云平台的登陆用户。

4.根据权利要求3所述的一种基于国密加固的安全云桌面的实现方法，其特征在于，所述步骤在openstack云平台创建云主机，云主机对应关联openstack云平台的登陆用户之前，还包括：

在云桌面服务端搭建openstack云平台。

5.根据权利要求3所述的一种基于国密加固的安全云桌面的实现方法，其特征在于，所述步骤在openstack云平台创建云主机，云主机对应关联openstack云平台的登陆用户之前，还包括：

部署云桌面客户端。