一種面向虛擬桌面資源保護的動態(tài)連接控制方法
【專利摘要】本發(fā)明公開了一種面向虛擬桌面資源保護的動態(tài)連接控制方法，該動態(tài)連接控制方法包括以下步驟：用戶操作終端與虛擬桌面服務器建立連接的過程和用戶操作終端與虛擬桌面服務器拆除連接的過程，該方法能夠有效的在用戶操作終端與虛擬桌面服務器之間加以隔離，使用戶操作終端對虛擬桌面系統(tǒng)的連接和登錄必須經(jīng)過虛擬桌面管理平臺認證，保證虛擬桌面管理機制的有效性。
【專利說明】
一種面向虛擬桌面資源保護的動態(tài)連接控制方法
技術(shù)領域
[0001]本發(fā)明涉及信息安全技術(shù)領域，尤其涉及一種在虛擬桌面環(huán)境下準入控制的裝置。
【背景技術(shù)】
[0002]虛擬桌面技術(shù)是一種實現(xiàn)應用終端集中化的可行技術(shù)手段，通過虛擬桌面技術(shù)可以使原來分散的數(shù)據(jù)處理和存儲集中化成為可能。在數(shù)據(jù)處理和存儲實現(xiàn)集中化的同時，用戶可以通過多種類的、多位置的訪問手段來訪問虛擬桌面中的數(shù)據(jù)。用戶操作終端與虛擬桌面服務器之間依靠虛擬桌面協(xié)議進行通信。
[0003]應用虛擬桌面技術(shù)具有安全性、保密性的優(yōu)點，但是用戶操作終端因為蠕蟲或DDOS攻擊等，會導致虛擬桌面這邊的網(wǎng)絡性能下降。而且用戶如果不守規(guī)矩，可以直接用虛擬桌面的IP地址和知道的用戶名/ 口令遠程連接到虛擬桌面，完全不經(jīng)過虛擬桌面管理平臺，使虛擬管理平臺不知道它管理的資源是否被占用了還空閑著。因此需要設計方法，能夠?qū)⒂脩舨僮鹘K端和虛擬桌面加以隔斷并截獲用戶的操作控制其整個對虛擬桌面的數(shù)據(jù)訪問過程。

【發(fā)明內(nèi)容】

[0004]本發(fā)明解決的技術(shù)問題在于提出一種面向虛擬桌面資源保護的動態(tài)連接控制方法，提高虛擬桌面環(huán)境下的數(shù)據(jù)安全性。在虛擬桌面環(huán)境下，用戶操作終端和虛擬桌面服務器之間，部署有相應的虛擬桌面管理平臺以及虛擬桌面隔離和準入控制系統(tǒng)。
[0005]為了解決以上問題，一種面向虛擬桌面資源保護的動態(tài)連接控制方法，包括以下步驟:
虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接認證請求并轉(zhuǎn)交到虛擬桌面管理平臺；
虛擬桌面管理平臺分析認證后調(diào)度虛擬桌面資源并將用戶此次的連接標識返回給虛擬桌面隔離和準入控制系統(tǒng)；
虛擬桌面隔離和準入控制系統(tǒng)完成用戶操作終端到虛擬桌面的具有用戶身份連接標識的連接；
用戶操作終端斷開此次連接，虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接拆除行為并轉(zhuǎn)交到虛擬桌面管理平臺；
虛擬桌面管理平臺分析后收回虛擬桌面資源并通知虛擬桌面隔離和準入控制系統(tǒng)斷開用戶此次到虛擬桌面的連接；
虛擬桌面隔離和準入控制系統(tǒng)拒絕用戶操作終端到虛擬桌面任何未經(jīng)認證的連接。
[0006]進一步，作為一種優(yōu)選，為了降低應用的復雜性，用戶操作終端從虛擬桌面服務器獲取虛擬桌面服務的過程有兩個階段:連接建立階段和拆除斷開階段。
[0007]進一步，作為一種優(yōu)選，所述虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接認證請求并轉(zhuǎn)交到虛擬桌面管理平臺步驟進一步包括:虛擬桌面隔離和準入控制系統(tǒng)保證用戶操作終端不會對虛擬桌面造成干擾，從而阻斷用戶操作終端自身的不安全問題傳播或傳染到虛擬桌面系統(tǒng)。
[0008]進一步，作為一種優(yōu)選，所述虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接認證請求并轉(zhuǎn)交到虛擬桌面管理平臺步驟進一步包括:虛擬桌面隔離和準入控制系統(tǒng)防止用戶通過操作終端不經(jīng)過認證就連接并訪問虛擬桌面，導致虛擬桌面資源被濫用，管理失控。
[0009]進一步，作為一種優(yōu)選，所述虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接認證請求并轉(zhuǎn)交到虛擬桌面管理平臺步驟進一步包括:在連接建立階段，用戶操作終端向虛擬桌面隔離和準入控制系統(tǒng)發(fā)起的連接認證，認證方法不僅包括用戶名身份證，還可以支持數(shù)字證書，動態(tài)口令等方式。
[0010]進一步，作為一種優(yōu)選，所述虛擬桌面管理平臺分析認證后調(diào)度虛擬桌面資源并將用戶此次的連接標識返回給虛擬桌面隔離和準入控制系統(tǒng)步驟進一步包括:連接標識中用戶操作終端的特征信息可以是硬盤標識，網(wǎng)卡地址等硬件信息或這些信息的綜合。
[0011]進一步，作為一種優(yōu)選，所述虛擬桌面隔離和準入控制系統(tǒng)完成用戶操作終端到虛擬桌面的具有用戶身份連接標識的連接步驟進一步包括:虛擬桌面隔離和準入控制系統(tǒng)應當保證在用戶操作終端到虛擬桌面的連接過程中能夠?qū)鬏數(shù)拿恳粭l信息進行過濾，以確保該方法無法被旁路或繞開。
[0012]進一步，作為一種優(yōu)選，虛擬桌面管理平臺分析后收回虛擬桌面資源并通知虛擬桌面隔離和準入控制系統(tǒng)斷開用戶此次到虛擬桌面連接的步驟進一步包括:虛擬桌面管理平臺取消用戶操作終端到虛擬桌面的連接信息，虛擬桌面隔離和準入控制系統(tǒng)查不到用戶操作終端的連接信息將拒絕用戶對虛擬桌面的直接訪問。
[0013]進一步，作為一種優(yōu)選，虛擬桌面隔離和準入控制系統(tǒng)拒絕用戶操作終端到虛擬桌面任何未經(jīng)認證的連接的步驟包括，如果用戶不通過操作終端向虛擬桌面隔離和準入控制系統(tǒng)發(fā)出連接請求，即使用戶知道要訪問的虛擬桌面的IP地址、用戶名和口令字等，也無法繞過虛擬桌面隔離和準入控制系統(tǒng)私自連接并訪問虛擬桌面系統(tǒng)。
[0014]本發(fā)明的有益效果在于，第一，防止用戶通過操作終端不經(jīng)過認證就連接并訪問虛擬桌面，導致虛擬桌面資源被濫用，管理失控;第二，認證方法不僅包括用戶名身份證，還可以支持數(shù)字證書，動態(tài)口令等方式;第三，此結(jié)構(gòu)支持對用戶操作終端的網(wǎng)絡準入控制，比如只允許具有某些特征的用戶操作終端連接到虛擬桌面，這些特征可以是硬盤標識，網(wǎng)卡地址等硬件信息或這些信息的綜合;第四，可以阻斷用戶操作終端對虛擬桌面系統(tǒng)的干擾和破壞，比如病毒木馬感染，DDOS攻擊的影響等。綜上，這種方法能夠有效將用戶操作終端和虛擬桌面之間的網(wǎng)絡加以隔離，保障虛擬桌面管理機制的有效性。
【附圖說明】
[0015]當結(jié)合附圖考慮時，通過參照下面的詳細描述，能夠更完整更好地理解本發(fā)明以及容易得知其中許多伴隨的優(yōu)點，但此處所說明的附圖用來提供對本發(fā)明的進一步理解，構(gòu)成本發(fā)明的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當限定。
[0016]圖1是本發(fā)明中連接建立階段的流程圖。
[0017]圖2是本發(fā)明中拆除斷開階段的流程圖。
【具體實施方式】
[0018]以下參照圖1、圖2對本發(fā)明的實施例進行說明。
[0019]為使上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖和【具體實施方式】對本發(fā)明作進一步詳細的說明。
[0020]—種面向虛擬桌面資源保護的動態(tài)連接控制方法，包括以下步驟:
虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接認證請求并轉(zhuǎn)交到虛擬桌面管理平臺；
虛擬桌面管理平臺分析認證后調(diào)度虛擬桌面資源并將用戶此次的連接標識返回給虛擬桌面隔離和準入控制系統(tǒng)；
虛擬桌面隔離和準入控制系統(tǒng)完成用戶操作終端到虛擬桌面的具有用戶身份連接標識的連接；
用戶操作終端斷開此次的連接，虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接拆除行為并轉(zhuǎn)交到虛擬桌面管理平臺；
虛擬桌面管理平臺分析后收回虛擬桌面資源并通知虛擬桌面隔離和準入控制系統(tǒng)斷開用戶此次到虛擬桌面的連接；
虛擬桌面隔離和準入控制系統(tǒng)拒絕用戶操作終端到虛擬桌面任何未經(jīng)認證的連接。
[0021]實施例一:
一種面向虛擬桌面資源保護的動態(tài)連接控制方法在企業(yè)云服務中的應用，包括以下步驟:
51、用戶向企業(yè)的虛擬桌面隔離和準入控制系統(tǒng)發(fā)起認證請求；
52、虛擬桌面隔離和準入控制系統(tǒng)將請求轉(zhuǎn)交給企業(yè)的虛擬桌面管理平臺；
53、虛擬桌面管理平臺認證后，調(diào)動企業(yè)內(nèi)部的虛擬桌面資源并通知虛擬桌面隔離和準入控制系統(tǒng)允許建立虛擬桌面到用戶操作終端的連接；
54、虛擬桌面隔離和準入控制系統(tǒng)作為橋梁將用戶操作終端和虛擬桌面連接起來；
55、用戶斷開連接，虛擬桌面隔離和準入控制系統(tǒng)將用戶此操作轉(zhuǎn)交給虛擬桌面管理平臺；
56、虛擬桌面管理平臺接收后，通知虛擬桌面隔離和準入控制系統(tǒng)不再允許用戶操作終端到虛擬桌面的連接；
57、虛擬桌面隔離和準入控制系統(tǒng)拒絕用戶未經(jīng)認證的連接。
[0022]實施例二:
一種面向虛擬桌面資源保護的動態(tài)連接控制方法在部隊云服務中的應用，包括以下步驟:
51、用戶向部隊的虛擬桌面隔離和準入控制系統(tǒng)發(fā)起認證請求；
52、虛擬桌面隔離和準入控制系統(tǒng)將請求轉(zhuǎn)交給部隊的虛擬桌面管理平臺；
53、虛擬桌面管理平臺認證后，調(diào)動部隊內(nèi)部的虛擬桌面資源并通知虛擬桌面隔離和準入控制系統(tǒng)允許建立虛擬桌面到用戶操作終端的連接； 54、虛擬桌面隔離和準入控制系統(tǒng)作為橋梁將用戶操作終端和虛擬桌面連接起來；
55、用戶斷開連接，虛擬桌面隔離和準入控制系統(tǒng)將用戶此操作轉(zhuǎn)交給虛擬桌面管理平臺；
56、虛擬桌面管理平臺接收后，通知虛擬桌面隔離和準入控制系統(tǒng)不再允許用戶操作終端到虛擬桌面的連接；
57、虛擬桌面隔離和準入控制系統(tǒng)拒絕用戶未經(jīng)認證的連接。
[0023]實施例三:
一種面向虛擬桌面資源保護的動態(tài)連接方法在高校云服務中的應用，包括以下步驟:
51、用戶向高校的虛擬桌面隔離和準入控制系統(tǒng)發(fā)起認證請求；
52、虛擬桌面隔離和準入控制系統(tǒng)將請求轉(zhuǎn)交給高校的虛擬桌面管理平臺；
53、虛擬桌面管理平臺認證后，調(diào)動高校內(nèi)部的虛擬桌面資源并通知虛擬桌面隔離和準入控制系統(tǒng)允許建立虛擬桌面到用戶操作終端的連接；
54、虛擬桌面隔離和準入控制系統(tǒng)作為橋梁將用戶操作終端和虛擬桌面連接起來；
55、用戶斷開連接，虛擬桌面隔離和準入控制系統(tǒng)將用戶此操作轉(zhuǎn)交給虛擬桌面管理平臺；
56、虛擬桌面管理平臺接收后，通知虛擬桌面隔離和準入控制系統(tǒng)不再允許用戶操作終端到虛擬桌面的連接；
57、虛擬桌面隔離和準入控制系統(tǒng)拒絕用戶未經(jīng)認證的連接。
[0024]如上所述，對本發(fā)明的實施例進行了詳細地說明，但是只要實質(zhì)上沒有脫離本發(fā)明的發(fā)明點及效果可以有很多的變形，這對本領域的技術(shù)人員來說是顯而易見的。因此，這樣的變形例也全部包含在本發(fā)明的保護范圍之內(nèi)。
【主權(quán)項】
1.一種面向虛擬桌面資源保護的動態(tài)連接控制方法，其特征在于，包括以下步驟: 第一階段，亦即虛擬桌面的連接建立階段，包括以下步驟: 用戶操作終端發(fā)出連接虛擬桌面的認證請求； 虛擬桌面隔離和準入控制系統(tǒng)截獲所述用戶操作終端的連接認證請求并轉(zhuǎn)交到虛擬桌面管理平臺； 所述虛擬桌面管理平臺分析認證后調(diào)度虛擬桌面資源并將用戶此次的連接標識返回給所述虛擬桌面隔離和準入控制系統(tǒng)； 所述虛擬桌面隔離和準入控制系統(tǒng)完成用戶操作終端到虛擬桌面的具有用戶身份連接標識的連接； 第二階段，亦即虛擬桌面的拆除斷開階段，包括以下步驟: 用戶操作終端發(fā)出斷開此次連接的請求； 虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接拆除行為并轉(zhuǎn)交到虛擬桌面管理平臺； 所述虛擬桌面管理平臺分析后收回虛擬桌面資源并通知虛擬桌面隔離和準入控制系統(tǒng)斷開用戶此次到虛擬桌面的連接； 所述虛擬桌面隔離和準入控制系統(tǒng)拒絕用戶操作終端到虛擬桌面任何未經(jīng)認證的連接。2.—種將如權(quán)利要求1所述的面向虛擬桌面資源保護的動態(tài)連接控制方法應用于虛擬桌面服務的方法，所述虛擬桌面服務包含兩個階段:虛擬桌面連接建立階段和虛擬桌面拆除斷開階段，其中虛擬桌面連接建立階段主要完成用戶操作終端與虛擬桌面服務器之間通過虛擬桌面隔離和準入控制系統(tǒng)和虛擬桌面管理平臺建立動態(tài)連接的過程，當用戶操作終端斷開此次連接后，會進入虛擬桌面的拆除斷開階段，使用戶操作終端須再次發(fā)送認證請求才能連接虛擬桌面系統(tǒng)。3.根據(jù)權(quán)利要求1所述的一種面向虛擬桌面資源保護的動態(tài)連接控制方法，其特征在于，用戶操作終端與虛擬桌面服務器之間，由虛擬桌面隔離和準入控制系統(tǒng)來加以隔離并控制連接拆除過程，并由虛擬桌面管理平臺來認證并調(diào)度虛擬桌面資源。4.根據(jù)權(quán)利要求1所述的虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接認證請求并轉(zhuǎn)交到虛擬桌面管理平臺步驟，進一步包含:用戶操作終端向虛擬桌面隔離和準入控制系統(tǒng)發(fā)起認證請求，虛擬桌面隔離和準入控制系統(tǒng)截獲后并不立刻建立用戶操作終端到虛擬桌面的連接，而是暫時掛起并將請求轉(zhuǎn)交給虛擬桌面管理平臺處理。5.根據(jù)權(quán)利要求4所述的虛擬桌面隔離和準入控制系統(tǒng)截獲用戶操作終端的連接認證請求并轉(zhuǎn)交到虛擬桌面管理平臺步驟，進一步包含:認證方法不僅包括用戶名/密碼，還可以支持數(shù)字證書，動態(tài)口令等方式。6.根據(jù)權(quán)利要求1所述的虛擬桌面管理平臺分析認證后調(diào)度虛擬桌面資源并將用戶此次的連接標識返回給虛擬桌面隔離和準入控制系統(tǒng)步驟，進一步包括:虛擬桌面管理平臺根據(jù)從連接請求中解析得到的用戶身份信息和當前終端的身份信息，生成相應的連接標識，將從虛擬桌面服務器中找到適合分配給該用戶操作終端的虛擬桌面信息和連接標識一起返回給虛擬桌面隔離和準入控制系統(tǒng)。7.根據(jù)權(quán)利要求6所述的虛擬桌面管理平臺分析認證后調(diào)度虛擬桌面資源并將用戶此次的連接標識返回給虛擬桌面隔離和準入控制系統(tǒng)步驟，進一步包括:當前終端的身份信息可以是其硬盤標識、網(wǎng)卡地址等硬件信息或這些信息的綜合。8.根據(jù)權(quán)利要求1所述的虛擬桌面隔離和準入控制系統(tǒng)完成用戶操作終端到虛擬桌面的具有用戶身份連接標識的連接步驟，進一步包括:虛擬桌面隔離和準入控制系統(tǒng)根據(jù)接收到的信息，建立一條支持從用戶操作終端到虛擬桌面的連接，于是用戶就可以連接并登錄使用該虛擬桌面了。9.根據(jù)權(quán)利要求書8所述的一條支持從用戶操作終端到虛擬桌面的連接，虛擬桌面隔離和準入控制系統(tǒng)會對連接上傳輸?shù)拿恳粭l信息進行過濾，以確保該方法無法被旁路或繞開，將用戶操作終端和虛擬桌面在網(wǎng)絡的物理層面上加以隔離。10.根據(jù)權(quán)利要求書I所述的虛擬桌面隔離和準入控制系統(tǒng)拒絕用戶操作終端到虛擬桌面任何未經(jīng)認證的連接步驟進一步包括:虛擬桌面隔離和準入控制系統(tǒng)接收虛擬桌面管理平臺的斷開連接通知后，拆除該連接，用戶即使知道該虛擬桌面的IP地址、用戶名/ 口令字也不再可能私自連接到虛擬桌面。11.一種能有效隔離用戶操作終端和虛擬桌面并保證了虛擬桌面管理機制有效性的動態(tài)連接管理裝置，該裝置包括: 一個及以上的服務器，在服務器上實施硬件虛擬化技術(shù)，虛擬出多個虛擬機，所述虛擬機上部署虛擬桌面系統(tǒng)； 一個及以上的用戶操作終端，用戶在終端操作平臺上操作，訪問所述虛擬桌面系統(tǒng)，并發(fā)送數(shù)據(jù)交換的請求； 虛擬桌面管理平臺，部署在所述虛擬桌面和用戶操作終端間； 虛擬桌面隔離和準入控制系統(tǒng)，部署在所述虛擬桌面和用戶操作終端間； 所述虛擬桌面隔離和準入控制系統(tǒng)作為虛擬桌面服務的代理，截獲用戶終端發(fā)向虛擬桌面服務器的連接請求并轉(zhuǎn)交到虛擬桌面管理平臺，虛擬桌面管理平臺依據(jù)連接請求中的身份信息分析適合分配給該用戶操作終端的虛擬桌面，通知虛擬桌面隔離和準入控制系統(tǒng)建立一條支持從用戶操作終端到虛擬桌面的連接； 所述虛擬桌面隔離和準入控制系統(tǒng)作為虛擬桌面服務的代理，在虛擬桌面服務器響應用戶操作終端連接請求后，會截獲并過濾用戶操作終端和虛擬桌面該之間的信息流，在兩者之間起到一個隔斷的作用； 虛擬桌面隔離和準入控制系統(tǒng)作為虛擬桌面服務的代理，在截獲到用戶操作終端斷開連接的操作后，會轉(zhuǎn)交給虛擬桌面管理平臺取消該用戶虛擬桌面隔離和準入控制系統(tǒng)上對虛擬桌面的連接，拆除該連接后用戶無法再私自連接虛擬桌面。
【文檔編號】G06F21/31GK106022146SQ201610349588
【公開日】2016年10月12日
【申請日】2016年5月24日
【發(fā)明人】李曉勇
【申請人】北京朋創(chuàng)天地科技有限公司