• / 10
  • 下載費用:30 金幣  

一種接入虛擬化桌面的多域切換系統及其多域切換方法.pdf

關 鍵 詞:
一種 接入 虛擬 桌面 切換 系統 及其 方法
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
摘要
申請專利號:

CN201210330535.6

申請日:

2012.09.10

公開號:

CN103679063A

公開日:

2014.03.26

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||實質審查的生效IPC(主分類):G06F 21/74申請日:20120910|||公開
IPC分類號: G06F21/74(2013.01)I; H04L29/06 主分類號: G06F21/74
申請人: 同方股份有限公司
發明人: 孫睿
地址: 100083 北京市海淀區清華同方科技廣場A座29層
優先權:
專利代理機構: 代理人:
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201210330535.6

授權公告號:

||||||

法律狀態公告日:

2016.09.14|||2014.04.23|||2014.03.26

法律狀態類型:

授權|||實質審查的生效|||公開

摘要

一種接入虛擬化桌面的多域切換系統及其多域切換方法,屬于計算機技術領域。本發明多域切換系統包括依次連接的多域終端系統、多域切換開關、遠程桌面身份認證和遠程桌面。多域切換開關包括依次連接的多域模塊、網絡認證網卡接口、外設掛接控制、數據控制和登錄認證控制。網絡認證網卡接口包括網卡接口一、網卡接口二和網卡接口三。外設掛接控制包括外設掛接接口一、外設掛接接口二和外設掛接接口三。數據控制包括導出模塊和導入模塊。登錄認證控制包括數量認證模塊以及分別與數量認證模塊連接的帳號密碼認證模塊、智能卡認證模塊。本發明能實現高性能的內外網隔離,其在終端計算設備中不留密,方便用戶在內外密網間的快速切換,并嚴格控制所接入設備的訪問權限防止泄密。

權利要求書

權利要求書
1.  一種接入虛擬化桌面的多域切換系統,其特征在于,它包括依次連接的多域終端系統(100)、多域切換開關(200)、遠程桌面身份認證(300)和遠程桌面(400),所述多域切換開關(200)包括依次連接的多域模塊(201)、網絡認證網卡接口(202)、外設掛接控制(203)、數據控制(204)和登錄認證控制(205),登錄認證控制(205)通過登錄遠程桌面身份認證(300)訪問遠程桌面(400),所述多域模塊(201)通過三根網線分別連接網絡認證網卡接口(202)中的三個網卡接口網卡接口一(202a)、網卡接口二(202b)和網卡接口三(202c);所述外設掛接控制(203)包括外設掛接接口一(203a)、外設掛接接口二(203b)和外設掛接接口三(203c);所述數據控制(204)包括導出模塊(204a)和導入模塊(240b);所述登錄認證控制(205)包括數量認證模塊(205a)以及分別與數量認證模塊(205a)連接的帳號密碼認證模塊(205b)、智能卡認證模塊(205c)。

2.  根據權利要求1所述的多域切換系統,其特征在于,所述多域模塊(201)根據網絡認證網卡接口(202)中網卡接口一(202a)、網卡接口二(202b)和網卡接口三(202c)處插入的網線性質即時更新網卡接口一(202a)、網卡接口二(202b)和網卡接口三(202c)所連接網絡的定義,分別定義為外網、內網和密網。

3.  根據權利要求1或2所述的多域切換系統,其特征在于,所述網絡認證網卡接口(202)中的網卡接口一(202a)、網卡接口二(202b)和網卡接口三(202c)通過連接網絡獲得網絡中DHCP服務器自動分配的IP地址,或者對三個網卡接口指定固定IP地址,并將所分配到的地址記錄提交給多域模塊(201)和外設掛接控制(203)存儲。

4.  根據權利要求3所述的多域切換系統,其特征在于,所述外設掛接接口一(203a)、外設掛接接口二(203b)和外設掛接接口三(203c)中掛接根據數據從屬和訪問的網絡判斷結果表明的該網絡和訪問可接入的硬件設備,根據預客戶環境定義的網絡地址分類進行判斷行成一一對應關系,外設掛接接口一(203a)、外設掛接接口二(203b)和外設掛接接口三(203c)用于不同設備和數量的掛接,實現區分不同網域可信接入設備的類型、數量和設備身份標識。

5.  如權利要求1所述的接入虛擬化桌面的多域切換系統的多域切換方法,它包括依次連接的多域終端系統(100)、多域切換開關(200)、遠程桌面身份認證(300)和遠程桌面(400),多域切換開關(200)包括依次連接的多域模塊(201)、網絡認證網卡接口(202)、外設掛接控制(203)、數據控制(204)和登錄認證控制(205),其方法步驟為:
多域終端系統(100)發出登錄遠程桌面(400)的申請;
多域切換開關(200)接收到登錄申請,并在多域切換開關(200)內部傳輸流程:
接到登錄申請的多域模塊(201)根據存儲的路徑設置判斷數據流向網絡認證網卡接口(202)中的哪一個網卡接口,同時切斷另兩個網卡接口通道;
由選擇的網卡接口將登錄申請和由網絡認證網卡接口(202)提交的所屬網絡分類記錄傳遞到外設掛接控制(203),外設掛接控制(203)根據預先存儲的相應網絡分類記錄所對應的設備掛接權限進行設備掛接控制;
數據控制(204)對數據進行流向控制,判斷數據是否可以導入或者導出;
登錄認證控制(205)判斷登錄請求信息,并轉發登錄請求和數據控制(204)轉發的數據到遠程桌面身份認證(300);
遠程桌面身份認證(300)對接收到的各種信息進行認證登錄,如果符合要求,則將通過登錄的授權轉發給遠程桌面(400),遠程桌面(400)提供遠程桌面給多域終端系統(100)。

說明書

說明書一種接入虛擬化桌面的多域切換系統及其多域切換方法
技術領域
 本發明屬于計算機技術領域,特別是操作系統中接入虛擬化桌面的多域切換系統及其多域切換方法。
背景技術
現有技術中,雙網隔離應用通常使用三種應用場景。其一,采用雙機一屏方式隔離內外網絡。既將內外網絡分別接入兩臺物理隔離的計算機,通過KVM線和KVM接換器與計算機連接,將鼠標、鍵盤、顯示器接入KVM,實現切換。其中U盤和光驅可接在計算機上,也可以接在KVM的USB共享接口上,實現內外網隔離。該方案存在的問題有,每增加一個網絡,每個用戶端需要增加1臺主機和若干連線,造成成本上揚和維護不便,KVM線和網線如果被調整,不易發現,U盤等外設可以在不同網域間穿梭造成數據泄密,電磁輻射較大,在計算設備方面較大的浪費電力,終端留存數據不符合涉密要求。
其二,采用雙網隔離機方式隔離內外網絡。既在計算機中安裝多網口網卡,實現在網卡上分離出內外密網。同時,根據網絡劃分的數量,在計算機中安裝多套組合,每套組合包括獨立的內存和硬盤以及OS,組合間共享CPU處理器,在操作系統中安裝軟件,實現組合切換,從而達到網絡、內存、硬盤和操作系統的內外網隔離。該方案在計算設備電力方面仍然有較大的浪費,同時無法控制通過U盤在終端進行泄密,終端留存數據不符合涉密要求。
其三,采用虛擬化技術,在不同的網絡建立虛擬化系統,通過終端與虛擬化系統連接。通過服務端虛擬化操作系統的桌面,讓終端進行遠程桌面訪問,終端不留密,上傳鼠標鍵盤I/O,下載視頻流。該方案在終端上沒有多網接入模塊,同時無法在終端實現多網切換,只有通過插拔不同網絡的網線到終端的唯一網口進行網絡切換,應用較麻煩。在數據泄密方面,雖然可以通過對遠程桌面的只讀控制防止數據寫入,通過禁止U盤、驅動器掛接實現數據防泄密。但是,無法在允許掛接U盤設備時進行讀寫控制,無法控制U盤數據寫入方向,造成用戶操作和使用的不便。
發明內容
為了克服上述現有技術中存在的問題,本發明的目的是提供一種接入虛擬化桌面的多域切換系統及其多域切換方法。它能實現高性能的內外網隔離,其在終端計算設備中不留密,方便用戶在內外密網間的快速切換,并嚴格控制所接入設備的訪問權限防止泄密。
為了達到上述發明目的,本發明的技術方案以如下方式實現:
一種接入虛擬化桌面的多域切換系統,其結構特點是,它包括依次連接的多域終端系統、多域切換開關、遠程桌面身份認證和遠程桌面。所述多域切換開關包括依次連接的多域模塊、網絡認證網卡接口、外設掛接控制、數據控制和登錄認證控制。登錄認證控制通過登錄遠程桌面身份認證訪問遠程桌面。多域模塊通過三根網線分別連接網絡認證網卡接口中的三個網卡接口網卡接口一、網卡接口二和網卡接口三。所述外設掛接控制包括外設掛接接口一、外設掛接接口二和外設掛接接口三。所述數據控制包括導出模塊和導入模塊。所述登錄認證控制包括數量認證模塊以及分別與數量認證模塊連接的帳號密碼認證模塊、智能卡認證模塊。
在上述多域切換系統中,所述多域模塊根據網絡認證網卡接口中網卡接口一、網卡接口二和網卡接口三處插入的網線性質即時更新網卡接口一、網卡接口二和網卡接口三所連接網絡的定義,分別定義為外網、內網和密網。
在上述多域切換系統中,所述網絡認證網卡接口中的網卡接口一、網卡接口二和網卡接口三通過連接網絡獲得網絡中DHCP服務器自動分配的IP地址,或者對三個網卡接口指定固定IP地址,并將所分配到的地址記錄提交給多域模塊和外設掛接控制存儲。
在上述多域切換系統中,所述外設掛接接口一、外設掛接接口二和外設掛接接口三中掛接根據數據從屬和訪問的網絡判斷結果表明的該網絡和訪問可接入的硬件設備,根據預客戶環境定義的網絡地址分類進行判斷行成一一對應關系。外設掛接接口一、外設掛接接口二和外設掛接接口三用于不同設備和數量的掛接,實現區分不同網域可信接入設備的類型、數量和設備身份標識。
如上所述的接入虛擬化桌面的多域切換系統的多域切換方法,它包括依次連接的多域終端系統、多域切換開關、遠程桌面身份認證和遠程桌面。多域切換開關包括依次連接的多域模塊、網絡認證網卡接口、外設掛接控制、數據控制和登錄認證控制,其方法步驟為:
多域終端系統發出登錄遠程桌面的申請;
多域切換開關接收到登錄申請,并在多域切換開關內部傳輸流程:
接到登錄申請的多域模塊根據存儲的路徑設置判斷數據流向網絡認證網卡接口中的哪一個網卡接口,同時切斷另兩個網卡接口通道;
由選擇的網卡接口將登錄申請和由網絡認證網卡接口提交的所屬網絡分類記錄傳遞到外設掛接控制,外設掛接控制根據預先存儲的相應網絡分類記錄所對應的設備掛接權限進行設備掛接控制;
數據控制對數據進行流向控制,判斷數據是否可以導入或者導出;
登錄認證控制判斷登錄請求信息,并轉發登錄請求和數據控制轉發的數據到遠程桌面身份認證;
遠程桌面身份認證對接收到的各種信息進行認證登錄,如果符合要求,則將通過登錄的授權轉發給遠程桌面,遠程桌面提供遠程桌面給多域終端系統。
本發明由于采用了上述結構和方法,通過多域終端的物理切換,實現網絡物理隔離。多域終端需要訪問后端的虛擬化系統,為用戶提供操作系統OS,保障了在終端不留密的要求,同時解決終端USB、光驅等數據泄密問題。本發明在終端只需要一臺多域終端,即可滿足多域網絡切換的要求,大量節省了采購、維護成本,減少了終端硬件設備的故障發生。本發明能顯著強化雙網隔離應用的計算性能,提高終端計算設備的使用率和性價比,降低雙網隔離需求帶來的計算成本增加。
下面結合附圖和具體實施方式對本發明做進一步說明。
附圖說明
    圖1為本發明的結構示意圖;
    圖2為本發明的方法步驟流程圖。
具體實施方式
參看圖1,本發明包括依次連接的多域終端系統100、多域切換開關200、遠程桌面身份認證300和遠程桌面400。多域切換開關200包括依次連接的多域模塊201、網絡認證網卡接口202、外設掛接控制203、數據控制204和登錄認證控制205。登錄認證控制205通過登錄遠程桌面身份認證300訪問遠程桌面400。多域模塊201通過三根網線分別連接網絡認證網卡接口202中的三個網卡接口網卡接口一202a、網卡接口二202b和網卡接口三202c。多域模塊201根據網絡認證網卡接口202中網卡接口一202a、網卡接口二202b和網卡接口三202c處插入的網線性質即時更新網卡接口一202a、網卡接口二202b和網卡接口三202c所連接網絡的定義,分別定義為外網、內網和密網。網絡認證網卡接口202中的網卡接口一202a、網卡接口二202b和網卡接口三202c通過連接網絡獲得網絡中DHCP服務器自動分配的IP地址,或者對三個網卡接口指定固定IP地址,并將所分配到的地址記錄提交給多域模塊201和外設掛接控制203存儲。外設掛接控制203包括外設掛接接口一203a、外設掛接接口二203b和外設掛接接口三203c。外設掛接接口一203a、外設掛接接口二203b和外設掛接接口三203c中掛接根據數據從屬和訪問的網絡判斷結果表明的該網絡和訪問可接入的硬件設備,根據預客戶環境定義的網絡地址分類進行判斷行成一一對應關系。外設掛接接口一203a、外設掛接接口二203b和外設掛接接口三203c用于不同設備和數量的掛接,實現區分不同網域可信接入設備的類型、數量和設備身份標識。數據控制204包括導出模塊204a和導入模塊240b。登錄認證控制205包括數量認證模塊205a以及分別與數量認證模塊205a連接的帳號密碼認證模塊205b、智能卡認證模塊205c。
上述本發明方案中所設的網卡接口為三個,如果設置更多的網卡接口還可以組建更多重的網絡訪問定義。本發明中的根據預客戶環境定義的網絡地址分類進行判斷行成一一對應關系,其中一一對應關系的設備及權限,需要在實施前與網絡定義,按用戶規劃進行一一對應設置。
參看圖2,本發明的多域切換方法步驟為:
多域終端系統100發出登錄遠程桌面400的申請。
多域切換開關200接收到登錄申請,并在多域切換開關200內部傳輸流程:
接到登錄申請的多域模塊201根據存儲的路徑設置判斷數據流向網絡認證網卡接口202中的哪一個網卡接口,同時切斷另兩個網卡接口通道。具體為,多域模塊201檢查存儲在其內部的轉發數據路徑設置,并提供一個可以由手動切換的開關,實現對轉發數據路徑物理接口的切換。多域模塊201執行一個查詢認證程序,根據存儲在內的預定義的網絡地址分配記錄,用來判斷網絡認證網卡接口202中的網卡接口一202a、網卡接口二202b和網卡接口三202c所連接的網絡分類認證和識別,在該處時時的更新三個網卡接口所連接網絡的定義,確定其為外網、內網還是密網。例如,用戶在網卡接口一202a處插入外網網線,則在多域模塊201處識別網卡接口一202a對應外網,如果用戶在網卡接口一202a中將網線從外網網線切換成內網網線,多域模塊201會更新對網卡接口一202a的記錄,并正確的更新記錄為網卡接口一202a對應為內網,達到對網絡進行識別。并根據在多域模塊201處的判斷確認在該路徑上轉發的數據內容分類,如外網數據不會被轉發到內網網絡中。數據轉發以獨占方式存在,既,如果設定數據轉發向網卡接口一202a時,物理切斷與網卡接口二202b和網卡接口三202c的所有通道,實現內外網隔離。以設置為數據轉發到網卡接口一202a為例,在經以上判斷和處理后,數據按設置被轉向網卡接口一202a。
由選擇的網卡接口將登錄申請和由網絡認證網卡接口202提交的所屬網絡分類記錄傳遞到外設掛接控制203,外設掛接控制203根據預先存儲的相應網絡分類記錄所對應的設備掛接權限進行設備掛接控制。其中網卡接口一202a、網卡接口二202b和網卡接口三202c擁有與各接口網絡連接的接口,并通過連接網絡獲得網絡中DHCP服務器自動分配的IP地址。并將所分配到的地址記錄,提交給多域模塊201和外設掛接控制203存儲,以便多域模塊201和外設掛接控制203識別三個網卡接口所代表的網絡分類。在外設掛接控制203處,收到用戶的數據和網絡認證網卡接口202提交的所屬網絡分類記錄時,根據預先存儲在外設掛接控制203處對應網絡分類記錄所對應的設備掛接權限,進行設備掛接控制。首先必須掛接外設掛接接口一203a,外設掛接接口一203a代表任意網絡必須掛接的外設設備類型,如鍵盤、鼠標,既,在外設掛接接口一203a對應的外設接口中,可以識別插入任意的鍵盤鼠標設備,但無法識別插入的U盤設備。同時在外設掛接接口一203a處,鍵盤、鼠標在插入的usb接口中明確定義了身份,既鍵盤不可以接入到鼠標usb接口,鼠標不可以接入到鍵盤usb接口中,實現了設備分類的定義。同時提供身份認證勢必定義,如果鼠標和鍵盤中帶有身份認證芯片,可以在外設掛接接口一203a處寫入身份認證key,支持對設備的身份唯一認證。數據在外設掛接接口一203a處向外設掛接接口二203b轉發。在外設掛接接口二203b處,根據數據從屬和訪問的網絡進行判斷,以判斷該網絡和訪問可接入的usb設備,如U盤、U移動硬盤或斜口的USB密盤是否可以在當前訪問中進行掛接或卸載。本發明應用時可考慮在外網環境下,全允許使用U盤和U移動硬盤,卸載斜口的USB密盤的掛接,實現介質級內外網隔離使用。此項可設置為可選項,如果沒有明確定義,將不掛接任何USB設備。根據判斷掛接相應設備后,將用戶數據、網絡分類和掛接設備內容轉發到外設掛接接口三203c處。在外設掛接接口三203c處,根據數據從屬和訪問的網絡進行判斷,以判斷該網絡和訪問可接入的sata設備,如光驅和解密芯片。在本發明應用時可考慮在外網環境下,彈出光驅光盤,以避免因切換造成的光驅數據被動泄密。如果配合加密光驅,可以在連接外網時,卸載對加密光驅中解密芯片和密鑰存儲的掛接,實現設備可用但無法造成數據解密。并將數據、網域分類和光驅、解密芯片的權限設置,提交給數據控制204。
數據控制204對數據進行流向控制,根據繼承的設備和權限設置,判斷U盤、光盤、終端硬盤數據判斷是否可以導入或者導出。具體實施時,可通過設置成單向導入,即導出模塊204a不工作,以防止數據導出泄密。如果為防止惡意程序感染后端操作系統,可禁止單向導入設置,即導入模塊204b不工作。在設置成單向導入情況下,數據控制204會將數據和登錄請求轉發給登錄認證控制205。如果禁止單向導入,數據控制204只會將登錄請求發送給登錄認證控制205。
登錄認證控制205判斷登錄請求信息,并轉發登錄請求和數據控制204轉發的數據到遠程桌面身份認證300。在登錄認證控制205處先經過數量認證模塊205a,以判斷登錄請求的認證數量,帳號密碼口令,以及是否包括token或智能卡信息。并根據判斷將數據轉發給帳號密碼認證模塊205b或智能卡認證模塊205c,其中帳號密碼認證模塊205b處理帳號密碼口令的登錄認證信息的轉發,智能卡認證模塊205c處理token和智能卡等認證信息的轉發。在識別后,登錄認證控制205將認證種類的數量、認證形式、認證信息和用戶數據轉發給遠程桌面身份認證300。
遠程桌面身份認證300對接收到的各種信息進行認證登錄,如果符合要求,則將通過登錄的授權轉發給遠程桌面400,遠程桌面400提供遠程桌面給多域終端系統100。
本發明與雙機一屏的技術方案相比,雙機一屏的方式中有兩臺機器一直處于低功率待機狀態,一臺在工作使用的計算機利用率也僅不足20%。而本發明的多域切換系統,僅需要一臺計算機,使用率可達90%,提高了利用率250%以上。

關于本文
本文標題:一種接入虛擬化桌面的多域切換系統及其多域切換方法.pdf
鏈接地址:http://www.pqsozv.live/p-6180570.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
钻石光影