基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)及其安全訪問控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)及其安全訪問控制方法。
【背景技術(shù)】
[0002]云計算是一種基于計算機(jī)網(wǎng)絡(luò)的以服務(wù)方式提供的新型計算模式,是面向服務(wù)計算模型的發(fā)展,使服務(wù)使用者通過網(wǎng)絡(luò)訪問集中的共享計算資源(如服務(wù)器、存儲、網(wǎng)絡(luò)、應(yīng)用、服務(wù)等),其計算資源是動態(tài)、可伸縮且被虛擬化的,使服務(wù)提供者僅需最少的管理交互工作即可實現(xiàn)計算資源的柔性供應(yīng)與快速發(fā)布。
[0003]云桌面技術(shù)又稱為虛擬桌面或者桌面云技術(shù),它能夠在云端為用戶提供遠(yuǎn)程的計算機(jī)桌面服務(wù)。服務(wù)提供者在數(shù)據(jù)中心服務(wù)器上運(yùn)行用戶所需的操作系統(tǒng)和應(yīng)用軟件,然后采用桌面顯示協(xié)議將操作系統(tǒng)桌面視圖以圖像的方式傳送到用戶端設(shè)備上。同時,服務(wù)器將對用戶端的輸入進(jìn)行處理,并隨時更新桌面視圖的內(nèi)容。
[0004]近年來,云桌面技術(shù)得到了迅速發(fā)展,云桌面平臺可以管理所提供的資源或服務(wù),以確??捎眯浴踩唾|(zhì)量等。傳統(tǒng)云桌面系統(tǒng)中客戶端對于虛擬機(jī)的訪問是分布式的,無法實現(xiàn)集中訪問和控制,而且訪問虛擬機(jī)的過程需要涉及內(nèi)部網(wǎng)絡(luò),無法提供統(tǒng)一的安全入口,也無法提供合理的端口映射管理。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)及其安全訪問控制方法,提供統(tǒng)一安全入口屏蔽內(nèi)部網(wǎng)絡(luò),支持集群由管理節(jié)點調(diào)度分發(fā)請求,采用令牌機(jī)制映射端口并保持連接,保證客戶端接入的可管理性;客戶端與應(yīng)用服務(wù)器之間實現(xiàn)網(wǎng)絡(luò)隔離,即客戶端與應(yīng)用服務(wù)器設(shè)置在不同網(wǎng)段,使客戶端無法直接訪問應(yīng)用服務(wù)器,只能通過虛擬機(jī)訪問應(yīng)用服務(wù)器資源,確保虛擬化資源的安全性。
[0006]本發(fā)明的目的是通過以下技術(shù)方案來實現(xiàn)的:基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng),它包括DCSS管理控制臺、SAG安全網(wǎng)關(guān)、VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)、遠(yuǎn)程桌面、物理硬件資源池和多個訪問終端,各訪問終端分別通過通信網(wǎng)絡(luò)與DCSS管理控制臺連接,DCSS管理控制臺與遠(yuǎn)程桌面相連接;DCSS管理控制臺還分別通過SAG安全網(wǎng)關(guān)和VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)與交換機(jī)相連,交換機(jī)與物理硬件資源池連接;
所述的DCSS管理控制臺針對虛擬化資源進(jìn)行管理,提供管理員及用戶兩種視圖,以滿足不同用戶對桌面管理的需求及個性定制;
所述的SAG安全網(wǎng)關(guān)提供對虛擬機(jī)遠(yuǎn)程管理連接的集中訪問控制,實現(xiàn)對內(nèi)部虛擬桌面訪問地址的管理,并為用戶訪問提供統(tǒng)一的、外部可訪問的安全地址;支持HA高可用集群部署,提供互聯(lián)網(wǎng)訪問服務(wù),并提供訪問審計服務(wù)及安全訪問記錄查詢、分析功能;
SAG安全網(wǎng)關(guān)提供統(tǒng)一安全入口,屏蔽內(nèi)部網(wǎng)絡(luò),采用Iinux防火墻NAT技術(shù)建立外部連接端口與內(nèi)網(wǎng)網(wǎng)絡(luò)的映射;支持集群,由管理節(jié)點調(diào)度分發(fā)請求,采用靈活的架構(gòu)及部署方式,支持多個管理節(jié)點和多個Agent節(jié)點架構(gòu),管理節(jié)點及Agent分開部署或部署在同一服務(wù)器上;采用令牌機(jī)制,每個客戶端接入時派發(fā)令牌,令牌存在時限,需要接入端續(xù)租保持令牌激活;具有管理接口,通過管理接口實現(xiàn)客戶端接入連接的中斷;Agent節(jié)點擁有一組端口集合,在建立連接規(guī)則時,隨機(jī)從端口集合中選取端口進(jìn)行映射,每次連接請求獲得的端口是動態(tài)的,連接結(jié)束直接釋放;SAG安全網(wǎng)關(guān)包括SAG主管理節(jié)點和SAG節(jié)點集群,SAG主管理節(jié)點提供管理接口、實現(xiàn)令牌續(xù)租、第三方應(yīng)用管理和接入連接管理;SAG節(jié)點集群提供連接NAT映射和連接規(guī)則管理功能;
所述的VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)實現(xiàn)物理硬件資源的軟件虛擬化,形成虛擬資源池,實現(xiàn)服務(wù)器虛擬化統(tǒng)一管理和動態(tài)資源調(diào)配,既用于幫助用戶快速構(gòu)建一體化、高質(zhì)量的云計算IaaS基礎(chǔ)設(shè)施服務(wù)體系,又用于支撐上層應(yīng)用,形成云計算應(yīng)用解決方案;
所述的遠(yuǎn)程桌面用于實現(xiàn)遠(yuǎn)程桌面通信,遠(yuǎn)程桌面結(jié)合SAG安全網(wǎng)關(guān)提供通信鏈路加
tM
I_L| O
[0007]所述的訪問終端包括PC終端、瘦客戶終端和移動終端。
[0008]基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng),還包括目錄服務(wù)子系統(tǒng),目錄服務(wù)子系統(tǒng)與DCSS管理控制臺連接,目錄服務(wù)子系統(tǒng)用于提供身份、組織及安全證書管理服務(wù),提供用戶基礎(chǔ)數(shù)據(jù)。
[0009]基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)的安全訪問控制方法,它包括以下步驟:
51:DCSS管理控制臺訪問VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)獲取虛擬機(jī)啟動時注冊到VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)中的宿主機(jī)IP,以及映射端口 PORT ;
52:DCSS管理控制臺調(diào)用SAG安全網(wǎng)關(guān)提供的REST服務(wù)進(jìn)行NAT映射,獲取本次連接的令牌TOKEN,外部訪問IP和外部訪問端口 ;通過NAT映射,訪問終端只能訪問SAG集群中外部IP集合,屏蔽虛擬環(huán)境中的網(wǎng)絡(luò);
53:DCSS管理控制臺組合參數(shù),進(jìn)行編碼后返回給訪問終端;
54:訪問終端解析參數(shù),獲取IP地址以及端口,建立遠(yuǎn)程訪問連接,訪問虛擬機(jī);
55:客戶定時向SAG安全網(wǎng)關(guān)發(fā)送令牌TOKEN進(jìn)行續(xù)租,從而保持連接;
56:SAG安全網(wǎng)關(guān)定時進(jìn)行掃描,清除過期的令牌TOKEN,刪除NAT映射規(guī)則,釋放端口資源。
[0010]基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)的安全訪問控制方法,還包括一個部署訪問終端與應(yīng)用服務(wù)器網(wǎng)絡(luò)的步驟:
(1)將訪問終端與應(yīng)用服務(wù)器設(shè)置于不同網(wǎng)段,以使訪問終端無法直接訪問應(yīng)用服務(wù)器上的數(shù)據(jù);
(2)將訪問終端與物理硬件資源池內(nèi)的物理資源服務(wù)器設(shè)置于同一網(wǎng)段,以使訪問終端能夠直接訪問物理資源服務(wù)器;
(3)將物理資源服務(wù)器上運(yùn)行的虛擬機(jī)與應(yīng)用服務(wù)器設(shè)置于同一網(wǎng)段,以使虛擬機(jī)能夠直接訪問應(yīng)用服務(wù)器;
(4)訪問終端只能通過物理資源服務(wù)器訪問虛擬機(jī),才能訪問應(yīng)用服務(wù)器上的數(shù)據(jù)。
[0011]本發(fā)明的有益效果是:
I)本發(fā)明采用I inux防火墻NAT技術(shù)建立了外部連接端口與內(nèi)網(wǎng)網(wǎng)絡(luò)的映射,提供了統(tǒng)一安全入口屏蔽內(nèi)部網(wǎng)絡(luò);
支持集群,采用靈活的架構(gòu)以及靈活的部署方式,支持多個管理節(jié)點加多個Agent節(jié)點的架構(gòu),管理節(jié)點以及Agent節(jié)點可以分開部署,或者部署在同一服務(wù)服務(wù)器上,由管理節(jié)點調(diào)度分發(fā)請求;
采用令牌機(jī)制映射端口并保持連接,每個客戶端接入時派發(fā)令牌,令牌存在時限,需要接入端續(xù)租保持令牌alive,另外可通過管理接口實時中斷客戶端的接入連接,保證了客戶端接入和連接的可管理性。
[0012]2)本發(fā)明客戶端與應(yīng)用服務(wù)器之間實現(xiàn)網(wǎng)絡(luò)隔離,即客戶端與應(yīng)用服務(wù)器設(shè)置在不同網(wǎng)段,使得客戶端無法直接訪問應(yīng)用服務(wù)器,只能通過虛擬機(jī)訪問應(yīng)用服務(wù)器資源,確保了虛擬化資源的安全性。
[0013]3)在DCSS產(chǎn)品解決方案中,目錄服務(wù)系統(tǒng)為DCSS系統(tǒng)提供用戶基礎(chǔ)數(shù)據(jù),保障DCSS產(chǎn)品與企業(yè)的4A產(chǎn)品具有良好的集成性。
[0014]4) SAG安全網(wǎng)關(guān)通過對內(nèi)部虛擬桌面訪問地址的管理,并對企業(yè)員工訪問提供統(tǒng)一的、外部可訪問的安全地址,進(jìn)一步保障了企業(yè)IAAS服務(wù)資源訪問的安全性。
[0015]5) SAG安全網(wǎng)關(guān)支持HA高可用集群部署,可提供互聯(lián)網(wǎng)訪問服務(wù),并提供訪問審計服務(wù),可供管理員進(jìn)行安全訪問記錄查詢、分析。
[0016]6)VSIP虛擬化基礎(chǔ)架構(gòu)系統(tǒng)實現(xiàn)了服務(wù)器虛擬化統(tǒng)一管理和動態(tài)資源調(diào)配,既可以用于幫助用戶快速構(gòu)建一體化、高質(zhì)量的企業(yè)級或互聯(lián)網(wǎng)數(shù)據(jù)中心云計算IaaS基礎(chǔ)設(shè)施服務(wù)體系,又可以用于支撐桌面云、并行計算框架、仿真測試等上層應(yīng)用,形成專門的云計算應(yīng)用解決方案。
[0017]7)云桌面結(jié)合SAG安全網(wǎng)關(guān)提供通信鏈路加密,提高了遠(yuǎn)程桌面管理的安全性。
【附圖說明】
[0018]圖1為基于安全網(wǎng)關(guān)的75Γ桌面管理系統(tǒng)架構(gòu)圖;
圖2為本發(fā)明安全訪問控制方法流程圖。
【具體實施方式】
[0019]下面結(jié)合附圖進(jìn)一步詳細(xì)描述本發(fā)明的技術(shù)方案,但本發(fā)明的保護(hù)范圍不局限于以下所述。
[0020]如圖1所示,基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng),它包括DCSS管理控制臺、SAG安全網(wǎng)關(guān)、VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)、遠(yuǎn)程桌面、物理硬件資源池和多個訪問終端,各訪問終端分別通過通信網(wǎng)絡(luò)與DCSS管理控制臺連接,DCSS管理控制臺與遠(yuǎn)程桌面相連接;DCSS管理控制臺還分別通過SAG安全網(wǎng)關(guān)和VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)與交換機(jī)相連,交換機(jī)與物理硬件資源池連接;
所述的DCSS管理控制臺針對虛擬化資源進(jìn)行管理,提供管理員及用戶兩種視圖,以滿足不同用戶對桌面管理的需求及個性定制;
所述的SAG安全網(wǎng)關(guān)提供對虛擬機(jī)遠(yuǎn)程管理連接的集中訪問控制,實現(xiàn)對內(nèi)部虛擬桌面訪問地址的管理,并為用戶訪問提供統(tǒng)一的、外部可訪問的安全地址;支持HA高可用集群部署,提供互聯(lián)網(wǎng)訪問服務(wù),并提供訪問審計服務(wù)及安全訪問記錄查詢、分析功能;
SAG安全網(wǎng)關(guān)對虛擬機(jī)遠(yuǎn)程訪問進(jìn)行集中管理及控制,對用戶來說屏蔽了底層物理訪問細(xì)節(jié),改變傳統(tǒng)云操作系統(tǒng)虛擬機(jī)多種渠道、多條路徑的訪問方式,提供了對虛擬機(jī)遠(yuǎn)程管理連接的集中訪問控制。
[0021]SAG安全網(wǎng)關(guān)提供統(tǒng)一安全入口,屏蔽了內(nèi)部網(wǎng)絡(luò),采用Iinux防火墻NAT技術(shù)建立外部連接端口與內(nèi)網(wǎng)網(wǎng)絡(luò)的映射。
[0022]支持集群,由管理節(jié)點調(diào)度分發(fā)請求,采用靈活的架構(gòu)及部署方式,支持多個管理節(jié)點和多個Agent節(jié)點架構(gòu),管理節(jié)點及Agent分開部署或部署在同一服務(wù)器上。
[0023]采用令牌機(jī)制,每個客戶端接入時派發(fā)令牌,令牌存在時限,需要接入端續(xù)租保持令牌激活。
[0024]具有管理接口,通過管理接口實現(xiàn)客戶端接入連接的中斷。
[0025]端口漂移映射:Agent節(jié)點擁有一組端口集合(可配置,每個節(jié)點可以不一致),在建立連接規(guī)則時,隨機(jī)從端口集合中選取端口進(jìn)行映射,每次連接請求獲得的端口是動態(tài)的,連接結(jié)束直接釋放。
[0026]SAG安全網(wǎng)關(guān)包括SAG主管理節(jié)點和SAG節(jié)點集群,SAG主管理節(jié)點提供管理接口、實現(xiàn)令牌續(xù)租、第三方應(yīng)用管理和接入連接管理;SAG節(jié)點集群提供連接NAT映射和連接規(guī)則管理功能。