基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)及其安全訪問(wèn)控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)及其安全訪問(wèn)控制方法���。
【背景技術(shù)】
[0002]云計(jì)算是一種基于計(jì)算機(jī)網(wǎng)絡(luò)的以服務(wù)方式提供的新型計(jì)算模式,是面向服務(wù)計(jì)算模型的發(fā)展�,使服務(wù)使用者通過(guò)網(wǎng)絡(luò)訪問(wèn)集中的共享計(jì)算資源(如服務(wù)器、存儲(chǔ)�、網(wǎng)絡(luò)�、應(yīng)用、服務(wù)等)���,其計(jì)算資源是動(dòng)態(tài)�����、可伸縮且被虛擬化的���,使服務(wù)提供者僅需最少的管理交互工作即可實(shí)現(xiàn)計(jì)算資源的柔性供應(yīng)與快速發(fā)布���。
[0003]云桌面技術(shù)又稱為虛擬桌面或者桌面云技術(shù),它能夠在云端為用戶提供遠(yuǎn)程的計(jì)算機(jī)桌面服務(wù)�。服務(wù)提供者在數(shù)據(jù)中心服務(wù)器上運(yùn)行用戶所需的操作系統(tǒng)和應(yīng)用軟件,然后采用桌面顯示協(xié)議將操作系統(tǒng)桌面視圖以圖像的方式傳送到用戶端設(shè)備上���。同時(shí)�����,服務(wù)器將對(duì)用戶端的輸入進(jìn)行處理�����,并隨時(shí)更新桌面視圖的內(nèi)容���。
[0004]近年來(lái),云桌面技術(shù)得到了迅速發(fā)展��,云桌面平臺(tái)可以管理所提供的資源或服務(wù)��,以確保可用性����、安全和質(zhì)量等。傳統(tǒng)云桌面系統(tǒng)中客戶端對(duì)于虛擬機(jī)的訪問(wèn)是分布式的��,無(wú)法實(shí)現(xiàn)集中訪問(wèn)和控制�����,而且訪問(wèn)虛擬機(jī)的過(guò)程需要涉及內(nèi)部網(wǎng)絡(luò)�����,無(wú)法提供統(tǒng)一的安全入口���,也無(wú)法提供合理的端口映射管理��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足�,提供一種基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)及其安全訪問(wèn)控制方法���,提供統(tǒng)一安全入口屏蔽內(nèi)部網(wǎng)絡(luò),支持集群由管理節(jié)點(diǎn)調(diào)度分發(fā)請(qǐng)求�����,采用令牌機(jī)制映射端口并保持連接,保證客戶端接入的可管理性�;客戶端與應(yīng)用服務(wù)器之間實(shí)現(xiàn)網(wǎng)絡(luò)隔離,即客戶端與應(yīng)用服務(wù)器設(shè)置在不同網(wǎng)段���,使客戶端無(wú)法直接訪問(wèn)應(yīng)用服務(wù)器�,只能通過(guò)虛擬機(jī)訪問(wèn)應(yīng)用服務(wù)器資源����,確保虛擬化資源的安全性。
[0006]本發(fā)明的目的是通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)的:基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)�����,它包括DCSS管理控制臺(tái)��、SAG安全網(wǎng)關(guān)���、VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)�����、遠(yuǎn)程桌面����、物理硬件資源池和多個(gè)訪問(wèn)終端,各訪問(wèn)終端分別通過(guò)通信網(wǎng)絡(luò)與DCSS管理控制臺(tái)連接��,DCSS管理控制臺(tái)與遠(yuǎn)程桌面相連接�����;DCSS管理控制臺(tái)還分別通過(guò)SAG安全網(wǎng)關(guān)和VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)與交換機(jī)相連����,交換機(jī)與物理硬件資源池連接;
所述的DCSS管理控制臺(tái)針對(duì)虛擬化資源進(jìn)行管理�����,提供管理員及用戶兩種視圖���,以滿足不同用戶對(duì)桌面管理的需求及個(gè)性定制��;
所述的SAG安全網(wǎng)關(guān)提供對(duì)虛擬機(jī)遠(yuǎn)程管理連接的集中訪問(wèn)控制�,實(shí)現(xiàn)對(duì)內(nèi)部虛擬桌面訪問(wèn)地址的管理���,并為用戶訪問(wèn)提供統(tǒng)一的�����、外部可訪問(wèn)的安全地址���;支持HA高可用集群部署,提供互聯(lián)網(wǎng)訪問(wèn)服務(wù)���,并提供訪問(wèn)審計(jì)服務(wù)及安全訪問(wèn)記錄查詢����、分析功能����;
SAG安全網(wǎng)關(guān)提供統(tǒng)一安全入口,屏蔽內(nèi)部網(wǎng)絡(luò)���,采用Iinux防火墻NAT技術(shù)建立外部連接端口與內(nèi)網(wǎng)網(wǎng)絡(luò)的映射����;支持集群�����,由管理節(jié)點(diǎn)調(diào)度分發(fā)請(qǐng)求,采用靈活的架構(gòu)及部署方式�����,支持多個(gè)管理節(jié)點(diǎn)和多個(gè)Agent節(jié)點(diǎn)架構(gòu)��,管理節(jié)點(diǎn)及Agent分開部署或部署在同一服務(wù)器上����;采用令牌機(jī)制,每個(gè)客戶端接入時(shí)派發(fā)令牌��,令牌存在時(shí)限�����,需要接入端續(xù)租保持令牌激活�;具有管理接口,通過(guò)管理接口實(shí)現(xiàn)客戶端接入連接的中斷�����;Agent節(jié)點(diǎn)擁有一組端口集合����,在建立連接規(guī)則時(shí)���,隨機(jī)從端口集合中選取端口進(jìn)行映射,每次連接請(qǐng)求獲得的端口是動(dòng)態(tài)的����,連接結(jié)束直接釋放�;SAG安全網(wǎng)關(guān)包括SAG主管理節(jié)點(diǎn)和SAG節(jié)點(diǎn)集群,SAG主管理節(jié)點(diǎn)提供管理接口����、實(shí)現(xiàn)令牌續(xù)租、第三方應(yīng)用管理和接入連接管理��;SAG節(jié)點(diǎn)集群提供連接NAT映射和連接規(guī)則管理功能��;
所述的VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)實(shí)現(xiàn)物理硬件資源的軟件虛擬化�����,形成虛擬資源池����,實(shí)現(xiàn)服務(wù)器虛擬化統(tǒng)一管理和動(dòng)態(tài)資源調(diào)配����,既用于幫助用戶快速構(gòu)建一體化����、高質(zhì)量的云計(jì)算IaaS基礎(chǔ)設(shè)施服務(wù)體系,又用于支撐上層應(yīng)用�����,形成云計(jì)算應(yīng)用解決方案���;
所述的遠(yuǎn)程桌面用于實(shí)現(xiàn)遠(yuǎn)程桌面通信�����,遠(yuǎn)程桌面結(jié)合SAG安全網(wǎng)關(guān)提供通信鏈路加
tM
I_L| O
[0007]所述的訪問(wèn)終端包括PC終端�����、瘦客戶終端和移動(dòng)終端��。
[0008]基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)����,還包括目錄服務(wù)子系統(tǒng),目錄服務(wù)子系統(tǒng)與DCSS管理控制臺(tái)連接��,目錄服務(wù)子系統(tǒng)用于提供身份�、組織及安全證書管理服務(wù),提供用戶基礎(chǔ)數(shù)據(jù)�。
[0009]基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)的安全訪問(wèn)控制方法,它包括以下步驟:
51:DCSS管理控制臺(tái)訪問(wèn)VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)獲取虛擬機(jī)啟動(dòng)時(shí)注冊(cè)到VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)中的宿主機(jī)IP����,以及映射端口 PORT ��;
52:DCSS管理控制臺(tái)調(diào)用SAG安全網(wǎng)關(guān)提供的REST服務(wù)進(jìn)行NAT映射�����,獲取本次連接的令牌TOKEN��,外部訪問(wèn)IP和外部訪問(wèn)端口 ���;通過(guò)NAT映射����,訪問(wèn)終端只能訪問(wèn)SAG集群中外部IP集合�����,屏蔽虛擬環(huán)境中的網(wǎng)絡(luò);
53:DCSS管理控制臺(tái)組合參數(shù)�����,進(jìn)行編碼后返回給訪問(wèn)終端��;
54:訪問(wèn)終端解析參數(shù)���,獲取IP地址以及端口�����,建立遠(yuǎn)程訪問(wèn)連接��,訪問(wèn)虛擬機(jī)�;
55:客戶定時(shí)向SAG安全網(wǎng)關(guān)發(fā)送令牌TOKEN進(jìn)行續(xù)租�,從而保持連接;
56:SAG安全網(wǎng)關(guān)定時(shí)進(jìn)行掃描��,清除過(guò)期的令牌TOKEN�����,刪除NAT映射規(guī)則,釋放端口資源���。
[0010]基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)的安全訪問(wèn)控制方法���,還包括一個(gè)部署訪問(wèn)終端與應(yīng)用服務(wù)器網(wǎng)絡(luò)的步驟:
(1)將訪問(wèn)終端與應(yīng)用服務(wù)器設(shè)置于不同網(wǎng)段,以使訪問(wèn)終端無(wú)法直接訪問(wèn)應(yīng)用服務(wù)器上的數(shù)據(jù)����;
(2)將訪問(wèn)終端與物理硬件資源池內(nèi)的物理資源服務(wù)器設(shè)置于同一網(wǎng)段,以使訪問(wèn)終端能夠直接訪問(wèn)物理資源服務(wù)器�;
(3)將物理資源服務(wù)器上運(yùn)行的虛擬機(jī)與應(yīng)用服務(wù)器設(shè)置于同一網(wǎng)段,以使虛擬機(jī)能夠直接訪問(wèn)應(yīng)用服務(wù)器����;
(4)訪問(wèn)終端只能通過(guò)物理資源服務(wù)器訪問(wèn)虛擬機(jī)�,才能訪問(wèn)應(yīng)用服務(wù)器上的數(shù)據(jù)。
[0011]本發(fā)明的有益效果是:
I)本發(fā)明采用I inux防火墻NAT技術(shù)建立了外部連接端口與內(nèi)網(wǎng)網(wǎng)絡(luò)的映射�,提供了統(tǒng)一安全入口屏蔽內(nèi)部網(wǎng)絡(luò);
支持集群�����,采用靈活的架構(gòu)以及靈活的部署方式,支持多個(gè)管理節(jié)點(diǎn)加多個(gè)Agent節(jié)點(diǎn)的架構(gòu)���,管理節(jié)點(diǎn)以及Agent節(jié)點(diǎn)可以分開部署���,或者部署在同一服務(wù)服務(wù)器上,由管理節(jié)點(diǎn)調(diào)度分發(fā)請(qǐng)求�;
采用令牌機(jī)制映射端口并保持連接,每個(gè)客戶端接入時(shí)派發(fā)令牌�,令牌存在時(shí)限,需要接入端續(xù)租保持令牌alive���,另外可通過(guò)管理接口實(shí)時(shí)中斷客戶端的接入連接���,保證了客戶端接入和連接的可管理性。
[0012]2)本發(fā)明客戶端與應(yīng)用服務(wù)器之間實(shí)現(xiàn)網(wǎng)絡(luò)隔離�,即客戶端與應(yīng)用服務(wù)器設(shè)置在不同網(wǎng)段,使得客戶端無(wú)法直接訪問(wèn)應(yīng)用服務(wù)器�����,只能通過(guò)虛擬機(jī)訪問(wèn)應(yīng)用服務(wù)器資源����,確保了虛擬化資源的安全性。
[0013]3)在DCSS產(chǎn)品解決方案中,目錄服務(wù)系統(tǒng)為DCSS系統(tǒng)提供用戶基礎(chǔ)數(shù)據(jù)��,保障DCSS產(chǎn)品與企業(yè)的4A產(chǎn)品具有良好的集成性��。
[0014]4) SAG安全網(wǎng)關(guān)通過(guò)對(duì)內(nèi)部虛擬桌面訪問(wèn)地址的管理���,并對(duì)企業(yè)員工訪問(wèn)提供統(tǒng)一的�����、外部可訪問(wèn)的安全地址��,進(jìn)一步保障了企業(yè)IAAS服務(wù)資源訪問(wèn)的安全性�����。
[0015]5) SAG安全網(wǎng)關(guān)支持HA高可用集群部署�����,可提供互聯(lián)網(wǎng)訪問(wèn)服務(wù),并提供訪問(wèn)審計(jì)服務(wù)�����,可供管理員進(jìn)行安全訪問(wèn)記錄查詢、分析����。
[0016]6)VSIP虛擬化基礎(chǔ)架構(gòu)系統(tǒng)實(shí)現(xiàn)了服務(wù)器虛擬化統(tǒng)一管理和動(dòng)態(tài)資源調(diào)配,既可以用于幫助用戶快速構(gòu)建一體化�����、高質(zhì)量的企業(yè)級(jí)或互聯(lián)網(wǎng)數(shù)據(jù)中心云計(jì)算IaaS基礎(chǔ)設(shè)施服務(wù)體系�����,又可以用于支撐桌面云�、并行計(jì)算框架、仿真測(cè)試等上層應(yīng)用�����,形成專門的云計(jì)算應(yīng)用解決方案��。
[0017]7)云桌面結(jié)合SAG安全網(wǎng)關(guān)提供通信鏈路加密�����,提高了遠(yuǎn)程桌面管理的安全性��。
【附圖說(shuō)明】
[0018]圖1為基于安全網(wǎng)關(guān)的75Γ桌面管理系統(tǒng)架構(gòu)圖;
圖2為本發(fā)明安全訪問(wèn)控制方法流程圖�����。
【具體實(shí)施方式】
[0019]下面結(jié)合附圖進(jìn)一步詳細(xì)描述本發(fā)明的技術(shù)方案�����,但本發(fā)明的保護(hù)范圍不局限于以下所述�����。
[0020]如圖1所示��,基于安全網(wǎng)關(guān)的云桌面管理系統(tǒng)��,它包括DCSS管理控制臺(tái)����、SAG安全網(wǎng)關(guān)、VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)���、遠(yuǎn)程桌面、物理硬件資源池和多個(gè)訪問(wèn)終端����,各訪問(wèn)終端分別通過(guò)通信網(wǎng)絡(luò)與DCSS管理控制臺(tái)連接�����,DCSS管理控制臺(tái)與遠(yuǎn)程桌面相連接����;DCSS管理控制臺(tái)還分別通過(guò)SAG安全網(wǎng)關(guān)和VSIP虛擬化基礎(chǔ)架構(gòu)子系統(tǒng)與交換機(jī)相連���,交換機(jī)與物理硬件資源池連接��;
所述的DCSS管理控制臺(tái)針對(duì)虛擬化資源進(jìn)行管理���,提供管理員及用戶兩種視圖,以滿足不同用戶對(duì)桌面管理的需求及個(gè)性定制����;
所述的SAG安全網(wǎng)關(guān)提供對(duì)虛擬機(jī)遠(yuǎn)程管理連接的集中訪問(wèn)控制,實(shí)現(xiàn)對(duì)內(nèi)部虛擬桌面訪問(wèn)地址的管理���,并為用戶訪問(wèn)提供統(tǒng)一的�、外部可訪問(wèn)的安全地址�����;支持HA高可用集群部署,提供互聯(lián)網(wǎng)訪問(wèn)服務(wù)�,并提供訪問(wèn)審計(jì)服務(wù)及安全訪問(wèn)記錄查詢、分析功能�����;
SAG安全網(wǎng)關(guān)對(duì)虛擬機(jī)遠(yuǎn)程訪問(wèn)進(jìn)行集中管理及控制�,對(duì)用戶來(lái)說(shuō)屏蔽了底層物理訪問(wèn)細(xì)節(jié),改變傳統(tǒng)云操作系統(tǒng)虛擬機(jī)多種渠道�����、多條路徑的訪問(wèn)方式�����,提供了對(duì)虛擬機(jī)遠(yuǎn)程管理連接的集中訪問(wèn)控制���。
[0021]SAG安全網(wǎng)關(guān)提供統(tǒng)一安全入口����,屏蔽了內(nèi)部網(wǎng)絡(luò)���,采用Iinux防火墻NAT技術(shù)建立外部連接端口與內(nèi)網(wǎng)網(wǎng)絡(luò)的映射�。
[0022]支持集群���,由管理節(jié)點(diǎn)調(diào)度分發(fā)請(qǐng)求��,采用靈活的架構(gòu)及部署方式�,支持多個(gè)管理節(jié)點(diǎn)和多個(gè)Agent節(jié)點(diǎn)架構(gòu)���,管理節(jié)點(diǎn)及Agent分開部署或部署在同一服務(wù)器上���。
[0023]采用令牌機(jī)制,每個(gè)客戶端接入時(shí)派發(fā)令牌���,令牌存在時(shí)限����,需要接入端續(xù)租保持令牌激活�。
[0024]具有管理接口,通過(guò)管理接口實(shí)現(xiàn)客戶端接入連接的中斷�。
[0025]端口漂移映射:Agent節(jié)點(diǎn)擁有一組端口集合(可配置,每個(gè)節(jié)點(diǎn)可以不一致)����,在建立連接規(guī)則時(shí)�,隨機(jī)從端口集合中選取端口進(jìn)行映射�����,每次連接請(qǐng)求獲得的端口是動(dòng)態(tài)的����,連接結(jié)束直接釋放。
[0026]SAG安全網(wǎng)關(guān)包括SAG主管理節(jié)點(diǎn)和SAG節(jié)點(diǎn)集群��,SAG主管理節(jié)點(diǎn)提供管理接口�、實(shí)現(xiàn)令牌續(xù)租、第三方應(yīng)用管理和接入連接管理��;SAG節(jié)點(diǎn)集群提供連接NAT映射和連接規(guī)則管理功能���。