一種虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)及方法
【專利摘要】一種虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)及方法,所述系統(tǒng)包括:用戶遠(yuǎn)程桌面請求處理模塊�,用于用戶遠(yuǎn)程桌面連接的請求處理;遠(yuǎn)程桌面代理虛擬機(jī)池管理模塊,用于遠(yuǎn)程桌面代理虛擬機(jī)的分配與管理�;遠(yuǎn)程桌面代理虛擬機(jī)代理轉(zhuǎn)發(fā)模塊,用于用戶遠(yuǎn)程桌面請求的轉(zhuǎn)發(fā)��,屏蔽底層真實(shí)物理機(jī)IP與端口��;遠(yuǎn)程桌面代理虛擬機(jī)代理端口分配與回收模塊��,用于遠(yuǎn)程桌面代理虛擬機(jī)轉(zhuǎn)發(fā)端口的分配與回收�;服務(wù)器模塊,用于實(shí)現(xiàn)虛擬機(jī)遠(yuǎn)程桌面訪問�����。本發(fā)明通過每次給用戶分配代理服務(wù)器地址和隨機(jī)端口��,使用代理轉(zhuǎn)發(fā)技術(shù)實(shí)現(xiàn)遠(yuǎn)程虛擬機(jī)桌面的訪問�,達(dá)到對用戶隱藏實(shí)際物理機(jī)地址與端口信息,用戶使用的地址與端口隨機(jī)生成與變化��,保證云平臺與云用戶虛擬機(jī)的安全��。
【專利說明】一種虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬機(jī)遠(yuǎn)程桌面安全訪問技術(shù)����,特別是涉及一種虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)及方法�����。
【背景技術(shù)】
[0002]在當(dāng)今的云計(jì)算應(yīng)用中�,桌面虛擬化作為用戶與虛擬機(jī)桌面的紐帶��,在應(yīng)用中起著舉足輕重的作用����。桌面虛擬化主要體現(xiàn)為基于虛擬機(jī)的遠(yuǎn)程桌面技術(shù),常見的遠(yuǎn)程桌面技術(shù)有VNC (英文Virtual Network Computing的縮寫�����,中文是虛擬網(wǎng)絡(luò)計(jì)算機(jī)的縮寫)遠(yuǎn)程桌面����、Spice 遠(yuǎn)程桌面等。SPICE (Simple Protocol for Independent ComputingEnvironment)是Red Hat收購Qumranet后獲得虛擬技術(shù)��。SPICE能用于在服務(wù)器和遠(yuǎn)程計(jì)算機(jī)如桌面和瘦客戶端設(shè)備上部署虛擬桌面����?���;谔摂M機(jī)的遠(yuǎn)程桌面實(shí)現(xiàn)通?;谔摂M機(jī)宿主物理機(jī)搭建桌面服務(wù)器�,云用戶使用客戶端基于特定協(xié)議連接服務(wù)器,實(shí)現(xiàn)虛擬機(jī)遠(yuǎn)程桌面的訪問�����。在此過程中����,云用戶直接使用到虛擬機(jī)所在宿主物理機(jī)的IP地址、端口等信息�����,宿主物理機(jī)地址信息的暴露��,給云平臺系統(tǒng)造成很大的安全隱患�����,給云平臺其他虛擬機(jī)用戶帶來安全威脅����。宿主物理機(jī)地址與端口的固定也給當(dāng)前用戶造成安全隱患���,遠(yuǎn)程地址與端口固定,一旦泄漏����,有可能被他人非法使用。
[0003]如何在保證遠(yuǎn)程桌面訪問質(zhì)量的前提下提高訪問的安全性���、確保用戶訪問安全成為桌面虛擬化的重要內(nèi)容�。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足��,提供一種虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)及方法���,保證云平臺與云用戶虛擬機(jī)的安全�。
[0005]為了達(dá)到上述目的����,本發(fā)明采用的技術(shù)方案是:
一種虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng),所述系統(tǒng)基于云平臺管理服務(wù)器���、遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器及云平臺計(jì)算節(jié)點(diǎn)物理機(jī)�,所述系統(tǒng)包括:
用戶遠(yuǎn)程桌面請求處理模塊�����,設(shè)置于云平臺管理服務(wù)器上�,用于用戶遠(yuǎn)程桌面連接的請求處理;
遠(yuǎn)程桌面代理虛擬機(jī)池管理模塊���,設(shè)置于云平臺管理服務(wù)器上���,用于遠(yuǎn)程桌面代理虛擬機(jī)的分配與管理;
遠(yuǎn)程桌面代理虛擬機(jī)代理轉(zhuǎn)發(fā)模塊���,設(shè)置于遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器上����,用于用戶遠(yuǎn)程桌面請求的轉(zhuǎn)發(fā)��,屏蔽底層真實(shí)物理機(jī)IP與端口 ���;
遠(yuǎn)程桌面代理虛擬機(jī)代理端口分配與回收模塊��,設(shè)置于遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器上�����,用于遠(yuǎn)程桌面代理虛擬機(jī)轉(zhuǎn)發(fā)端口的分配與回收�;
服務(wù)器模塊,設(shè)置于云平臺計(jì)算節(jié)點(diǎn)物理機(jī)�,用于實(shí)現(xiàn)虛擬機(jī)遠(yuǎn)程桌面訪問。
[0006]進(jìn)一步的��,所述用戶遠(yuǎn)程桌面請求處理模塊包括:
權(quán)限驗(yàn)證單元����,用于對用戶使用權(quán)限的驗(yàn)證; 請求處理單元�,用于發(fā)起通過權(quán)限驗(yàn)證的用戶的遠(yuǎn)程桌面連接的請求。
[0007]所述遠(yuǎn)程桌面代理虛擬機(jī)池管理模塊包括:
分配單元��,用于根據(jù)系統(tǒng)(指遠(yuǎn)程桌面代理虛擬機(jī)池管理系統(tǒng)��,也就是遠(yuǎn)程桌面代理虛擬機(jī)池管理模塊)配置分配預(yù)設(shè)初始數(shù)量的遠(yuǎn)程桌面代理虛擬機(jī)備用��,處理用戶遠(yuǎn)程桌面連接請求��,每個(gè)遠(yuǎn)程桌面代理虛擬機(jī)配置處理預(yù)定數(shù)量的遠(yuǎn)程桌面請求���;
管理單元����,用于當(dāng)遠(yuǎn)程桌面連接數(shù)大于設(shè)定值時(shí),使用新的遠(yuǎn)程桌面代理虛擬機(jī)�,當(dāng)預(yù)設(shè)的初始遠(yuǎn)程桌面代理虛擬機(jī)數(shù)量不夠時(shí),分配新的遠(yuǎn)程桌面代理虛擬機(jī)�。
[0008]所述遠(yuǎn)程桌面代理虛擬機(jī)代理轉(zhuǎn)發(fā)模塊包括:
轉(zhuǎn)發(fā)單元��,用于用戶遠(yuǎn)程桌面請求的轉(zhuǎn)發(fā)���;
屏蔽單元��,用于屏蔽底層真實(shí)物理機(jī)IP (地址)與端口���。
[0009]所述遠(yuǎn)程桌面代理虛擬機(jī)代理端口分配與回收模塊包括:
分配單元,用于當(dāng)有遠(yuǎn)程桌面連接時(shí)��,隨機(jī)分配端口供轉(zhuǎn)發(fā)模塊使用并連接到虛擬機(jī)遠(yuǎn)程桌面�����;
回收單元�,用于當(dāng)用戶中斷遠(yuǎn)程桌面連接時(shí),回收代理端口����,定時(shí)監(jiān)聽用戶遠(yuǎn)程桌面連接����,捕捉非正常關(guān)閉遠(yuǎn)程桌面客戶端���。
[0010]所述的非正常關(guān)閉遠(yuǎn)程桌面客戶端包括直接關(guān)機(jī)��、主機(jī)斷電或網(wǎng)絡(luò)中斷�。
[0011]所述遠(yuǎn)服務(wù)器模塊為Spice服務(wù)器模塊�����,用于實(shí)現(xiàn)基于Spice協(xié)議的虛擬機(jī)遠(yuǎn)程桌面訪問����。
[0012]所述Spice服務(wù)器模塊為每個(gè)虛擬機(jī)開放一個(gè)端口用于遠(yuǎn)程訪問,且Spice服務(wù)器配置為TLS (英文Transport Layer Security的縮寫,安全傳輸層協(xié)議)安全模式��。
[0013]一種基于所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)的方法�����,包括如下步驟:
步驟1.用戶通過身份驗(yàn)證后登陸云服務(wù)平臺的云平臺管理節(jié)點(diǎn)���,用戶從云平臺發(fā)起虛擬機(jī)遠(yuǎn)程桌面請求�;
步驟2.云平臺管理節(jié)點(diǎn)處理用戶的虛擬機(jī)遠(yuǎn)程桌面請求,根據(jù)統(tǒng)一配置分配遠(yuǎn)程桌面代理虛擬機(jī)或使用現(xiàn)有的遠(yuǎn)程桌面代理虛擬機(jī)�,由遠(yuǎn)程桌面代理虛擬機(jī)代理遠(yuǎn)程桌面請求;
步驟3.在遠(yuǎn)程桌面代理虛擬機(jī)上動(dòng)態(tài)分配端口��,供用戶遠(yuǎn)程桌面訪問���,并代理轉(zhuǎn)發(fā)遠(yuǎn)程桌面請求的要訪問的虛擬機(jī)所在的計(jì)算節(jié)點(diǎn)物理機(jī)開放的端口�;
步驟4.從訪問的虛擬機(jī)所在的計(jì)算節(jié)點(diǎn)物理機(jī)返回用戶需要的遠(yuǎn)程桌面連接到遠(yuǎn)程桌面代理虛擬機(jī)����;
步驟5.遠(yuǎn)程桌面信息從遠(yuǎn)程桌面代理虛擬機(jī)返回到用戶的遠(yuǎn)程桌面客戶端�����,客戶端訪問動(dòng)態(tài)分配的虛擬機(jī)����;
步驟6.用戶通過客戶端觀察到虛擬機(jī)遠(yuǎn)程桌面,并進(jìn)行桌面操作�。
[0014]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:通過每次給用戶分配代理服務(wù)器地址和隨機(jī)端口�,使用代理轉(zhuǎn)發(fā)技術(shù)實(shí)現(xiàn)遠(yuǎn)程虛擬機(jī)桌面的訪問,達(dá)到對用戶隱藏實(shí)際物理機(jī)地址與端口信息,用戶使用的地址與端口隨機(jī)生成與變化��,保證云平臺與云用戶虛擬機(jī)的安全�����。
【專利附圖】
【附圖說明】[0015]圖1為本發(fā)明的系統(tǒng)方框圖�����;
圖2為本發(fā)明的方法流程圖���;
圖3為本發(fā)明的具體實(shí)施例流程圖�����。
【具體實(shí)施方式】
[0016]本發(fā)明的主旨在于提供一種虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)及方法�,通過Spice協(xié)議訪問云平臺虛擬機(jī)�����,并通過配置Spice的TLS模式實(shí)現(xiàn)傳輸內(nèi)容的保密傳輸�����,通過動(dòng)態(tài)分配遠(yuǎn)程桌面代理虛擬機(jī)(簡稱RPVM,英文Remote Proxy Virtual Machine的縮寫),即用于遠(yuǎn)程桌面連接安全控制的虛擬機(jī)�����,實(shí)現(xiàn)遠(yuǎn)程桌面連接的代理轉(zhuǎn)發(fā)�。“遠(yuǎn)程桌面代理虛擬機(jī)池”管理模塊���,用于實(shí)現(xiàn)“遠(yuǎn)程桌面代理虛擬機(jī)”的池化管理�,組織系統(tǒng)中的“遠(yuǎn)程桌面代理虛擬機(jī)”為虛擬機(jī)池��,當(dāng)用戶需要虛擬機(jī)時(shí)�����,從池中取的虛擬機(jī)��,用戶使用完畢后����,虛擬機(jī)歸還給池�。實(shí)現(xiàn)遠(yuǎn)程桌面的代理訪問,對用戶動(dòng)態(tài)開放程桌面代理虛擬機(jī)(RPVM)的地址與端口����,從而達(dá)到對用戶隱藏系統(tǒng)計(jì)算節(jié)點(diǎn)物理機(jī)地址�、Spice端口的目的��,實(shí)現(xiàn)遠(yuǎn)程桌面訪問的鏈路地址安全控制����。
[0017]下面結(jié)合實(shí)施例參照附圖進(jìn)行詳細(xì)說明,以便對本發(fā)明的技術(shù)特征及優(yōu)點(diǎn)進(jìn)行更深入的詮釋����。
[0018]本發(fā)明的系統(tǒng)方框圖如圖1所示,一種虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)��,所述系統(tǒng)基于云平臺管理服務(wù)器����、遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器及云平臺計(jì)算節(jié)點(diǎn)物理機(jī)。云平臺管理服務(wù)器:云平臺管理服務(wù)器是云計(jì)算操作系統(tǒng)平臺的管理服務(wù)器�,主要用于整個(gè)云平臺資源的管理和用戶請求的處理,例如本技術(shù)中提到的RPVM (Remote Proxy VirtualMachine)池管理與用戶遠(yuǎn)程桌面請求的管理����。遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器:云操作系統(tǒng)平臺中用來實(shí)現(xiàn)與管理RPVM池、遠(yuǎn)程桌面請求代理轉(zhuǎn)發(fā)功能的服務(wù)器�。云平臺計(jì)算節(jié)點(diǎn)物理機(jī):云操作系統(tǒng)平臺中用來創(chuàng)建虛擬機(jī)的物理機(jī)�,為云平臺提供物理資源�。
[0019]所述系統(tǒng)包括:
用戶遠(yuǎn)程桌面請求處理模塊,設(shè)置于云平臺管理服務(wù)器上�,用于用戶遠(yuǎn)程桌面連接的請求處理。所述用戶遠(yuǎn)程桌面請求處理模塊包括:權(quán)限驗(yàn)證單元����,用于對用戶使用權(quán)限的驗(yàn)證,權(quán)限驗(yàn)證單元是為了進(jìn)一步保證用戶的安全�����,確保是用戶自己操作該請求�;請求處理單元,用于發(fā)起通過權(quán)限驗(yàn)證的用戶的遠(yuǎn)程桌面連接的請求�����。一般在云平臺管理服務(wù)器上設(shè)置云平臺管理節(jié)點(diǎn)��,當(dāng)有用戶登陸時(shí)�,需要身份驗(yàn)證�,例如設(shè)置權(quán)限,權(quán)限密碼�����,用戶驗(yàn)證成功后才可登陸云平臺管理節(jié)點(diǎn),然后從云平臺管理節(jié)點(diǎn)發(fā)起虛擬機(jī)遠(yuǎn)程桌面請求�����。用戶首先需要通過云平臺管理服務(wù)器的權(quán)限驗(yàn)證才能發(fā)起遠(yuǎn)程桌面連接請求�,保證遠(yuǎn)程桌面的安全性。
[0020]遠(yuǎn)程桌面代理虛擬機(jī)池管理模塊�����,設(shè)置于云平臺管理服務(wù)器上��,用于遠(yuǎn)程桌面代理虛擬機(jī)的分配與管理��。所述遠(yuǎn)程桌面代理虛擬機(jī)池管理模塊包括:分配單元����,用于根據(jù)系統(tǒng)(此處的系統(tǒng),即遠(yuǎn)程桌面代理虛擬機(jī)池管理系統(tǒng)�����,也就是遠(yuǎn)程桌面代理虛擬機(jī)池管理模塊����。)配置分配預(yù)設(shè)初始數(shù)量的遠(yuǎn)程桌面代理虛擬機(jī)備用�����,處理用戶遠(yuǎn)程桌面連接請求����,每個(gè)遠(yuǎn)程桌面代理虛擬機(jī)配置處理預(yù)定數(shù)量的遠(yuǎn)程桌面請求�;管理單元,用于當(dāng)遠(yuǎn)程桌面連接數(shù)大于設(shè)定值時(shí)�,使用新的遠(yuǎn)程桌面代理虛擬機(jī),當(dāng)預(yù)設(shè)的初始遠(yuǎn)程桌面代理虛擬機(jī)數(shù)量不夠時(shí)���,分配新的遠(yuǎn)程桌面代理虛擬機(jī)�。[0021]云平臺管理節(jié)點(diǎn)處理用戶的虛擬機(jī)遠(yuǎn)程桌面請求�,但是并非直接連接虛擬機(jī),而是根據(jù)統(tǒng)一配置分配遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)或使用現(xiàn)有的遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)�,由遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)代理遠(yuǎn)程桌面請求;遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)的IP地址每次都是動(dòng)態(tài)分配的�����,用戶遠(yuǎn)程桌面請求地址為遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)的地址�����,從而達(dá)到隱藏要訪問的虛擬機(jī)所在的物理機(jī)的IP地址的目的�。
[0022]在遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)上動(dòng)態(tài)分配端口,供用戶遠(yuǎn)程桌面訪問��,并代理轉(zhuǎn)發(fā)遠(yuǎn)程桌面請求的要訪問的虛擬機(jī)所在的物理機(jī)開放的端口�����,從而達(dá)到隱藏真實(shí)物理機(jī)端口的目的����。
[0023]遠(yuǎn)程桌面代理虛擬機(jī)代理轉(zhuǎn)發(fā)模塊,設(shè)置于遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器上�,用于用戶遠(yuǎn)程桌面請求的轉(zhuǎn)發(fā),屏蔽底層真實(shí)物理機(jī)IP與端口�����。所述遠(yuǎn)程桌面代理虛擬機(jī)代理轉(zhuǎn)發(fā)模塊包括:轉(zhuǎn)發(fā)單元���,用于用戶遠(yuǎn)程桌面請求的轉(zhuǎn)發(fā)��;屏蔽單元�����,用于屏蔽底層真實(shí)物理機(jī)IP與端口����。針對用戶提高RPVM的IP地址和端口,達(dá)到遠(yuǎn)程桌面鏈路地址安全的目的��。
[0024]遠(yuǎn)程桌面代理虛擬機(jī)代理端口分配與回收模塊�,設(shè)置于遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器上,用于遠(yuǎn)程桌面代理虛擬機(jī)轉(zhuǎn)發(fā)端口的分配與回收���。所述遠(yuǎn)程桌面代理虛擬機(jī)代理端口分配與回收模塊包括:分配單元�,用于當(dāng)有遠(yuǎn)程桌面連接時(shí)���,隨機(jī)分配端口供轉(zhuǎn)發(fā)模塊使用并連接到虛擬機(jī)遠(yuǎn)程桌面����;回收單元�,用于當(dāng)用戶中斷遠(yuǎn)程桌面連接時(shí),回收代理端口�,定時(shí)監(jiān)聽用戶遠(yuǎn)程桌面連接�,捕捉非正常關(guān)閉遠(yuǎn)程桌面客戶端�。所述的非正常關(guān)閉遠(yuǎn)程桌面客戶端包括直接關(guān)機(jī)����、主機(jī)斷電或網(wǎng)絡(luò)中斷。
[0025]服務(wù)器模塊���,設(shè)置于云平臺計(jì)算節(jié)點(diǎn)物理機(jī)���,用于實(shí)現(xiàn)虛擬機(jī)遠(yuǎn)程桌面訪問。所述遠(yuǎn)服務(wù)器模塊為Spice服務(wù)器模塊�,用于實(shí)現(xiàn)基于Spice協(xié)議的虛擬機(jī)遠(yuǎn)程桌面訪問。所述Spice服務(wù)器模塊為每個(gè)虛擬機(jī)開放一個(gè)端口用于遠(yuǎn)程訪問���,且Spice服務(wù)器配置為TLS安全模式���。為了防止對外暴露物理機(jī)真實(shí)地址與端口,需要使用代理轉(zhuǎn)發(fā)技術(shù)�����。云平臺計(jì)算節(jié)點(diǎn)物理機(jī)包括多個(gè)虛擬機(jī)�����。
[0026]本發(fā)明的方法流程圖如圖2、3所示�,一種基于所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)的方法,包括如下步驟:
001.用戶云服務(wù)平臺����,即通過身份驗(yàn)證后登錄云平臺管理節(jié)點(diǎn);用戶從云平臺發(fā)起虛擬機(jī)遠(yuǎn)程桌面請求�;此時(shí)需要用到權(quán)限驗(yàn)證單元進(jìn)行驗(yàn)證,驗(yàn)證成功后通過請求處理單元發(fā)起請求��;
002.云平臺管理節(jié)點(diǎn)處理用戶的虛擬機(jī)遠(yuǎn)程桌面請求���,但是并非直接連接虛擬機(jī)�����,而是由分配單元根據(jù)統(tǒng)一配置分配遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)或使用現(xiàn)有的遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)���,由遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)代理遠(yuǎn)程桌面請求;遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)的IP地址每次都是動(dòng)態(tài)分配的����,用戶遠(yuǎn)程桌面請求地址為遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)的地址���,從而達(dá)到隱藏要訪問的虛擬機(jī)所在的物理機(jī)的IP地址的目的;
003.在遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)上動(dòng)態(tài)分配端口��,供用戶遠(yuǎn)程桌面訪問���,由轉(zhuǎn)發(fā)單元代理轉(zhuǎn)發(fā)遠(yuǎn)程桌面請求的要訪問的虛擬機(jī)所在的物理機(jī)開放的端口,由屏蔽單元屏蔽底層真實(shí)物理機(jī)ip與端口�,從而達(dá)到隱藏真實(shí)物理機(jī)端口的目的;
004.從訪問的虛擬機(jī)所在的物理機(jī)返回用戶需要的遠(yuǎn)程桌面連接到遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)��; 005.遠(yuǎn)程桌面信息從遠(yuǎn)程桌面代理虛擬機(jī)(RPVM)返回到用戶的遠(yuǎn)程桌面客戶端(CS客戶端或者BS客戶端)��,客戶端并發(fā)直接訪問真實(shí)物理機(jī)而是訪問動(dòng)態(tài)分配的虛擬機(jī)�����,達(dá)到隱藏物理機(jī)的目的�����;
006.用戶通過客戶端觀察到虛擬機(jī)遠(yuǎn)程桌面���,并進(jìn)行桌面操作���。
[0027]通過以上實(shí)施例中的技術(shù)方案對本發(fā)明進(jìn)行清楚����、完整的描述����,顯然所描述的實(shí)施例為本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍��。
【權(quán)利要求】
1.一種虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)����,所述系統(tǒng)基于云平臺管理服務(wù)器、遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器及云平臺計(jì)算節(jié)點(diǎn)物理機(jī)��,其特征在于�,所述系統(tǒng)包括: 用戶遠(yuǎn)程桌面請求處理模塊,設(shè)置于云平臺管理服務(wù)器上�,用于用戶遠(yuǎn)程桌面連接的請求處理; 遠(yuǎn)程桌面代理虛擬機(jī)池管理模塊�,設(shè)置于云平臺管理服務(wù)器上���,用于遠(yuǎn)程桌面代理虛擬機(jī)的分配與管理; 遠(yuǎn)程桌面代理虛擬機(jī)代理轉(zhuǎn)發(fā)模塊��,設(shè)置于遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器上�����,用于用戶遠(yuǎn)程桌面請求的轉(zhuǎn)發(fā)�����,屏蔽底層真實(shí)物理機(jī)IP與端口 ��; 遠(yuǎn)程桌面代理虛擬機(jī)代理端口分配與回收模塊�����,設(shè)置于遠(yuǎn)程桌面代理虛擬機(jī)管理服務(wù)器上�����,用于遠(yuǎn)程桌面代理虛擬機(jī)轉(zhuǎn)發(fā)端口的分配與回收���; 服務(wù)器模塊����,設(shè)置于云平臺計(jì)算節(jié)點(diǎn)物理機(jī)�,用于實(shí)現(xiàn)虛擬機(jī)遠(yuǎn)程桌面訪問。
2.根據(jù)權(quán)利要求1所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)�,其特征在于,所述用戶遠(yuǎn)程桌面請求處理模塊包括: 權(quán)限驗(yàn)證單元��,用于對用戶使用權(quán)限的驗(yàn)證�����; 請求處理單元�,用于發(fā)起通過權(quán)限驗(yàn)證的用戶的遠(yuǎn)程桌面連接的請求。
3.根據(jù)權(quán)利要求2所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)����,其特征在于,所述遠(yuǎn)程桌面代理虛擬機(jī)池管理模塊包括: 分配單元���,用 于根據(jù)系統(tǒng)配置分配預(yù)設(shè)初始數(shù)量的遠(yuǎn)程桌面代理虛擬機(jī)備用�,處理用戶遠(yuǎn)程桌面連接請求�,每個(gè)遠(yuǎn)程桌面代理虛擬機(jī)配置處理預(yù)定數(shù)量的遠(yuǎn)程桌面請求; 管理單元���,用于當(dāng)遠(yuǎn)程桌面連接數(shù)大于設(shè)定值時(shí)����,使用新的遠(yuǎn)程桌面代理虛擬機(jī),當(dāng)預(yù)設(shè)的初始遠(yuǎn)程桌面代理虛擬機(jī)數(shù)量不夠時(shí)�����,分配新的遠(yuǎn)程桌面代理虛擬機(jī)�。
4.根據(jù)權(quán)利要求3所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng),其特征在于���,所述遠(yuǎn)程桌面代理虛擬機(jī)代理轉(zhuǎn)發(fā)模塊包括: 轉(zhuǎn)發(fā)單元���,用于用戶遠(yuǎn)程桌面請求的轉(zhuǎn)發(fā)����; 屏蔽單元,用于屏蔽底層真實(shí)物理機(jī)IP與端口����。
5.根據(jù)權(quán)利要求4所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng),其特征在于����,所述遠(yuǎn)程桌面代理虛擬機(jī)代理端口分配與回收模塊包括: 分配單元���,用于當(dāng)有遠(yuǎn)程桌面連接時(shí),隨機(jī)分配端口供轉(zhuǎn)發(fā)模塊使用并連接到虛擬機(jī)遠(yuǎn)程桌面�����; 回收單元�,用于當(dāng)用戶中斷遠(yuǎn)程桌面連接時(shí),回收代理端口�����,定時(shí)監(jiān)聽用戶遠(yuǎn)程桌面連接�����,捕捉非正常關(guān)閉遠(yuǎn)程桌面客戶端��。
6.根據(jù)權(quán)利要求5所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)���,其特征在于:所述的非正常關(guān)閉遠(yuǎn)程桌面客戶端包括直接關(guān)機(jī)���、主機(jī)斷電或網(wǎng)絡(luò)中斷��。
7.根據(jù)權(quán)利要求6所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)���,其特征在于:所述遠(yuǎn)服務(wù)器模塊為Spice服務(wù)器模塊,用于實(shí)現(xiàn)基于Spice協(xié)議的虛擬機(jī)遠(yuǎn)程桌面訪問��。
8.根據(jù)權(quán)利要求7所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)���,其特征在于:所述Spice服務(wù)器模塊為每個(gè)虛擬機(jī)開放一個(gè)端口用于遠(yuǎn)程訪問�,且Spice服務(wù)器配置為TLS安全模式�。
9.一種基于權(quán)利要求1-8中任一項(xiàng)所述的虛擬機(jī)遠(yuǎn)程桌面安全訪問系統(tǒng)的方法,其特征在于�����,包括如下步驟:步驟1.用戶通過身份驗(yàn)證后登陸云服務(wù)平臺的云平臺管理節(jié)點(diǎn)�,用戶從云平臺發(fā)起虛擬機(jī)遠(yuǎn)程桌面請求; 步驟2.云平臺管理節(jié)點(diǎn)處理用戶的虛擬機(jī)遠(yuǎn)程桌面請求�,根據(jù)統(tǒng)一配置分配遠(yuǎn)程桌面代理虛擬機(jī)或使用現(xiàn)有的遠(yuǎn)程桌面代理虛擬機(jī)����,由遠(yuǎn)程桌面代理虛擬機(jī)代理遠(yuǎn)程桌面請求; 步驟3.在遠(yuǎn)程桌面代理虛擬機(jī)上動(dòng)態(tài)分配端口,供用戶遠(yuǎn)程桌面訪問�,并代理轉(zhuǎn)發(fā)遠(yuǎn)程桌面請求的要訪問的虛擬機(jī)所在的計(jì)算節(jié)點(diǎn)物理機(jī)開放的端口; 步驟4.從訪問的虛擬機(jī)所在的計(jì)算節(jié)點(diǎn)物理機(jī)返回用戶需要的遠(yuǎn)程桌面連接到遠(yuǎn)程桌面代理虛擬機(jī)���; 步驟5.遠(yuǎn)程桌面信息從遠(yuǎn)程桌面代理虛擬機(jī)返回到用戶的遠(yuǎn)程桌面客戶端����,客戶端訪問動(dòng)態(tài)分配的虛擬機(jī)���; 步驟6.用戶通過 客戶端觀察到虛擬機(jī)遠(yuǎn)程桌面��,并進(jìn)行桌面操作�。
【文檔編號】H04L29/06GK103618752SQ201310694056
【公開日】2014年3月5日 申請日期:2013年12月18日 優(yōu)先權(quán)日:2013年12月18日
【發(fā)明者】黃井優(yōu), 蕭暢成, 范海生, 任伏虎, 王晉年, 向紹緒, 凌厚文 申請人:廣東中科遙感技術(shù)有限公司