[发明专利]一种面向虚拟桌面资源保护的动态连接控制方法

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种在虚拟桌面环境下准入控制的装置。

背景技术

虚拟桌面技术是一种实现应用终端集中化的可行技术手段，通过虚拟桌面技术可以使原来分散的数据处理和存储集中化成为可能。在数据处理和存储实现集中化的同时，用户可以通过多种类的、多位置的访问手段来访问虚拟桌面中的数据。用户操作终端与虚拟桌面服务器之间依靠虚拟桌面协议进行通信。

应用虚拟桌面技术具有安全性、保密性的优点，但是用户操作终端因为蠕虫或DDOS攻击等，会导致虚拟桌面这边的网络性能下降。而且用户如果不守规矩，可以直接用虚拟桌面的IP地址和知道的用户名/口令远程连接到虚拟桌面，完全不经过虚拟桌面管理平台，使虚拟管理平台不知道它管理的资源是否被占用了还空闲着。因此需要设计方法，能够将用户操作终端和虚拟桌面加以隔断并截获用户的操作控制其整个对虚拟桌面的数据访问过程。

发明内容

本发明解决的技术问题在于提出一种面向虚拟桌面资源保护的动态连接控制方法，提高虚拟桌面环境下的数据安全性。在虚拟桌面环境下，用户操作终端和虚拟桌面服务器之间，部署有相应的虚拟桌面管理平台以及虚拟桌面隔离和准入控制系统。

为了解决以上问题，一种面向虚拟桌面资源保护的动态连接控制方法，包括以下步骤：

虚拟桌面隔离和准入控制系统截获用户操作终端的连接认证请求并转交到虚拟桌面管理平台；

虚拟桌面管理平台分析认证后调度虚拟桌面资源并将用户此次的连接标识返回给虚拟桌面隔离和准入控制系统；

虚拟桌面隔离和准入控制系统完成用户操作终端到虚拟桌面的具有用户身份连接标识的连接；

用户操作终端断开此次连接，虚拟桌面隔离和准入控制系统截获用户操作终端的连接拆除行为并转交到虚拟桌面管理平台；

虚拟桌面管理平台分析后收回虚拟桌面资源并通知虚拟桌面隔离和准入控制系统断开用户此次到虚拟桌面的连接；

虚拟桌面隔离和准入控制系统拒绝用户操作终端到虚拟桌面任何未经认证的连接。

进一步，作为一种优选，为了降低应用的复杂性，用户操作终端从虚拟桌面服务器获取虚拟桌面服务的过程有两个阶段：连接建立阶段和拆除断开阶段。

进一步，作为一种优选，所述虚拟桌面隔离和准入控制系统截获用户操作终端的连接认证请求并转交到虚拟桌面管理平台步骤进一步包括：虚拟桌面隔离和准入控制系统保证用户操作终端不会对虚拟桌面造成干扰，从而阻断用户操作终端自身的不安全问题传播或传染到虚拟桌面系统。

进一步，作为一种优选，所述虚拟桌面隔离和准入控制系统截获用户操作终端的连接认证请求并转交到虚拟桌面管理平台步骤进一步包括：虚拟桌面隔离和准入控制系统防止用户通过操作终端不经过认证就连接并访问虚拟桌面，导致虚拟桌面资源被滥用，管理失控。

进一步，作为一种优选，所述虚拟桌面隔离和准入控制系统截获用户操作终端的连接认证请求并转交到虚拟桌面管理平台步骤进一步包括：在连接建立阶段，用户操作终端向虚拟桌面隔离和准入控制系统发起的连接认证，认证方法不仅包括用户名身份证，还可以支持数字证书，动态口令方式。

进一步，作为一种优选，所述虚拟桌面管理平台分析认证后调度虚拟桌面资源并将用户此次的连接标识返回给虚拟桌面隔离和准入控制系统步骤进一步包括：连接标识中用户操作终端的特征信息可以是硬盘标识，网卡地址硬件信息或这些信息的综合。

进一步，作为一种优选，所述虚拟桌面隔离和准入控制系统完成用户操作终端到虚拟桌面的具有用户身份连接标识的连接步骤进一步包括：虚拟桌面隔离和准入控制系统应当保证在用户操作终端到虚拟桌面的连接过程中能够对传输的每一条信息进行过滤，以确保该方法无法被旁路或绕开。

进一步，作为一种优选，虚拟桌面管理平台分析后收回虚拟桌面资源并通知虚拟桌面隔离和准入控制系统断开用户此次到虚拟桌面连接的步骤进一步包括：虚拟桌面管理平台取消用户操作终端到虚拟桌面的连接信息，虚拟桌面隔离和准入控制系统查不到用户操作终端的连接信息将拒绝用户对虚拟桌面的直接访问。

进一步，作为一种优选，虚拟桌面隔离和准入控制系统拒绝用户操作终端到虚拟桌面任何未经认证的连接的步骤包括，如果用户不通过操作终端向虚拟桌面隔离和准入控制系统发出连接请求，即使用户知道要访问的虚拟桌面的IP地址、用户名和口令字等，也无法绕过虚拟桌面隔离和准入控制系统私自连接并访问虚拟桌面系统。