基于安全网关的云桌面管理系统及其安全访问控制方法技术方案

本发明专利技术公开了一种基于安全网关的云桌面管理系统及其安全访问控制方法，SAG安全网关提供统一安全入口，屏蔽内部网络；支持集群，由管理节点调度分发请求；采用令牌机制；具有管理接口。本发明专利技术采用linux防火墙NAT技术建立了外部连接端口与内网网络的映射，提供了统一安全入口屏蔽内部网络；支持集群，采用灵活的架构以及灵活的部署方式，支持多个管理节点加多个Agent节点的架构，由管理节点调度分发请求；采用令牌机制映射端口并保持连接，保证了客户端接入和连接的可管理性。客户端与应用服务器之间实现网络隔离，即客户端与应用服务器设置在不同网段，使得客户端无法直接访问应用服务器，只能通过虚拟机访问应用服务器资源，确保了虚拟化资源的安全性。

【技术实现步骤摘要】

本专利技术涉及一种。
技术介绍
云计算是一种基于计算机网络的以服务方式提供的新型计算模式，是面向服务计算模型的发展，使服务使用者通过网络访问集中的共享计算资源(如服务器、存储、网络、应用、服务等)，其计算资源是动态、可伸缩且被虚拟化的，使服务提供者仅需最少的管理交互工作即可实现计算资源的柔性供应与快速发布。云桌面技术又称为虚拟桌面或者桌面云技术，它能够在云端为用户提供远程的计算机桌面服务。服务提供者在数据中心服务器上运行用户所需的操作系统和应用软件，然后采用桌面显示协议将操作系统桌面视图以图像的方式传送到用户端设备上。同时，服务器将对用户端的输入进行处理，并随时更新桌面视图的内容。近年来，云桌面技术得到了迅速发展，云桌面平台可以管理所提供的资源或服务，以确保可用性、安全和质量等。传统云桌面系统中客户端对于虚拟机的访问是分布式的，无法实现集中访问和控制，而且访问虚拟机的过程需要涉及内部网络，无法提供统一的安全入口，也无法提供合理的端口映射管理。
技术实现思路
本专利技术的目的在于克服现有技术的不足，提供一种，提供统一安全入口屏蔽内部网络，支持集群由管理节点调度分发请求，采用令牌机制映射端口并保持连接，保证客户端接入的可管理性；客户端与应用服务器之间实现网络隔离，即客户端与应用服务器设置在不同网段，使客户端无法直接访问应用服务器，只能通过虚拟机访问应用服务器资源，确保虚拟化资源的安全性。本专利技术的目的是通过以下技术方案来实现的:基于安全网关的云桌面管理系统，它包括DCSS管理控制台、SAG安全网关、VSIP虚拟化基础架构子系统、远程桌面、物理硬件资源池和多个访问终端，各访问终端分别通过通信网络与DCSS管理控制台连接，DCSS管理控制台与远程桌面相连接；DCSS管理控制台还分别通过SAG安全网关和VSIP虚拟化基础架构子系统与交换机相连，交换机与物理硬件资源池连接； 所述的DCSS管理控制台针对虚拟化资源进行管理，提供管理员及用户两种视图，以满足不同用户对桌面管理的需求及个性定制； 所述的SAG安全网关提供对虚拟机远程管理连接的集中访问控制，实现对内部虚拟桌面访问地址的管理，并为用户访问提供统一的、外部可访问的安全地址；支持HA高可用集群部署，提供互联网访问服务，并提供访问审计服务及安全访问记录查询、分析功能； SAG安全网关提供统一安全入口，屏蔽内部网络，采用Iinux防火墙NAT技术建立外部连接端口与内网网络的映射；支持集群，由管理节点调度分发请求，采用灵活的架构及部署方式，支持多个管理节点和多个Agent节点架构，管理节点及Agent分开部署或部署在同一服务器上；采用令牌机制，每个客户端接入时派发令牌，令牌存在时限，需要接入端续租保持令牌激活；具有管理接口，通过管理接口实现客户端接入连接的中断；Agent节点拥有一组端口集合，在建立连接规则时，随机从端口集合中选取端口进行映射，每次连接请求获得的端口是动态的，连接结束直接释放；SAG安全网关包括SAG主管理节点和SAG节点集群，SAG主管理节点提供管理接口、实现令牌续租、第三方应用管理和接入连接管理；SAG节点集群提供连接NAT映射和连接规则管理功能； 所述的VSIP虚拟化基础架构子系统实现物理硬件资源的软件虚拟化，形成虚拟资源池，实现服务器虚拟化统一管理和动态资源调配，既用于帮助用户快速构建一体化、高质量的云计算IaaS基础设施服务体系，又用于支撑上层应用，形成云计算应用解决方案； 所述的远程桌面用于实现远程桌面通信，远程桌面结合SAG安全网关提供通信链路加tMI_L| O所述的访问终端包括PC终端、瘦客户终端和移动终端。基于安全网关的云桌面管理系统，还包括目录服务子系统，目录服务子系统与DCSS管理控制台连接，目录服务子系统用于提供身份、组织及安全证书管理服务，提供用户基础数据。基于安全网关的云桌面管理系统的安全访问控制方法，它包括以下步骤: 51:DCSS管理控制台访问VSIP虚拟化基础架构子系统获取虚拟机启动时注册到VSIP虚拟化基础架构子系统中的宿主机IP，以及映射端口 PORT ； 52:DCSS管理控制台调用SAG安全网关提供的REST服务进行NAT映射，获取本次连接的令牌TOKEN，外部访问IP和外部访问端口 ；通过NAT映射，访问终端只能访问SAG集群中外部IP集合，屏蔽虚拟环境中的网络； 53:DCSS管理控制台组合参数，进行编码后返回给访问终端； 54:访问终端解析参数，获取IP地址以及端口，建立远程访问连接，访问虚拟机； 55:客户定时向SAG安全网关发送令牌TOKEN进行续租，从而保持连接； 56:SAG安全网关定时进行扫描，清除过期的令牌TOKEN，删除NAT映射规则，释放端口资源。基于安全网关的云桌面管理系统的安全访问控制方法，还包括一个部署访问终端与应用服务器网络的步骤: (1)将访问终端与应用服务器设置于不同网段，以使访问终端无法直接访问应用服务器上的数据； (2)将访问终端与物理硬件资源池内的物理资源服务器设置于同一网段，以使访问终端能够直接访问物理资源服务器； (3)将物理资源服务器上运行的虚拟机与应用服务器设置于同一网段，以使虚拟机能够直接访问应用服务器； (4)访问终端只能通过物理资源服务器访问虚拟机，才能访问应用服务器上的数据。本专利技术的有益效果是: I)本专利技术采用I inux防火墙NAT技术建立了外部连接端口与内网网络的映射，提供了统一安全入口屏蔽内部网络； 支持集群，采用灵活的架构以及灵活的部署方式，支持多个管理节点加多个Agent节点的架构，管理节点以及Agent节点可以分开部署，或者部署在同一服务服务器上，由管理节点调度分发请求； 采用令牌机制映射端口并保持连接，每个客户端接入时派发令牌，令牌存在时限，需要接入端续租保持令牌alive，另外可通过管理接口实时中断客户端的接入连接，保证了客户端接入和连接的可管理性。2)本专利技术客户端与应用服务器之间实现网络隔离，即客户端与应用服务器设置在不同网段，使得客户端无法直接访问应用服务器，只能通过虚拟机访问应用服务器资源，确保了虚拟化资源的安全性。3)在DCSS产品解决方案中，目录服务系统为DCSS系统提供用户基础数据，保障DCSS产品与企业的4A产品具有良好的集成性。4) SAG安全网关通过对内部虚拟桌面访问地址的管理，并对企业员工访问提供统一的、外部可访问的安全地址，进一步保障了企业IAAS服务资源访问的安全性。5) SAG安全网关支持HA高可用集群部署，可提供互联网访问服务，并提供访问审计服务，可供管理员进行安全访问记录查询、分析。6)VSIP虚拟化基础架构系统实现了服务器虚拟化统一管理和动态资源调配，既可以用于帮助用户快速构建一体化、高质量的企业级或互联网数据中心云计算IaaS基础设施服务体系，又可以用于支撑桌面云、并行计算框架、仿真测试等上层应用，形成专门的云计算应用解决方案。7)云桌面结合SAG安全网关提供通信链路加密，提高了远程桌面管理的安全性。【附图说明】图1为基于安全网关的75Γ桌面管理系统架构图； 图2为本专利技术安全访问控制方法流程图。【具体实施方式】下面结合附图进一步详细描述本专利技术的技术方案，本文档来自技高网...

【技术保护点】
基于安全网关的云桌面管理系统，其特征在于：它包括DCSS管理控制台、SAG安全网关、VSIP虚拟化基础架构子系统、远程桌面、物理硬件资源池和多个访问终端，各访问终端分别通过通信网络与DCSS管理控制台连接，DCSS管理控制台与远程桌面相连接；DCSS管理控制台还分别通过SAG安全网关和VSIP虚拟化基础架构子系统与交换机相连，交换机与物理硬件资源池连接；所述的DCSS管理控制台针对虚拟化资源进行管理，提供管理员及用户两种视图，以满足不同用户对桌面管理的需求及个性定制；所述的SAG安全网关提供对虚拟机远程管理连接的集中访问控制，实现对内部虚拟桌面访问地址的管理，并为用户访问提供统一的、外部可访问的安全地址；支持HA高可用集群部署，提供互联网访问服务，并提供访问审计服务及安全访问记录查询、分析功能；SAG安全网关提供统一安全入口，屏蔽内部网络，采用linux防火墙NAT技术建立外部连接端口与内网网络的映射；支持集群，由管理节点调度分发请求，采用灵活的架构及部署方式，支持多个管理节点和多个Agent节点架构，管理节点及Agent分开部署或部署在同一服务器上；采用令牌机制，每个客户端接入时派发令牌，令牌存在时限，需要接入端续租保持令牌激活；具有管理接口，通过管理接口实现客户端接入连接的中断；Agent节点拥有一组端口集合，在建立连接规则时，随机从端口集合中选取端口进行映射，每次连接请求获得的端口是动态的，连接结束直接释放；SAG安全网关包括SAG主管理节点和SAG节点集群，SAG主管理节点提供管理接口、实现令牌续租、第三方应用管理和接入连接管理；SAG节点集群提供连接NAT映射和连接规则管理功能；所述的VSIP虚拟化基础架构子系统实现物理硬件资源的软件虚拟化，形成虚拟资源池，实现服务器虚拟化统一管理和动态资源调配，既用于帮助用户快速构建一体化、高质量的云计算IaaS基础设施服务体系，又用于支撑上层应用，形成云计算应用解决方案；所述的远程桌面用于实现远程桌面通信，远程桌面结合SAG安全网关提供通信链路加密。...

【技术特征摘要】

【专利技术属性】
技术研发人员：李凡，柳岸，王流一，
申请(专利权)人：成都盛思睿信息技术有限公司，
类型：发明
国别省市：四川;51