一种多网络隔离环境下的计算机桌面服务访问装置及方法。所述方法包括以下步骤:在每个隔离网络中部署提供虚拟桌面服务的服务器;用户终端与待访问网络之间放置网络切换器;每台虚拟桌面服务器都至少有两个物理网络接口;部署一个写入设备将用户个人数据写入用户个人设备;用户终端的操作系统中创建监控进程和至少一个虚拟桌面客户端进程;用户终端运行监控进程及客户端进程;监控进程选择1个空闲客户端进程连接隔离网络;若用户终端检测到网络切换,销毁用户当前工作虚拟桌面客户端进程,选用或生成一个新的客户端进程,识别新连接到的隔离网络。使用本发明专利技术,可以提高多网络隔离环境下的用户工作桌面访问的安全性、方便性、快速响应能力。
【技术实现步骤摘要】
本专利技术涉及计算机云计算、虚拟计算、云桌面领域,尤其是涉及一种多网络隔离环境下的计算机桌面服务访问装置及方法。
技术介绍
由于对不同网络的安全需求不同,在政府、军队、有保密要求的企业或组织内部,常常存在多个物理隔离的网络环境,普通情况下不容许计算机终端同时连接这些隔离的网络。用户访问多个网络时,第一种方法是在工作台上放置多台终端,每台终端单独连接一个网络,第二种方法是使用一台终端,通过KVM多电脑切换器切换到不同网络,第三种方法是使用一台终端,在终端内部运行多个彼此隔离的虚拟环境,每个虚拟环境连接一个网络。上述第一种方法每个人需多台终端,硬件成本高,使用不便;第二种方法因为个人用KVM电脑切换器一般有物理距离限制,同一台终端维护同一个软件操作环境容易被利用成为跳板攻击先后连接的网络;第三种方法同时连接有多个网络且在终端同时保持了多个虚拟操作环境,安全性容易受到挑战。云桌面系统利用虚拟化技术将服务器计算资源池化,把部署在服务器里面的传统电脑桌面或应用程序通过网络交付至终端,用户的工作桌面计算环境与用户终端计算环境分离,使用方式灵活。如何能使用云桌面技术满足和提高多网隔离环境下网络服务访问的安全性、使用方便、快速响应要求,是现有技术中有待解决的问题。
技术实现思路
本专利技术要解决的技术问题是,针对上述现有技术中存在的问题,提供一种多网络隔离环境下的计算机桌面服务访问装置及方法,满足和提高多网隔离环境下用户桌面环境的安全性、使用方便、快速响应要求。本专利技术解决其技术问题所采用的技术方案是:一种多网络隔离环境下的计算机桌面服务访问装置,包括至少一台虚拟桌面服务器,每台虚拟桌面服务器均设有至少两个物理网络接口,其中一个物理网络接口连接到虚拟桌面服务器所属隔离网络,另一个物理网络接口连接到网络切换器所在网络;每台虚拟桌面服务器内运行有至少一个虚拟机,每个虚拟机中运行有用户虚拟桌面环境,用户虚拟桌面环境中运行有用户应用程序;网络切换器设于用户终端和隔离网络之间,用户终端的操作系统中设有监控进程和至少一个虚拟桌面客户端进程;还包括个人数据写入设备和个人设备,个人数据写入设备用于将用户个人数据写入个人设备。一种使用如前所述多网络隔离环境下的计算机桌面服务访问装置进行计算机桌面服务的访问方法,包括以下步骤:(1)在每个隔离网络中部署提供虚拟桌面服务的服务器;(2)在虚拟桌面服务器内运行至少一个虚拟机,每个虚拟机中运行用户虚拟桌面环境,虚拟桌面环境中运行用户应用程序;(3)用户应用程序通过一个物理网络接口访问所连接隔离网络,用户虚拟桌面环境通过另一个物理网络接口推送到用户终端中的虚拟桌面客户端进程;(4)在每个用户终端与隔离网络之间放置一个网络切换器,用户终端与每个隔离网络分别连接到所述网络切换器的不同端口,所述网络切换器通过其内部连线将用户终端连接到不同隔离网络,且用户终端只能同时物理连接到一个隔离网络;(5)部署一个个人数据写入设备将用户个人数据如用户名、密码、服务器IP址等写入用户个人设备,用户个人设备可为只读光盘、U盘或其它有存储功能的设备,写入时可采取数据加密方式,写入后用户个人设备可以设为只读或以口令方式保护个人设备的数据访问;(6)在用户终端的操作系统中创建监控进程和至少一个虚拟桌面客户端进程;用户终端的操作系统在只读存储设备上启动,运行中产生数据不能写入到所述只读存储设备中。用户的个人数据通过用户个人设备接入用户终端。(7)用户终端运行监控进程和至少一个虚拟桌面客户端进程(最少1个,优选2-3个,可更多个),但同时最多只有1个客户端进程正在连接或保持从虚拟桌面服务器推送过来的用户虚拟桌面环境;(8)检测当前连接物理网络,取出对应个人数据,用户终端监控进程选择1个空闲客户端进程连接当前物理连接到的一个隔离网络,访问所述隔离网络中的虚拟桌面服务器,得到用户工作桌面;用户终端上显示虚拟桌面环境;(9)用户终端检测网络切换器是否切换到了新网络,即用户是否使用网络切换器切换到另一个网络;(10)若用户终端未检测到网络切换,停留于当前工作虚拟桌面,使用当前工作虚拟桌面继续进行日常工作;若用户终端检测到网络切换,销毁用户当前工作虚拟桌面客户端进程,选用或生成一个新的客户端进程,识别新连接到的隔离网络,并选用个人数据中对应新隔离网络的登录数据,自动连接新隔离网络中的虚拟桌面服务器,如果资源足够则再生成至少1个新的虚拟桌面客户端进程备用。(11)重复步骤(9)(10)。进一步,所述步骤(4)和步骤(8)中,若存在两个以上虚拟桌面客户端进程,可以以队列、数组或集合等多种方式组织虚拟桌面客户端进程。进一步,所述步骤(10)中,若用户终端检测到网络切换,销毁用户当前工作虚拟桌面客户端进程后,判断是否有空闲客户端进程;若有,则选用一个空闲虚拟桌面客户端进程,以新网络个人数据连接新隔离网络的虚拟桌面服务器,并生成一个新的虚拟桌面客户端进程备用;若没有,则生成一个新的虚拟桌面客户端进程后连接新隔离网络的虚拟桌面服务器。进一步,为满足安全性要求,虚拟桌面服务器、用户终端、推送的用户虚拟桌面均可以是国产操作系统,如麒麟操作系统软件、中标麒麟操作系统、优麒麟终端操作系统等。使用本专利技术,可以提高多网络隔离环境下的用户工作桌面访问的安全性、方便性、快速响应能力。云桌面服务器(即虚拟桌面服务器)使用不同的物理网口连接隔离网络与用户终端,为隔离网络与用户终端提供屏蔽,提高了安全性(假设此环节被攻击成功的可能性降至a%);网络切换器通过物理连接来实现不同端口的连通和中断,且保证同时只有一个连接网络的端口连接到用户终端,提高了安全性;用户终端通过网络切换器连接到隔离网络,且同时只物理连接一个隔离网络,提高了安全性(假设此环节被攻击成功的可能性降至b%);用户终端操作系统从只读设备启动,用户终端内同时最多只保有一个激活的虚拟桌面客户端进程,且在检测到网络切换后自动销毁,提高了安全性(假设此环节被攻击成功的可能性降至c%);每个用户只需使用一个用户终端来访问不同隔离网络,提高了方便性;在用户终端保持了空闲的虚拟桌面客户端进程,提高了快速响应能力;通过采用基于国产操作系统的服务器、用户终端和虚拟桌面,在操作系统层面保证自主可控,提高了安全性(假设此环节被攻击成功的可能性降至d%)。本访问装置通过串联使用以上所述提高安全性的部件,可结合使用方法一起,使得突破各层部件到达所保护隔离网络的总的被攻击成功可能性降至a%*b%*c%*d%,能显著提高所保护隔离网络的安全性。附图说明图1为表示多网络隔离环境下的计算机桌面服务访问装置的示意图;图2表示本专利技术多网络隔离环境下的计算机桌面服务的访问方法的流程图。具体实施方式以下结合附图和实施例对本专利技术作进一步说明。实施例1:参照图1,多网络隔离环境下的计算机桌面服务访问装置包括第一云桌面服务器11(即虚拟桌面服务器)和第二云桌面服务器21(即虚拟桌面服务器),第一云桌面服务器11设于隔离网络一10中,第一云桌面服务器11通过物理网络接口111(即图1中的网口)连接隔离网络一10,第二云桌面服务器21设于隔离网络二20中,第二云桌面服务器21通过另一物理网络接口211(即图1中的网口)连接隔离网络二20,隔离网络一和隔离网本文档来自技高网...
【技术保护点】
一种多网络隔离环境下的计算机桌面服务访问装置,其特征在于,包括至少一台虚拟桌面服务器,每台虚拟桌面服务器均设有至少两个物理网络接口,其中一个物理网络接口连接到虚拟桌面服务器所属隔离网络,另一个物理网络接口连接到网络切换器所在网络;每台虚拟桌面服务器内运行有至少一个虚拟机,每个虚拟机中运行有用户虚拟桌面环境,用户虚拟桌面环境中运行有用户应用程序;网络切换器设于用户终端和隔离网络之间,用户终端的操作系统中设有监控进程和至少一个虚拟桌面客户端进程;还包括个人数据写入设备和个人设备,个人数据写入设备用于将用户个人数据写入个人设备。
【技术特征摘要】
1.一种多网络隔离环境下的计算机桌面服务访问装置,其特征在于,包括至少一台虚拟桌面服务器,每台虚拟桌面服务器均设有至少两个物理网络接口,其中一个物理网络接口连接到虚拟桌面服务器所属隔离网络,另一个物理网络接口连接到网络切换器所在网络;每台虚拟桌面服务器内运行有至少一个虚拟机,每个虚拟机中运行有用户虚拟桌面环境,用户虚拟桌面环境中运行有用户应用程序;网络切换器设于用户终端和隔离网络之间,用户终端的操作系统中设有监控进程和至少一个虚拟桌面客户端进程;还包括个人数据写入设备和个人设备,个人数据写入设备用于将用户个人数据写入个人设备。2.一种使用如权利要求1所述多网络隔离环境下的计算机桌面服务访问装置进行计算机桌面服务的访问方法,其特征在于,包括以下步骤:(1)在每个隔离网络中部署提供虚拟桌面服务的服务器;(2)在虚拟桌面服务器内运行至少一个虚拟机,每个虚拟机中运行用户虚拟桌面环境,虚拟桌面环境中运行用户应用程序;(3)用户应用程序通过一个物理网络接口访问所连接隔离网络,用户虚拟桌面环境通过另一个物理网络接口推送到用户终端中的虚拟桌面客户端进程;(4)在每个用户终端与隔离网络之间放置一个网络切换器,用户终端与每个隔离网络分别连接到所述网络切换器的不同端口,所述网络切换器通过其内部连线将用户终端连接到不同隔离网络,且用户终端只能同时物理连接到一个隔离网络;(5)部署一个个人数据写入设备将用户个人数据写入用户个人设备,写入后用户个人设备设为只读或以口令方式保护个人设备的数据访问;(6)在用户终端的操作系统中创建监控进程和至少一个虚拟桌面客户端进程;用户终端的操作系统在只读存储设备上启动,运行中产生数据不能写入到所述只读存储设备中;用户的个人数据通过用户个人设备接入用户终端;(7)用户终端运行监控进程和至少一个虚拟桌面客户端进程,但同时最...
【专利技术属性】
技术研发人员:卢刚,欧阳殷朝,孙利杰,徐鹏,杨涛,陈松政,
申请(专利权)人:湖南麒麟信安科技有限公司,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。