CN104202379B - 一种基于usb映射的存储设备多用户隔离方法及装置 - Google Patents
一种基于usb映射的存储设备多用户隔离方法及装置 Download PDFInfo
- Publication number
- CN104202379B CN104202379B CN201410421677.2A CN201410421677A CN104202379B CN 104202379 B CN104202379 B CN 104202379B CN 201410421677 A CN201410421677 A CN 201410421677A CN 104202379 B CN104202379 B CN 104202379B
- Authority
- CN
- China
- Prior art keywords
- storage device
- user
- drive
- session
- server end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于USB映射的存储设备多用户隔离方法,包括如下步骤:步骤10、当用户将存储设备插入客户端,通过USB映射技术将该存储设备映射到服务器端;步骤20、在服务器端,将该存储设备的物理盘符过滤,禁止该存储设备生成物理盘符;步骤30、该用户连接远程虚拟桌面后,将映射到服务器端的存储设备直接挂载到用户Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离。本发明还提供一种基于USB映射的存储设备多用户隔离装置。本发明适用于所有类型的存储设备的多用户隔离,且多用户盘符隔离有效保证了用户间的数据安全问题;同时还解决了传统USB映射存储设备最多映射26个盘符的限制。
Description
【技术领域】
本发明涉及一种基于USB映射的存储设备多用户隔离方法及装置。
【背景技术】
随着云计算技术的推广,SBC虚拟化模式使用越来越广泛(SBC是Server-basedComputing的缩写,中文名称为:基于服务器计算,是指将应用程序的大部分处理工作放在服务器中运行,而只是将屏幕画面通过压缩算法传送给客户端用来显示结果)。在SBC虚拟环境下办公,文件资料的传输是必不可少的,保证不同用户之间的数据安全变得越来越重要。因此,各虚拟化厂商也相应推出了自己的USB映射方案,但是此方案无法解决登陆到服务器端的不同用户之间存储设备的隔离问题,且由于服务器端最多只能映射A~Z的26个盘符,因此,限制了多个客户端同时插入存储设备的数量,最多只能有26个存储设备。
【发明内容】
本发明要解决的技术问题之一,在于提供一种基于USB映射的存储设备多用户隔离方法,其解决了多用户间存储设备的隔离问题,以及现有USB映射方案存在的最多映射26个盘符的限制,即多客户端插入存数设备最多26个的限制。
本发明通过技术方案一解决上述技术问题之一:
技术方案一:
一种基于USB映射的存储设备多用户隔离方法,包括如下步骤:
步骤10、当用户将存储设备插入客户端,通过USB映射技术将该存储设备映射到服务器端;
步骤20、在服务器端,将该存储设备的物理盘符过滤,禁止该存储设备生成物理盘符;
步骤30、该用户连接远程虚拟桌面后,将映射到服务器端的存储设备直接挂载到用户Session盘符,其他用户的远程虚拟桌面就无法看到并访问该Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的。
进一步地,所述步骤20具体为:在服务器端,检测存储设备的插入事件,当检测到有存储设备插入时,获取存储设备的盘符信息,在服务器上的系统挂载物理盘符之前,获取存储设备的范例ID,然后将该范例ID填写到注册表中,模拟出系统挂载物理盘符的整个过程,让系统认为该物理盘符已经挂载,从而实现禁止物理盘符生成的功能,此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端,均禁止生成物理盘符。
进一步地,所述步骤30具体为:在完成禁止物理盘符生成之后,判断该存储设备是否是从客户端映射到服务器端的,如果不是,则该存储设备是从服务器端直接插入,直接将该存储设备挂载成所有用户都可以看到物理盘符;如果是,再判断是哪个用户Session映射的存储设备,确定用户后,获取该用户Session的Access Token,利用系统允许高权限向低权限切换的机制,将该高权限切换成该用户Session低权限Access Token,从而将该存储设备挂载成用户Session盘符,该用户连接远程虚拟桌面后,仅该用户看到该Session盘符,其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的。
本发明要解决的技术问题之二,在于提供一种基于USB映射的存储设备多用户隔离装置,其解决了多用户间存储设备的隔离问题,以及现有USB映射方案存在的最多映射26个盘符的限制,即多客户端插入存数设备最多26个的限制。
技术方案二:
一种基于USB映射的存储设备多用户隔离装置,包括:
USB映射模块:当用户将存储设备插入客户端,所述USB映射模块通过USB映射技术将该存储设备映射到服务器端;
盘符禁止模块:在服务器端,所述盘符禁止模块将该存储设备的物理盘符过滤,禁止该存储设备生成物理盘符;
服务模块:该用户连接远程虚拟桌面后,服务模块将映射到服务器端的存储设备直接挂载到用户Session盘符,其他用户的远程虚拟桌面就无法看到并访问该Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的。
进一步地,所述盘符禁止模块具体为:服务器检测存储设备的插入事件,当检测到有存储设备插入时,所述盘符禁止模块获取存储设备的盘符信息,在服务器上的系统挂载物理盘符之前,获取存储设备的范例ID,然后将该范例ID填写到注册表中,模拟出系统挂载物理盘符的整个过程,让系统认为该物理盘符已经挂载,从而实现禁止物理盘符生成功能,此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端,均禁止生成物理盘符。
进一步地,所述服务模块具体为:所述盘符禁止模块完成禁止物理盘符生成之后,所述服务模块判断该存储设备是否是从客户端映射到服务器端的,如果不是,则该存储设备是从服务器端直接插入,直接将该存储设备挂载成所有用户都可以看到物理盘符;如果是,再判断是哪个用户Session映射的存储设备,确定用户后,获取该用户Session的AccessToken,利用系统允许高权限向低权限切换的机制,将该高权限切换成该用户Session低权限Access Token,从而将该存储设备挂载成用户Session盘符,该用户连接远程虚拟桌面后,仅该用户看到该Session盘符,其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的。
本发明具有如下优点:本发明适用于所有类型的存储设备的多用户隔离,首先通过禁止服务器系统自动生成物理盘符,进而再获取该用户Session的Access Token,将该高权限切换成该用户Session低权限Access Token,从而将该存储设备挂载成用户Session盘符,其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符,有效保证了用户间的数据安全问题;同时还解决了传统USB映射存储设备最多映射26个盘符的限制。
【附图说明】
下面参照附图结合实施例对本发明作进一步的说明。
图1为本发明方法流程示意图。
图2为本发明装置示意图。
【具体实施方式】
实施例一、
请参阅图1,一种基于USB映射的存储设备多用户隔离方法,包括如下步骤:
步骤10、当用户将存储设备插入客户端,通过USB映射技术将该存储设备映射到服务器端;
步骤20、在服务器端,将该存储设备的物理盘符过滤,禁止该存储设备生成物理盘符;
所述步骤20具体为:在服务器端,检测存储设备的插入事件,当检测到有存储设备插入时,获取存储设备的盘符信息,在服务器上的系统挂载物理盘符之前,获取存储设备的范例ID,然后将该范例ID填写到注册表中,模拟出系统挂载物理盘符的整个过程,让系统认为该物理盘符已经挂载,从而实现禁止物理盘符生成的功能,此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端,均禁止生成物理盘符;
步骤30、该用户连接远程虚拟桌面后,将映射到服务器端的存储设备直接挂载到用户Session盘符,其他用户的远程虚拟桌面就无法看到并访问该Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的;所述Session盘符是只有在当前Session的用户才能看到的盘符,所述Session中文译文为会话,从客户端连接到服务端的一个远程虚拟桌面连接相当于一个Session;
所述步骤30具体为:在完成禁止物理盘符生成之后,判断该存储设备是否是从客户端映射到服务器端的,如果不是,则该存储设备是从服务器端直接插入,直接将该存储设备挂载成所有用户都可以看到物理盘符;如果是,再判断是哪个用户Session映射的存储设备,确定用户后,获取该用户Session的Access Token(所述Access Token中文译文为访问令牌:Windows操作系统安全性的一个概念,一个访问令牌包含了此登陆会话的安全信息),利用系统允许高权限向低权限切换的机制,将该高权限切换成该用户Session低权限Access Token,从而将该存储设备挂载成用户Session盘符,该用户连接远程虚拟桌面后,仅该用户看到该Session盘符,其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的。
实施例二、
请参阅图2,一种基于USB映射的存储设备多用户隔离装置,包括:
USB映射模块:当用户将存储设备插入客户端,所述USB映射模块通过USB映射技术将该存储设备映射到服务器端;
盘符禁止模块:在服务器端,所述盘符禁止模块将该存储设备的物理盘符过滤,禁止该存储设备生成物理盘符,所述物理盘符是连接到同一个服务器的所有用户的远程虚拟桌面都可以看到的盘符;
所述盘符禁止模块具体为:在服务器端,所述盘符禁止模块检测存储设备的插入事件,当检测到有存储设备插入时,所述盘符禁止模块获取存储设备的盘符信息,在服务器上的系统挂载物理盘符之前,获取存储设备的范例ID,然后将该范例ID填写到注册表中,模拟出系统挂载物理盘符的整个过程,让系统认为该物理盘符已经挂载,从而实现禁止物理盘符生成的功能,此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端,均禁止生成物理盘符;
服务模块:该用户连接远程虚拟桌面后,服务模块将映射到服务器端的存储设备直接挂载到用户Session盘符,其他用户的远程虚拟桌面就无法看到并访问该Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的;所述Session盘符是只有在当前Session的用户才能看到的盘符,所述Session中文译文为会话,从客户端连接到服务端的一个远程虚拟桌面连接相当于一个Session;
所述服务模块具体为:所述盘符禁止模块完成禁止物理盘符生成之后,所述服务模块判断该存储设备是否是从客户端映射到服务器端的,如果不是,则该存储设备是从服务器端直接插入,直接将该存储设备挂载成所有用户都可以看到物理盘符;如果是,再判断是哪个用户Session映射的存储设备,确定用户后,获取该用户Session的Access Token(所述Access Token中文译文为访问令牌:Windows操作系统安全性的一个概念,一个访问令牌包含了此登陆会话的安全信息),利用系统允许高权限向低权限切换的机制,将该高权限切换成该用户Session低权限Access Token,从而将该存储设备挂载成用户Session盘符,每个用户都可以使用A~Z的26字符作为Session盘符,因此,解决了插入的存储设备数量受限的问题。该用户连接远程虚拟桌面后,仅该用户看到该Session盘符,其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的。
本发明适用于所有类型的存储设备的多用户隔离,且多用户盘符隔离有效保证了用户间的数据安全问题;同时还解决了传统USB映射存储设备最多映射26个盘符的限制。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。
Claims (4)
1.一种基于USB映射的存储设备多用户隔离方法,其特征在于,包括如下步骤:
步骤10、当用户将存储设备插入客户端,通过USB映射技术将该存储设备映射到服务器端;
步骤20、在服务器端,将该存储设备的物理盘符过滤,禁止该存储设备生成物理盘符;
步骤30、该用户连接远程虚拟桌面后,将映射到服务器端的存储设备直接挂载到用户Session盘符,其他用户的远程虚拟桌面就无法看到并访问该Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的;
所述步骤30具体为:在完成禁止物理盘符生成之后,判断该存储设备是否是从客户端映射到服务器端的,如果不是,则该存储设备是从服务器端直接插入,直接将该存储设备挂载成所有用户都可以看到物理盘符;如果是,再判断是哪个用户Session映射的存储设备,确定用户后,获取该用户Session的Access Token,利用系统允许高权限向低权限切换的机制,将该高权限切换成该用户Session低权限Access Token,从而将该存储设备挂载成用户Session盘符,该用户连接远程虚拟桌面后,仅该用户看到该Session盘符,其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的。
2.根据权利要求1所述的一种基于USB映射的存储设备多用户隔离方法,其特征在于,所述步骤20具体为:在服务器端,检测存储设备的插入事件,当检测到有存储设备插入时,获取存储设备的盘符信息,在服务器上的系统挂载物理盘符之前,获取存储设备的范例ID,然后将该范例ID填写到注册表中,模拟出系统挂载物理盘符的整个过程,让系统认为该物理盘符已经挂载,从而实现禁止物理盘符生成的功能,此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端,均禁止生成物理盘符。
3.一种基于USB映射的存储设备多用户隔离装置,其特征在于,包括:
USB映射模块:当用户将存储设备插入客户端,所述USB映射模块通过USB映射技术将该存储设备映射到服务器端;
盘符禁止模块:在服务器端,所述盘符禁止模块将该存储设备的物理盘符过滤,禁止该存储设备生成物理盘符;
服务模块:该用户连接远程虚拟桌面后,服务模块将映射到服务器端的存储设备直接挂载到用户Session盘符,其他用户的远程虚拟桌面就无法看到并访问该Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的;
所述服务模块具体为:所述盘符禁止模块完成禁止物理盘符生成之后,所述服务模块判断该存储设备是否是从客户端映射到服务器端的,如果不是,则该存储设备是从服务器端直接插入,直接将该存储设备挂载成所有用户都可以看到物理盘符;如果是,再判断是哪个用户Session映射的存储设备,确定用户后,获取该用户Session的Access Token,利用系统允许高权限向低权限切换的机制,将该高权限切换成该用户Session低权限AccessToken,从而将该存储设备挂载成用户Session盘符,该用户连接远程虚拟桌面后,仅该用户看到该Session盘符,其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符,从而实现不同用户远程虚拟桌面间的盘符隔离,达到数据隔离,安全访问的目的。
4.根据权利要求3所述的一种基于USB映射的存储设备多用户隔离装置,其特征在于,所述盘符禁止模块具体为:服务器检测存储设备的插入事件,当检测到有存储设备插入时,所述盘符禁止模块获取存储设备的盘符信息,在服务器上的系统挂载物理盘符之前,获取存储设备的范例ID,然后将该范例ID填写到注册表中,模拟出系统挂载物理盘符的整个过程,让系统认为该物理盘符已经挂载,从而实现禁止物理盘符生成功能,此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端,均禁止生成物理盘符。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410421677.2A CN104202379B (zh) | 2014-08-25 | 2014-08-25 | 一种基于usb映射的存储设备多用户隔离方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410421677.2A CN104202379B (zh) | 2014-08-25 | 2014-08-25 | 一种基于usb映射的存储设备多用户隔离方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104202379A CN104202379A (zh) | 2014-12-10 |
| CN104202379B true CN104202379B (zh) | 2017-06-06 |
Family
ID=52087604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410421677.2A Active CN104202379B (zh) | 2014-08-25 | 2014-08-25 | 一种基于usb映射的存储设备多用户隔离方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104202379B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245523B (zh) * | 2015-10-15 | 2019-02-12 | 成都电科致远网络科技有限公司 | 应用于桌面虚拟化场景的存储服务平台及其实现方法 |
| CN105653028B (zh) * | 2015-12-25 | 2019-02-19 | 福建升腾资讯有限公司 | 一种基于远程桌面协议对人体工程学设备进行usb映射的方法 |
| CN106778355A (zh) * | 2017-01-19 | 2017-05-31 | 深圳市云点科技有限公司 | 数据的隔离访问方法和装置 |
| US11216238B2 (en) | 2018-12-28 | 2022-01-04 | Microsoft Technology Licensing, Llc | Scoping the lifetime of personal devices connected to communal computing devices |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035039A (zh) * | 2007-04-20 | 2007-09-12 | 福建升腾资讯有限公司 | Usb映射方法 |
| CN102270186A (zh) * | 2011-07-21 | 2011-12-07 | 华中科技大学 | 一种虚拟桌面外部设备支持系统 |
| CN102394894A (zh) * | 2011-11-28 | 2012-03-28 | 武汉大学 | 一种基于云计算的网络虚拟磁盘文件安全管理方法 |
| CN102411688A (zh) * | 2011-11-28 | 2012-04-11 | 福建升腾资讯有限公司 | 多用户隔离访问终端服务器上的虚拟usb外设的方法 |
| CN103327005A (zh) * | 2013-05-15 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | 基于虚拟桌面的设备接入方法及装置 |
-
2014
- 2014-08-25 CN CN201410421677.2A patent/CN104202379B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035039A (zh) * | 2007-04-20 | 2007-09-12 | 福建升腾资讯有限公司 | Usb映射方法 |
| CN102270186A (zh) * | 2011-07-21 | 2011-12-07 | 华中科技大学 | 一种虚拟桌面外部设备支持系统 |
| CN102394894A (zh) * | 2011-11-28 | 2012-03-28 | 武汉大学 | 一种基于云计算的网络虚拟磁盘文件安全管理方法 |
| CN102411688A (zh) * | 2011-11-28 | 2012-04-11 | 福建升腾资讯有限公司 | 多用户隔离访问终端服务器上的虚拟usb外设的方法 |
| CN103327005A (zh) * | 2013-05-15 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | 基于虚拟桌面的设备接入方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104202379A (zh) | 2014-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104202379B (zh) | 一种基于usb映射的存储设备多用户隔离方法及装置 | |
| CN106105146B (zh) | 在密码证明资源处保护客户端指定凭证 | |
| CN104506499B (zh) | 单点登录应用系统的方法及装置 | |
| CN105550576B (zh) | 容器间通信的方法与装置 | |
| CN104954451B (zh) | 一种虚拟化环境下usb设备的访问控制方法 | |
| US20180322730A1 (en) | Slot Machine With Charging Port for Mobile Phones | |
| CN104321781B (zh) | 用于安全地处理与物理功能驱动器的虚拟功能驱动器通信的方法、系统和装置 | |
| CN106797383A (zh) | 多租户环境中的安全性上下文管理 | |
| CN103618752B (zh) | 一种虚拟机远程桌面安全访问系统及方法 | |
| CN103902878B (zh) | 一种虚拟环境下的License认证方法和装置 | |
| CN108200022A (zh) | 一种云平台接入方法、装置及多云平台管理系统 | |
| US20090204960A1 (en) | System, method and computer program product for accessing a memory space allocated to a virtual machine | |
| CN106255955A (zh) | 多操作系统装置的访问隔离 | |
| TWI737172B (zh) | 用於安全作業系統映像之增量解密及完整度驗證之電腦系統、電腦程式產品及電腦實施方法 | |
| CN103198037A (zh) | Io设备可信管控方法及其系统 | |
| CN104951688A (zh) | 适用于Xen虚拟化环境下的专用数据加密方法及加密卡 | |
| CN104780042A (zh) | 一种即时通信的双层认证方法、装置及系统 | |
| CN109711206A (zh) | 一种多用户安全硬盘及其控制方法 | |
| CN102253902A (zh) | 移动存储设备数据的保护方法 | |
| CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
| CN105120010B (zh) | 一种云环境下虚拟机防窃取方法 | |
| CN110515700A (zh) | 一种虚拟机迁移方法、系统、装置及可读存储介质 | |
| CN103281221B (zh) | 消防物联网系统测试方法 | |
| CN207424873U (zh) | 网络物理隔离计算机和系统 | |
| CN102752412B (zh) | Wan环境下端口映射方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |