CN105049414A - 一种面向虚拟桌面的数据流控制方法及信息安全装置 - Google Patents

Abstract

本发明公开了一种面向虚拟桌面的数据流控制方法及信息安全装置，包括以下步骤：在虚拟桌面和操作平台之间添加中间人身份步骤；由中间人依据既定策略实施通道的受控建立步骤。有效控制了虚拟桌面和操作平台之间的数据交换，提高了虚拟桌面系统中的数据安全。

Description

一种面向虚拟桌面的数据流控制方法及信息安全装置

技术领域

本发明涉及信息安全技术领域，尤其涉及一种在虚拟桌面环境下控制数据流的方法以及信息安全装置。

背景技术

虚拟桌面是一种新兴的虚拟化应用。它使用硬件虚拟化技术，用少量的服务器虚拟出大量的虚拟机，并在虚拟机上部署桌面操作系统，复用了服务器硬件资源，用户可以使用不同终端，如传统PC、笔记本电脑、智能手机、瘦终端等通过网络访问这些桌面操作系统。虚拟桌面改变了生产环境中终端的管理模式，它将传统的用户PC终端分散管理模式转变为集约的管理模式，能够有效减少系统运维成本和运维工作量。

在生产环境中实施了虚拟桌面后，应用数据和操作平台在逻辑上产生了分离，借助虚拟桌面传输协议中的通道，可以实现操作平台与虚拟桌面之间的数据交换。然而，通过这一通道进行数据交换时，会带来数据安全控制的问题。借助桌面传输协议中的虚拟通道，可以实现它们之间的数据交互。然而在实际生产系统中却存在内外部数据流的安全控制问题，当开启数据交换通道后，即可在虚拟桌面和操作平台之间进行数据的双向传输，一旦有违规人员或木马程序的存在，就存在一种将内部敏感数据非法复制到外部载体而导致数据流失的可能。

发明内容

本发明解决的技术问题在于提出一种在虚拟桌面环境下的数据流控制方法以及对应的信息安全装置，提高虚拟桌面环境下的数据安全性。

在一个实施例中，涉及一种能有效防止数据被窃取的信息安全装置，该装置包括：

一个及以上的服务器，在服务器上实施硬件虚拟化技术，虚拟出多个虚拟机，所述虚拟机上部署虚拟桌面系统；

一个及以上的用户终端，用户在终端操作平台上操作，访问所述虚拟桌面系统，并发送数据交换的请求；

硬件网关，部署在所述虚拟桌面和操作平台间；

该硬件网关预定义一套安全策略作为虚拟桌面与操作平台之间数据流控制的依据；

该硬件网关截获所述数据交换请求并挂起请求，解析所述数据交换请求获取请求发起者信息、请求接收方信息以及请求交换的数据类型；

该硬件网关通过查询安全策略中的访问控制规则，检查是否允许交换所述请求交换的数据类型，如果允许数据交换，则建立相应的数据通道，并完成该数据交换请求；如果不允许交换所述请求交换的数据类型，则拒绝建立该数据通道，同时失败该数据交换请求。网关的三个单元，身份认证单元、数据通道管理单元和策略管理单元，在上述流程中分别承担不同的职责，并彼此交互。其中身份认证单元承担截获/挂起/解析所述数据交换请求的任务，并将解析所得的数据交换请求获取请求发起者信息、请求接收方信息以及请求交换的数据类型（即对应申请建立的数据通道）等信息发送给数据通道管理单元。数据通道管理单元则承担决定是否建立相应的数据通道的职责，当身份认证单元把上述信息发送给数据通道管理单元后，数据通道管理单元会基于上述信息向策略管理单元发起查询请求。策略管理单元的主要职责则是读取预定义的策略并针对数据通道管理单元的查询请求做出相应反馈。当数据通道管理单元得到相应反馈后，会根据反馈结果决定是否允许建立所请求的数据通道。

在另一个实施例中，本发明涉及一种面向虚拟桌面的数据流控制方法，包括以下步骤：

在虚拟桌面和操作平台之间添加中间人身份步骤；

由中间人依据既定策略实施通道的受控建立步骤。

进一步，作为一种优选，所述在虚拟桌面和操作平台之间添加中间人身份步骤进一步包括：在虚拟桌面和操作平台之间部署硬件网关作为中间人，网关中具有身份认证单元、数据通道管理单元以及策略管理单元等三个单元，其中身份认证单元能够解析、拦截由操作平台发出的请求，以及解析出请求的发起方、接收方的身份信息。

进一步，作为一种优选，所述在虚拟桌面和操作平台之间添加中间人身份步骤进一步包括：为了避免本发明提出的数据流控制方法被绕过，硬件网关为直连方式部署，虚拟桌面和操作平台必须通过该硬件网关进行数据交换。

进一步，作为一种优选，为了降低应用的复杂性，网关对于操作平台的用户应当是透明的，同时网关上部署有预先定义的安全策略，该安全策略支持自主/强制访问控制定义，策略内包含了对不同类型数据交换请求的许可/禁止判断，网关中的策略管理模块对该安全策略具有读取权限。

进一步，作为一种优选，所述由中间人依据既定策略实施通道的受控建立步骤进一步包括：虚拟桌面和操作平台之间不同类型的数据通过建立不同类型的虚拟通道实现交换，例如驱动器通道、剪贴板通道、声音通道、即插即用设备通道等。

进一步，作为一种优选，所述由中间人依据既定策略实施通道的受控建立步骤进一步包括：在操作终端向虚拟桌面发起某类型数据的交换请求时，由身份认证单元将请求拦截进行处理。

进一步，作为一种优选，进一步包括：身份认证单元将请求中的信息传递给数据通道管理单元，数据通道管理单元将向策略管理单元进行查询，策略管理单元根据既定策略，向数据通道管理单元发送反馈信息，如果发现请求的数据类型是策略所允许的，则完成该请求，即由数据通道管理单元建立相应类型的虚拟通道，否则将此请求做为失败返回，从而实现了虚拟桌面和操作平台之间的数据流控制。

另一个实施例中涉及一种面向虚拟桌面的数据流控制方法，在虚拟桌面和操作平台之间部署硬件网关，所述硬件网关预定义一套安全策略作为虚拟桌面与操作平台之间数据流控制的依据。包括以下步骤：

一、所述操作平台向所述虚拟桌面发起数据交换请求；

二、所述硬件网关中的身份认证单元截获所述数据交换请求并挂起请求；

三、所述硬件网关中的身份认证单元解析所述数据交换请求，并获取请求发起者信息、请求接收方信息以及请求交换的数据类型，并传递给网关中的数据通道管理单元；

四、所述硬件网关中的数据通道管理单元向策略管理单元发出查询请求，由策略管理单元读取所述预先定义的安全策略中的访问控制规则，检查是否允许交换所述请求交换的数据类型，并向数据通道管理单元做出相应反馈，如果允许数据交换，则数据通道管理单元建立相应的数据通道，并完成该数据交换请求；如果不允许交换所述请求交换的数据类型，则数据通道管理单元拒绝建立该数据通道，同时失败该数据交换请求。

进一步的，作为一种优选，其中，安全策略中包括数据交换请求的发起方的身份信息，数据交换请求的接收方的身份标识信息，数据类型，以及是/否允许交换对应类型数据的相应权限。

下面用一个一个具体的通过虚拟桌面窃取信息的例子来解释本发明提出的方法对数据安全的保护：工作人员甲通过用户终端登录到公司内部的虚拟桌面平台上，对虚拟桌面平台上保存的图纸进行查阅。在没有使用本发明提出的方法的情况下，用户终端和虚拟桌面平台之间的数据通道处于并不受控的状态，即用户终端和虚拟桌面平台之间可以随意交换数据。因此工作人员甲可以简单的通过剪贴板通道将保存在公司内部虚拟桌面平台上的图纸文件复制粘贴至当前用户终端，然后从用户终端拷出，就完成了一次信息窃取。而当部署了本发明提出的数据流控制方法后，一切数据通道的建立都是根据预定义的安全策略执行，如果工作人员甲并不在系统管理员认可的可以执行数据交换操作的人员名单中，其无法顺利建立从虚拟桌面平台到用户终端的数据通道，因此也就无法从虚拟桌面平台中窃取图纸文件。

又一实施例中，涉及一种面向严格安全需求的虚拟桌面的数据流控制方法，在虚拟桌面和操作平台之间部署硬件网关，所述硬件网关预定义一套安全策略作为虚拟桌面与操作平台之间数据流控制的依据，包括以下步骤：

一、操作平台向虚拟桌面发起数据交换请求；

二、硬件网关中的身份认证单元挂起数据交换请求；

三、硬件网关中的身份认证单元解析请求中的访问主体/客体；

四、硬件网关中的数据通道管理单元拒绝所有类型的数据交换请求；

五、保持虚拟桌面服务的连接过程。

本发明的有益效果在于，采用中间人网关的模式，既能够有效控制虚拟桌面和操作平台之间的数据交换，防止控制机制被旁路绕过，又无须对虚拟桌面的操作系统或是操作平台的应用软件做出修改，规避了软、硬件的兼容性问题，同时也不会对用户的操作习惯带来影响，具有很强的实用性和易用性。

附图说明

当结合附图考虑时，通过参照下面的详细描述，能够更完整更好地理解本发明以及容易得知其中许多伴随的优点，但此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定，其中：

图1是硬件网关的内部单元示意图；

图2和图3均为本发明实施例的工作流程图。

具体实施方式

为使上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明涉及的方法根据具体应用场景，至少包含有两种不同的实施方式，如面向多级可变安全需求的实施方式，以及面向严格安全需求的实施方式。

实施例一：

一种能有效防止数据被窃取的信息安全装置，该装置包括：

一个及以上的服务器，在服务器上实施硬件虚拟化技术，虚拟出多个虚拟机，所述虚拟机上部署虚拟桌面系统；

一个及以上的用户终端，用户在终端操作平台上操作，访问所述虚拟桌面系统，并发送数据交换的请求；

硬件网关，部署在所述虚拟桌面和操作平台间；

该硬件网关预定义一套安全策略作为虚拟桌面与操作平台之间数据流控制的依据；

该硬件网关截获所述数据交换请求并挂起请求，解析所述数据交换请求获取请求发起者信息、请求接收方信息以及请求交换的数据类型；

该硬件网关通过查询安全策略中的访问控制规则，检查是否允许交换所述请求交换的数据类型，如果允许数据交换，则建立相应的数据通道，并完成该数据交换请求；如果不允许交换所述请求交换的数据类型，则拒绝建立该数据通道，同时失败该数据交换请求。

如图1所示，硬件网关主要由身份认证单元、数据通道管理单元、策略管理单元组成。身份认证单元主要负责处理（包括截获/解析/挂起/恢复等处理操作）用户终端发往虚拟桌面服务器的请求（包括连接请求/数据交换请求）；当身份认证单元解析出用户请求中的身份信息以及请求建立的数据通道信息后，会将身份信息发送给数据通道管理单元，数据通道管里单元主要基于既定策略决定是否允许建立所请求的数据通道；当数据通道管理单元收到来自身份认证单元发来的信息后，会首先维持虚拟桌面通信通道的通信，然后把请求中的身份以及请求的数据通道信息转发给策略管理单元进行查询；策略管理单元主要负责读取预定义的策略文件，策略文件中以访问控制矩阵的形式包括了数据通道建立请求的发起方的身份信息，数据交换请求的接收方的身份标识信息，数据类型，以及是/否允许交换对应类型数据的相应权限；策略管理单元从策略文件中获取了相应信息后，会将是否允许建立的决策反馈给数据通道管理单元，数据通道管理单元会根据反馈信息建立/拒绝建立相应的数据通道。

虽然产品的说明性实施例说明了实施方案，但应当理解，本领域技术人员可以设计大量落入本公开的院里的精神和范围之内的其他变形例和实施例。更具体的，在本公开、附图和所附权利要求的范围内可以对本组合配置的组成部件和设置进行各种变化和变形。

实施例二：

一种应用于面向虚拟桌面的数据流控制方法，包括以下步骤：

在虚拟桌面和操作平台之间添加中间人身份步骤；

由中间人依据既定策略实施通道的受控建立步骤。

具体实施例2，应用于多级可变安全需求的实施方式。

如图2所示，一种面向虚拟桌面的数据流控制方法，包括以下步骤：

S1、操作平台向虚拟桌面发起数据交换请求；

S2、硬件网关的身份认证单元挂起数据交换请求；

S2、硬件网关的身份认证单元开始解析数据交换请求，得到请求方身份、请求交换的数据类型即申请建立的数据通道并发送给数据通道管理单元，数据通道管理单元收到后，会生成查询请求，向策略管理单元发起查询；

S3、策略管理单元读取预设的安全策略；

S4、如果安全策略允许交换该类数据，策略管理单元给予数据通道管理单元以正反馈，则数据管理单元建立相应的数据通道；

S5、如果安全策略不允许交换该类数据，策略管理单元给予数据通道管理单元以负反馈，则数据管理单元拒绝建立相应的数据通道；

S6、如果建立了相应的数据通道，身份认证单元完成之前挂起的数据交换请求；

S7、如果没有建立相应的数据通道，身份认证单元失败之前挂起的数据交换请求。

在作为中间人添加的硬件网关上，应当预先定义一套安全策略，来作为数据流控制的依据。类似访问控制矩阵，策略中应当包括数据交换请求的发起方（操作平台）的身份信息（如用户ID、发起方IP/硬件地址等）、数据交换请求的接收方（虚拟桌面）的身份标识（如虚拟桌面的硬件地址、虚拟桌面的UUID等）以及相应的权限（是/否允许交换某种类型的数据）。

当操作平台向虚拟桌面发起数据交换请求时，硬件网关会截获这个请求并挂起，然后根据请求中包含的请求发起者信息、请求接收方信息以及请求交换的数据类型（驱动器、声音、即插即用设备、剪贴板等）。根据对应信息，查询预先定义的安全策略中的访问控制规则，检查是否允许交换相应类型的数据，如果允许数据交换，则建立相应的数据通道，并完成该数据交换请求；如果不允许数据交换，则拒绝建立该数据通道，同时失败该数据交换请求。

实施例三：

一种应用于严格安全需求的实施方式。

如图3所示，一种面向虚拟桌面的数据流控制方法，包括以下步骤：

S1、操作平台向虚拟桌面发起数据交换请求；

S2、硬件网关的身份认证单元挂起数据交换请求；

S3、身份认证单元解析请求中的访问主体/客体以及数据交换类型等；

S4、身份认证单元将解析得到信息发送给数据通道管理单元，以通知数据通道管理单元拒绝所有类型的数据交换请求；

S5、身份认证单元通知数据通道管理单元保持虚拟桌面服务的连接过程，即维持虚拟桌面通信通道的通信。

与多级可变的安全场景不同，在严格安全的需求下，硬件网关仅允许操作平台和虚拟桌面之间传输虚拟桌面图像信息，而不允许建立任何数据通道。因此，当操作平台向虚拟桌面服务器发起数据交换请求时，硬件网关会将该会话的发起方和接收方的身份信息解析并记录，以完成虚拟桌面连接和维持虚拟桌面图像的传输，同时失败数据交换请求。

如上所述，对本发明涉及方法的实施例进行了详细地说明，但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形，远不止上述两种情形，可以通过具体的安全场景的不同需求进行配置硬件网关的安全策略，这对本领域的技术人员来说是显而易见的。因此，这样的变形例也全部包含在本发明的保护范围之内。

Claims (11)

1.一种面向虚拟桌面的数据流控制方法，该方法包括以下步骤：在虚拟桌面和操作平台之间添加中间人身份步骤；由中间人依据既定策略实施数据通道的受控建立步骤。

2.如权利要求1所述方法，所述在虚拟桌面和操作平台之间添加中间人身份步骤进一步包括：通过直连的方式在虚拟桌面和操作平台之间部署硬件网关作为中间人，该硬件网关可以获取到虚拟桌面和操作平台之间的全部数据通信，无法被旁路绕过。

3.如权利要求2所述的方法，所述硬件网关能够通过身份认证单元截获以及挂起、恢复由操作平台发起的数据交换请求，并能够详细解析数据交换请求中的信息，包括请求发起方、请求接收方的身份，以及请求交换的数据类型等。

4.如权利要求2所述的方法，所述硬件网关中包含身份认证单元、数据通道管理单元以及策略管理单元等三个单元，三个单元各司其职，并协调工作；其中，身份认证单元负责截获、分析、挂起来自用户终端的连接请求以及数据交换请求；数据通道管理单元负责根据既定策略，决定是否建立相应的数据通道以完成用户终端与虚拟服务器之间的数据交换，不同类型的数据交换经由相对应不同的数据通道完成；策略管理单元则负责用于读取既定策略，并与数据通道管理单元进行信息交互。

5.如权利要求4所述的方法，所述由中间人依据既定策略实施通道的受控建立步骤进一步包括：在硬件网关上部署有预定义的安全策略，策略中包含了数据交换请求的发起方的身份信息、接收方的身份信息以及是否允许交换的数据类型信息，策略管理单元能够读取该安全策略，并响应由数据通道管理单元提出的查询请求并做出相应反馈。

6.如权利要求5所述的方法，部署在所述硬件网关上的预定义的安全策略，是一种访问控制列表，同时支持强制访问控制和自主访问控制以适应不同的应用场景，其具体内容包括访问主体即数据交换请求发起方、访问客体即数据交换请求接收方、访问方法即数据通道类型以及相应的权限即允许/拒绝。

7.如权利要求5所述的方法，所述由中间人依据既定策略实施通道的受控建立步骤进一步包括：硬件网关中的身份认证单元将截获到的请求信息传递给数据通道管理单元，数据通道管理单元向策略管理单元发出查询请求并由策略管理单元在安全策略中进行匹配，如果安全策略允许该次请求中的发起方和接收方交换此种类型的数据，则由数据通道管理单元建立相应的数据通道，并完成该次请求；否则将拒绝建立数据通道，并失败该次数据请求。

8.一种面向虚拟桌面的数据流控制方法，在虚拟桌面和操作平台之间部署硬件网关，所述硬件网关预定义一套安全策略作为虚拟桌面与操作平台之间数据流控制的依据，包括以下步骤：

一、所述操作平台向所述虚拟桌面发起数据交换请求；

二、所述硬件网关截获所述数据交换请求并挂起请求；

三、所述硬件网关解析所述数据交换请求，并获取请求发起者信息、请求接收方信息以及请求交换的数据类型；

四、所述硬件网关查询所述预先定义的安全策略中的访问控制规则，检查是否允许交换所述请求交换的数据类型，如果允许数据交换，则建立相应的数据通道，并完成该数据交换请求；如果不允许交换所述请求交换的数据类型，则拒绝建立该数据通道，同时失败该数据交换请求。

9.如权利要求8所述的一种面向虚拟桌面的数据流控制方法，其中，安全策略中包括数据交换请求的发起方的身份信息，数据交换请求的接收方的身份标识信息，数据类型，以及是/否允许交换对应类型数据的相应权限。

10.一种面向严格安全需求的虚拟桌面的数据流控制方法，在虚拟桌面和操作平台之间部署硬件网关，所述硬件网关预定义一套安全策略作为虚拟桌面与操作平台之间数据流控制的依据，包括以下步骤：

一、操作平台向虚拟桌面发起数据交换请求；

二、硬件网关挂起数据交换请求；

三、硬件网关解析请求中的访问主体/客体；

四、硬件网关拒绝所有类型的数据交换请求；

五、保持虚拟桌面服务的连接过程。

11.一种能有效防止数据被窃取的信息安全装置，该装置包括：

一个及以上的服务器，在服务器上实施硬件虚拟化技术，虚拟出多个虚拟机，所述虚拟机上部署虚拟桌面系统；

一个及以上的用户终端，用户在终端操作平台上操作，访问所述虚拟桌面系统，并发送数据交换的请求；

硬件网关，部署在所述虚拟桌面和操作平台间；

该硬件网关预定义一套安全策略作为虚拟桌面与操作平台之间数据流控制的依据；

该硬件网关截获所述数据交换请求并挂起请求，解析所述数据交换请求获取请求发起者信息、请求接收方信息以及请求交换的数据类型；

该硬件网关通过查询安全策略中的访问控制规则，检查是否允许交换所述请求交换的数据类型，如果允许数据交换，则建立相应的数据通道，并完成该数据交换请求；如果不允许交换所述请求交换的数据类型，则拒绝建立该数据通道，同时失败该数据交换请求。