CN105337955A - 一种虚拟桌面的管理控制系统和方法 - Google Patents

一种虚拟桌面的管理控制系统和方法 Download PDF

Info

Publication number
CN105337955A
CN105337955A CN201510607598.5A CN201510607598A CN105337955A CN 105337955 A CN105337955 A CN 105337955A CN 201510607598 A CN201510607598 A CN 201510607598A CN 105337955 A CN105337955 A CN 105337955A
Authority
CN
China
Prior art keywords
user
client
algorithm
management
virtual desktop
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510607598.5A
Other languages
English (en)
Inventor
王瑞锦
李冬芬
秦志光
张凤荔
熊虎
李潘成
程阳
陈维伟
王森
高强
黄亚娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN201510607598.5A priority Critical patent/CN105337955A/zh
Publication of CN105337955A publication Critical patent/CN105337955A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实现了一个国产化的、安全的、可控的虚拟桌面管理控制系统,该系统基于国产加密算法,在客户端连接服务端时采用256位密钥长度的SM2算法进行动态密钥协商,并使用128位密钥长度的SM4算法对关键数据的传输进行加解密,提高了系统的安全性。本系统能够进行权限管理,不同等级的用户对声卡、网卡、USB等资源有不同的使用权限;具备管控功能,管理人员可以个性化定制桌面和按时间定制任务,在特定时间、特定场合用户只能打开允许使用的应用程序,并且服务端能记录用户的使用情况;本系统的客户端位于瘦客户机上,进一步降低了虚拟桌面的部署成本,并能够满足移动办公的需要,同时多个终端同时访问一个操作系统,提升设备利用率。

Description

一种虚拟桌面的管理控制系统和方法
技术领域
本发明属于移动互联网云平台技术领域,更为具体的讲,为一种虚拟桌面的管理控制系统和方法。
背景技术
随着信息技术的发展,移动终端已经在我们的日常生活和办公中占据了不可替代的位置。在桌面虚拟化技术实现后,计算机的利用率进一步提高,云计算的模式不仅使得硬件成本大大降低,也让我们摆脱了终端资源的限制,可以在简单的环境中获得高性能的计算。尽管虚拟桌面将改变我们的计算机使用模式,但目前还存在诸多问题尚未解决:
(1)加密算法选取问题:我国在2010年就已经公布了SM2椭圆曲线公钥密码算法、SM3摘要算法和SM4分组算法,SM2算法具有更好的安全性,在我国商业密码体系中用来替代RSA算法。然而目前大部分研究和产品仍然采用的是国外的加密算法。为了避免国外算法的后门陷阱,使虚拟桌面国产化,实现并应用国产加密算法显得十分必要。
(2)管理和控制问题:对于实验室和企业,桌面虚拟化技术让所有终端用户的操作系统集中存放在服务器上,帮助他们解决了计算机部署成本和资源消耗的问题。然而他们也十分关心如何对这些操作系统进行方便有力的控制,比如能够个性化定制桌面;在上班时间防止员工进行玩游戏、看电影等与工作无关的娱乐活动;截取员工操作电脑时的屏幕和记录重要资源文件的使用情况;限制USB、移动硬盘等外设的接入等。
(3)便携性:许多工作人员期望能够在家庭、公司随时随地办公。尽管笔记本电脑已经能达到移动办公的要求,但是相对智能手机来说,其便捷性相对较差,而且为了同步资源在个人笔记本电脑和公司电脑上来回拷贝文件也显得繁琐不便。
发明内容
1.认证中心建立了一个证书撤销列表(CRL),对客户端或服务器的证书申请进行验证。服务端和客户端向认证中心申请了自己的证书,并在每次认证交互过程中递交自己的证书,然后让对方验证自己的证书,任何一方没有证书或证书无效都将导致服务端和客户端的连接中断。
2.客户端和服务端认证成功后,双方采用256位密钥长度的SM2算法进行动态密钥协商,并使用128位密钥长度的SM4算法对关键数据的传输进行加解密。
3.管理中心建立用户信息表,保存到服务端并由SM4算法加密。客户端传入的用户名和密码将在服务端进行匹配验证。
4.服务端对声卡、网卡、USB、打印机等终端外设进行控制,并根据用户属性划分用户的等级,不同等级的用户对这些资源有不同的使用权限,如销售部门的员工在其电脑插入USB设备将无法得到响应。解决了用户越权访问和窃取资源的问题,达到了安全访问的效果
5.基于配置文件和系统服务,后台管理中心能够进行个性化桌面定制和任务定制,根据时间限制用户对应用程序的使用,用户对操作系统的使用情况也能被服务端记录。解决了企业中无法对众多员工的工作进行统一管理的问题,做到了细致而有力地管控。
附图说明
图1为系统网络架构图。
系统采用C/S架构,服务端作为管理控制中心和虚拟化平台,客户端作为前端交互平台。用户的操作系统以虚拟机的形式集中保存在数据中心,由SPICE协议负责管理服务端运行的操作系统和与客户端的桌面交互。管理服务器中心则负责接收客户端请求并进行认证,同时管理用户的基本数据信息。客户端部署在台式机、笔记本、瘦客户机、手机等终端设备上,形式灵活多样,并与服务端通过网络进行通信。
图2为系统框架图。
客户端与服务端的通信首先需经过认证与加密。服务端和客户端均有认证模块、密钥协商模块和数据加解密模块,以完成双方的身份鉴别与数据传输。
认证成功并协商出密钥后,客户端的请求才交由其他模块处理。服务端的用户信息管理模块完成对用户的添加与删除、对用户操作系统的信息匹配、权限的设置分配等功能。
服务端匹配到用户访问的操作系统并设置好权限后,开启操作系统并利用SPICE协议传输桌面到客户端。客户端的SPICE处理模块完成对桌面的绘制与展示、以及对用户发起的鼠标事件、键盘事件的监听与发送。在这个过程中,由服务端的任务管理模块对操作系统进行任务管理以控制或记录用户的使用。
图3为系统功能结构图。
系统中,主要分为客户端接入、数据加密、权限管理、用户管理、任务管理几个模块。
客户端接入模块包括客户端认证、桌面传输、鼠标键盘事件处理。
数据加密模块包括动态密钥协商和关键数据加解密。
权限管理模块包括权限的设置与分配以及对外设资源的控制。
用户管理模块包括用户请求的审核以及信息的添加与删除。
任务管理模块包括对操作系统应用程序的管理、用户操作的屏幕截取以及文件操作的记录。
图4为后台管理中心的交互界面图。
在管理中心点击开启服务后,系统接收客户端的连接请求,与客户端进行身份认证和密钥协商,并客户端的传入参数验证用户身份的合法性,成功匹配即开启运行用户的操作系统,并通过SPICE协议将桌面数据传输到客户端。
在管理中心点击用户信息管理按钮后,进入用户信息管理界面,包括对用户数据的添加、修改和删除。后台管理人员根据用户身份为其录入相关信息。包括用户名、登录密码、用户等级、操作系统密码、服务端口、操作系统内存大小、操作系统类型等。
在管理中心点击虚拟机管理后可以定制虚拟机,配置新类型操作系统镜像。也可以查看当前正在运行的虚拟机。
在管理中心点击任务管理进入任务定制界面,设置在特定时间段限制使用的桌面应用程序以及选择对桌面使用的记录内容。
在管理中心点击关闭系统后,系统不再接收客户端的连接请求,处于关闭状态
图5为对系统数据采用国产加密算法加密后的效果图。
当对用户信息录入添加后,系统以用户信息表存储在服务器,并利用SM4算法对其加密,除服务端以外的其他用户得到此数据也无法破解。
图6为对声卡进行控制并管理用户权限的实例图。
服务端控制技术能对用户操作系统的声卡、网卡、USB、打印机等外设进行控制。不同操作等级的用户对这些资源有不同的使用能力。这里以声卡控制为例,有声卡使用权限的用户(chenweiwei)能够打开音频文件进行播放并听到声音,没有声卡使用权限的用户的用户(lpc)无法打开音频文件,操作系统提示声卡设备不能正常使用。

Claims (7)

1.一种基于国密算法的虚拟桌面管控系统和方法,其特征包括:
(1)采用C/S架构,服务端作为管理控制中心和虚拟化平台,客户端作为前端交互平台。
(2)实现并应用国产SM2算法,用于服务器和客户端连接交互过程中的身份认证(双向认证);应用SM4算法实现对传输过程中的数据加密。
(3)控制终端外设,对用户进行权限管理。不同用户角色有不同的资源使用权限。
(4)按时间、场合个性化定制任务管理列表,建立用户行为监测机制;
(5)将客户端实现在瘦客户机、Android手机等嵌入式终端设备上。
2.根据权利要求1所述的基于国密算法的虚拟桌面管控系统和方法,其特征是,所述C/S架构中,服务器端主要分为客户端接入、数据加密、权限管理、用户管理、虚拟机管理、任务管理七个模块:
客户端接入模块包括客户端认证、桌面传输以及鼠标键盘事件的接收响应;
数据加密模块包括动态密钥协商和传输数据加解密;
权限管理模块包括权限的设置与分配以及对外设资源的控制;
用户管理模块包括用户请求的审核以及用户数据的增删改查;
虚拟机管理模块包括对在线访问的用户虚拟机的控制与信息收集;
任务管理模块包括对操作系统应用程序的管理、用户操作记录。
客户端主要分为访问、数据加密和使用模块:
访问模块实现用户数据输入,用户数据传输;
数据加密模块实现与服务器进行双向证书认证,传输数据加解密;
使用模块实现将用户产生的事件传送至服务器。
3.根据权利要求1所述的基于国密算法的虚拟桌面管控系统,其特征是,所述实现并应用国产加密算法包括:实现并利用国产SM2加密算法,使用了256位的SM2非对称加密算法实现客户端和服务器连接认证后的动态密钥协商,并使用128位的SM4算法实现对交互传输过程中的信息加解密。
4.根据权利要求1所述的基于国密算法的虚拟桌面管控系统,其特征是,所述控制终端外设,对用户进行权限管理包括:通过软件的方式对用户操作系统的USB、打印机、声卡、网卡等外设进行控制。系统根据用户属性划分等级,在服务器端实现对不同用户赋予不同的资源使用权限以防止用户的越权操作,在服务器端可建立用户权限表,根据用户属性设定用户权限信息,可根据用户权限信息设定用户操作系统,限定用户对外设资源的使用能力。
5.根据权利要求1所述的基于国密算法的虚拟桌面管控系统,其特征是,所述的按时间、场合个性化定制任务管理列表,实行用户行为监测包括:用户的操作系统由管理中心按照统一的配置创建与发布,管理人员可以按照具体应用场合的要求在后台管理中心个性化定制应用程序限制,如对员工上班时间设置限制游戏、视频播放器等程序的使用;同时系统可以收集用户对桌面的使用情况信息。
6.根据权利要求1所述的基于国密算法的虚拟桌面管控系统,其特征是,所述的将客户端实现在瘦客户机、Android手机等嵌入式终端设备上包括:对虚拟桌面客户端进行定制开发,增加系统的用户管理和加密等模块,并通过对第三方库的编译链接、对特定操作的定制开发,在Linux系统的瘦客户机和Android客户端上实现本系统的客户端。
7.一种如权利要求1所述的基于国密算法的虚拟桌面管控系统的工作方法,其特征在于,包括以下步骤:
步骤1:用户在客户端输入自己的相应信息;
步骤2:客户端和服务器间建立安全连接,连接建立后进行双向证书认证,认证后进行SM2算法的动态密钥传输;
步骤3:利用SM4算法来对交互过程中的信息进行加解密,服务器端对用户信息验证;
步骤4:根据用户信息和用户权限开启用户虚拟桌面系统,并开启用户任务管理功能;
步骤5:用户使用自己的系统,产生用户事件(如鼠标、键盘操作)到服务器端,服务器进行响应,返回用户界面等信息。
CN201510607598.5A 2015-09-22 2015-09-22 一种虚拟桌面的管理控制系统和方法 Pending CN105337955A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510607598.5A CN105337955A (zh) 2015-09-22 2015-09-22 一种虚拟桌面的管理控制系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510607598.5A CN105337955A (zh) 2015-09-22 2015-09-22 一种虚拟桌面的管理控制系统和方法

Publications (1)

Publication Number Publication Date
CN105337955A true CN105337955A (zh) 2016-02-17

Family

ID=55288239

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510607598.5A Pending CN105337955A (zh) 2015-09-22 2015-09-22 一种虚拟桌面的管理控制系统和方法

Country Status (1)

Country Link
CN (1) CN105337955A (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106230792A (zh) * 2016-07-21 2016-12-14 北京百度网讯科技有限公司 基于移动办公的机器学习方法、终端设备及系统
CN106775950A (zh) * 2016-12-29 2017-05-31 郑州云海信息技术有限公司 一种虚拟机远程访问方法和装置
CN107016310A (zh) * 2017-03-23 2017-08-04 淮阴工学院 一种身份认证系统的智能终端ic卡授权与管理方法
CN107959726A (zh) * 2017-12-14 2018-04-24 郑州云海信息技术有限公司 一种基于数据中心综合管理系统的云桌面管理系统及方法
CN108769037A (zh) * 2018-06-04 2018-11-06 厦门集微科技有限公司 一种数据处理的方法、装置、计算机存储介质及终端
CN108924264A (zh) * 2018-08-21 2018-11-30 合肥创旗信息科技有限公司 一种桌面云系统
CN109274646A (zh) * 2018-08-22 2019-01-25 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于kmip协议的密钥管理客户端服务端方法和系统及介质
CN109274663A (zh) * 2018-09-07 2019-01-25 西安莫贝克半导体科技有限公司 基于sm2动态密钥交换与sm4数据加密的通信方法
CN109460274A (zh) * 2018-10-09 2019-03-12 安徽继远软件有限公司 一种基于云桌面的移动安全办公平台及方法
CN110543775A (zh) * 2019-08-30 2019-12-06 湖南麒麟信息工程技术有限公司 一种基于超融合理念的数据安全防护方法及系统
CN113572601A (zh) * 2021-07-06 2021-10-29 长沙证通云计算有限公司 一种基于国密tls的vnc远程安全通信方法
CN114692120A (zh) * 2020-12-30 2022-07-01 成都鼎桥通信技术有限公司 国密认证方法、虚拟机、终端设备、系统及存储介质
CN116633991A (zh) * 2023-07-24 2023-08-22 成都中科合迅科技有限公司 用于远程场景的用户界面显示控制方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999054804A2 (en) * 1998-04-20 1999-10-28 Sun Microsystems, Inc. Method and apparatus for providing a virtual desktop system architecture
CN103020517A (zh) * 2012-11-28 2013-04-03 福建伊时代信息科技股份有限公司 Usb虚拟桌面设备的互访方法和系统
CN103345599A (zh) * 2013-06-19 2013-10-09 天津汉柏信息技术有限公司 基于人脸识别技术的虚拟桌面登录方法
CN104468491A (zh) * 2013-09-25 2015-03-25 无锡华御信息技术有限公司 一种基于安全信道的虚拟桌面系统及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999054804A2 (en) * 1998-04-20 1999-10-28 Sun Microsystems, Inc. Method and apparatus for providing a virtual desktop system architecture
CN103020517A (zh) * 2012-11-28 2013-04-03 福建伊时代信息科技股份有限公司 Usb虚拟桌面设备的互访方法和系统
CN103345599A (zh) * 2013-06-19 2013-10-09 天津汉柏信息技术有限公司 基于人脸识别技术的虚拟桌面登录方法
CN104468491A (zh) * 2013-09-25 2015-03-25 无锡华御信息技术有限公司 一种基于安全信道的虚拟桌面系统及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
杨培: ""虚拟桌面管理的研究及应用"", 《中国优秀硕士学位论文全文数据库信息科技辑》 *
林雪燕,林璟锵,管乐,王蕾: ""在桌面虚拟化系统中实施国产密码算法"", 《中国科学院大学学报》 *

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106230792A (zh) * 2016-07-21 2016-12-14 北京百度网讯科技有限公司 基于移动办公的机器学习方法、终端设备及系统
CN106775950A (zh) * 2016-12-29 2017-05-31 郑州云海信息技术有限公司 一种虚拟机远程访问方法和装置
CN107016310B (zh) * 2017-03-23 2019-12-10 淮阴工学院 一种身份认证系统的智能终端ic卡授权与管理方法
CN107016310A (zh) * 2017-03-23 2017-08-04 淮阴工学院 一种身份认证系统的智能终端ic卡授权与管理方法
CN107959726A (zh) * 2017-12-14 2018-04-24 郑州云海信息技术有限公司 一种基于数据中心综合管理系统的云桌面管理系统及方法
CN108769037A (zh) * 2018-06-04 2018-11-06 厦门集微科技有限公司 一种数据处理的方法、装置、计算机存储介质及终端
CN108769037B (zh) * 2018-06-04 2020-11-10 厦门集微科技有限公司 一种数据处理的方法、装置、计算机存储介质及终端
CN108924264A (zh) * 2018-08-21 2018-11-30 合肥创旗信息科技有限公司 一种桌面云系统
CN109274646B (zh) * 2018-08-22 2020-12-22 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于kmip协议的密钥管理客户端服务端方法和系统及介质
CN109274646A (zh) * 2018-08-22 2019-01-25 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于kmip协议的密钥管理客户端服务端方法和系统及介质
CN109274663A (zh) * 2018-09-07 2019-01-25 西安莫贝克半导体科技有限公司 基于sm2动态密钥交换与sm4数据加密的通信方法
CN109460274A (zh) * 2018-10-09 2019-03-12 安徽继远软件有限公司 一种基于云桌面的移动安全办公平台及方法
CN110543775A (zh) * 2019-08-30 2019-12-06 湖南麒麟信息工程技术有限公司 一种基于超融合理念的数据安全防护方法及系统
CN114692120A (zh) * 2020-12-30 2022-07-01 成都鼎桥通信技术有限公司 国密认证方法、虚拟机、终端设备、系统及存储介质
CN113572601A (zh) * 2021-07-06 2021-10-29 长沙证通云计算有限公司 一种基于国密tls的vnc远程安全通信方法
CN113572601B (zh) * 2021-07-06 2024-03-12 长沙证通云计算有限公司 一种基于国密tls的vnc远程安全通信方法
CN116633991A (zh) * 2023-07-24 2023-08-22 成都中科合迅科技有限公司 用于远程场景的用户界面显示控制方法和系统
CN116633991B (zh) * 2023-07-24 2023-10-13 成都中科合迅科技有限公司 用于远程场景的用户界面显示控制方法和系统

Similar Documents

Publication Publication Date Title
CN105337955A (zh) 一种虚拟桌面的管理控制系统和方法
WO2022206349A1 (zh) 一种信息验证的方法、相关装置、设备以及存储介质
CN111199045B (zh) 信息的安全多方存储和传递的加密私钥管理的方法和系统
US9965645B2 (en) Field level data protection for cloud services using asymmetric cryptography
US11855767B2 (en) Methods and systems for distributing encrypted cryptographic data
US11997222B1 (en) Certificate authority
US8984295B2 (en) Secure access to electronic devices
CN105027107A (zh) 安全虚拟机迁移
EP2702744B1 (en) Method for securely creating a new user identity within an existing cloud account in a cloud system
KR20230078706A (ko) 포스트 양자 암호화를 사용하는 인증서 기반 보안
TW201225617A (en) Domain-authenticated control of platform resources
US10630722B2 (en) System and method for sharing information in a private ecosystem
US20190296897A1 (en) Virtualizing a key hierarchy using a partially-oblivious pseudorandom function (p-oprf)
CN106254342A (zh) Android平台下支持文件加密的安全云存储方法
JP2021500782A (ja) セキュアな環境内のツール用のセキュアなアクセス管理方法、コンピュータ・プログラム、およびシステム
JP2019511890A (ja) シングルサインオンアプリケーション用の暗号化鍵を管理するためのシステム及び方法
WO2016184221A1 (zh) 密码管理方法及装置、系统
US9755832B2 (en) Password-authenticated public key encryption and decryption
CN107920060A (zh) 基于账号的数据访问方法和装置
WO2011141579A2 (en) System and method for providing security for cloud computing resources using portable security devices
Thilakanathan et al. Secure multiparty data sharing in the cloud using hardware-based TPM devices
CN102752308A (zh) 通过网络提供数字证书综合业务系统及其实现方法
JP5485452B1 (ja) 鍵管理システム、鍵管理方法、ユーザ端末、鍵生成管理装置、及びプログラム
US11032708B2 (en) Securing public WLAN hotspot network access
CN116095671A (zh) 一种基于元宇宙的资源共享方法及其相关设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160217