CN109040225A - 一种动态端口桌面接入管理方法和系统 - Google Patents
一种动态端口桌面接入管理方法和系统 Download PDFInfo
- Publication number
- CN109040225A CN109040225A CN201810841492.5A CN201810841492A CN109040225A CN 109040225 A CN109040225 A CN 109040225A CN 201810841492 A CN201810841492 A CN 201810841492A CN 109040225 A CN109040225 A CN 109040225A
- Authority
- CN
- China
- Prior art keywords
- access
- dynamic
- information
- connection
- desktop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 30
- 230000000977 initiatory effect Effects 0.000 claims abstract description 12
- 238000006243 chemical reaction Methods 0.000 claims description 54
- 238000000034 method Methods 0.000 claims description 29
- 238000012795 verification Methods 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 11
- 230000015556 catabolic process Effects 0.000 abstract description 6
- 238000006731 degradation reaction Methods 0.000 abstract description 6
- 230000003068 static effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000005336 cracking Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 241001391944 Commicarpus scandens Species 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种动态端口桌面接入管理方法和系统,通过客户端向桌面访问动态端口控制系统发起桌面接入访问,建立控制面连接;桌面访问动态端口控制系统随机分配动态接入目的连接信息,配置动态接入目的连接信息到主机目的连接信息的转换信息;客户端根据动态接入目的连接信息发起建立数据面连接;桌面访问动态端口控制系统根据转换信息通过数据面连接建立目的虚拟主机桌面访问接入。本发明通过数据面只接受来自控制面认证通过后分配的动态接入目的连接信息的连接,控制认证通过的目的连接时效来有效防止针对数据面的DDOS攻击以及暴力破解手段,降低发起桌面访问连接尝试的攻击源成功建立连接的几率,提升系统的安全性,防止数据丢失、服务降级等。
Description
技术领域
本申请实施例涉及计算机通信技术领域,特别涉及一种动态端口桌面接入管理方法和系统。
背景技术
随着云计算的迅速发展和对计算机安全的强烈需求,云计算安全变得极其重要。云计算的本质是使用集中共享的计算资源生产和利用数据产生新的价值。作为云计算的一个形态,云桌面系统是将传统的笔记本、台式机等计算机桌面系统通过虚拟化技术的虚拟机云桌面来代替。虚拟机云桌面运行在虚拟化的云计算环境中,可运行与传统的笔记本、台式机系统一样或适配版本的桌面操作系统,以及运行同样功能的应用程序以满足各种业务场景需求。例如,笔记本运行微软Windows 10操作系统,那么对应虚拟机中也运行Windows10操作系统;在笔记本上运行Office软件编辑文档,在云桌面中将运行同样的软件编辑文档。通过采用云桌面的方式将计算资源集中、共享,在提高计算资源利用率的同时,系统可靠性也得到提高,数据可靠存储得到有效保障。
然而,云计算在解决数据高效计算、存储的同时,虚拟机接入访问的安全性是亟待解决的问题。现有技术中的虚拟桌面接入方法,主要基于静态端口接入的方式,例如微软RDP协议使用3389端口,Linux VNC协议使用TCP5901端口。这样的静态端口容易使得攻击者发起连接并通过各种攻击手段对静态端口发起连续攻击,因此更易被攻破,导致数据泄露;现有技术中的密码字典攻击手段,例如DDOS(Di stributed Denial of Service,分布式拒绝服务)攻击,重试攻击等,均可对静态端口造成巨大影响。究其根本原因在于,现有的虚拟桌面接入方法,是将端口接入认证和虚拟桌面接入融合在一起设计,且每次接入需要分配一定的计算资源,当收到密码攻击时,静态端口无法抵御重复的多次攻击,极易被攻破;并且,多次的攻击增加了系统资源的消耗,致使系统资源很快被耗尽,最终导致系统服务瘫痪,服务降级或者数据泄露的问题,这些问题使得集中的云桌面系统的数据安全性堪忧。
发明内容
本申请提供了一种动态端口桌面接入管理方法和系统,以解决现有技术中云桌面系统面临数据丢失、服务降级等安全性问题,并且本申请提供的动态端口桌面接入管理方法和系统采用动态端口控制,使得每次系统鉴权分配的接入目的连接信息中的端口均不一样,攻击者无法在短时间内找出连接的通信端口发起连接进行攻击,保证桌面接入服务有效进行。
本申请提供了一种动态端口桌面接入管理方法,所述方法包括以下步骤:
客户端向桌面访问动态端口控制系统发起桌面接入访问,建立控制面连接;
所述桌面访问动态端口控制系统为桌面接入访问随机分配动态接入目的连接信息并通过所述控制面连接发送至客户端;以及,配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息;
客户端根据所述动态接入目的连接信息向桌面访问动态端口控制系统发起建立数据面连接;
桌面访问动态端口控制系统根据所述转换信息,通过所述数据面连接为客户端建立目的虚拟主机桌面访问接入。
可选的,所述方法还包括:
客户端通过所述控制面连接向桌面访问动态端口控制系统发送鉴权信息;
桌面访问动态端口控制系统调用桌面访问鉴权模块验证所述鉴权信息,如果验证失败,拆除所述控制面连接;如果验证成功,保持所述控制面连接。
可选的,所述桌面访问动态端口控制系统为桌面接入访问随机分配动态接入目的连接信息并通过所述控制面连接发送至客户端包括:
桌面访问鉴权模块将鉴权信息验证成功结果返回至桌面访问动态端口控制系统;
桌面访问动态端口控制系统根据鉴权信息,在设定范围内随机生成一组动态接入目的连接信息;所述动态接入目的连接信息包括目的IP地址,通信协议和协议端口号;
动态接入目的连接信息通过控制面连接发送至客户端。
可选的,所述配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息包括:
桌面访问动态端口控制系统获取本次桌面接入的虚拟主机目的连接信息;所述虚拟主机目的连接信息包括目的IP地址,协议和协议端口号;
桌面访问动态端口控制系统向动态端口转换模块中配置接入有效时间以及动态接入目的连接信息到虚拟主机目的连接信息的转换信息表。
可选的,所述客户端根据所述动态接入目的连接信息向桌面访问动态端口控制系统发起建立数据面连接包括:
桌面访问动态端口控制系统根据接收到的动态接入目的连接信息在转换信息中查找匹配的虚拟主机目的连接信息;
在查找到对应转换信息的情况下,将该动态目的连接信息转换为查找到的虚拟主机目的连接信息;
使用转换后的虚拟主机目的连接信息将桌面访问请求发送到目的虚拟主机并建立后续桌面访问接入;
在查找不到对应转换信息的情况下,拒绝连接请求。
可选的,所述方法还包括:
客户端通过所述数据面连接向桌面访问动态端口控制系统发送鉴权信息;
桌面访问动态端口控制系统调用桌面访问鉴权模块验证所述鉴权信息,如果验证失败,拆除所述数据面连接;如果验证成功,允许客户端接入桌面访问。
可选的,所述方法还包括:对建立的数据面连接实施安全管理;所述安全管理包括:
将已经建立的数据面连接的动态接入目的信息和源地址信息加入活动连接表,对于新的包含当前动态接入目的信息的桌面访问请求,检查现有数据面连接存在的情况下,拒绝建立新的数据面连接;
客户端关闭时,桌面访问动态端口控制系统中断数据面连接,同时删除动态端口转换模块中与该数据面连接对应动态接入目的连接信息的转换信息。
本申请还提供了一种动态端口桌面接入管理系统,所述系统包括虚拟化平台系统,桌面访问动态端口控制系统及客户端;其中,
所述客户端,用于发起桌面接入访问,建立控制面连接;还用于根据所述动态接入目的连接信息向桌面访问动态端口控制系统发起建立数据面连接;
所述桌面访问动态端口控制系统,用于为桌面接入访问随机分配动态接入目的连接信息并通过所述控制面连接发送至客户端;还用于配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息;又用于根据所述转换信息,通过所述数据面连接为客户端建立目的虚拟主机桌面访问接入;
所述虚拟化平台系统包括虚拟化平台模块及至少一个虚拟主机,每个所述虚拟主机接收相应的桌面访问请求;
所述虚拟化平台系统,所述动态端口控制模块和所述桌面访问鉴权模块运行在一个或分离的多个安全计算服务器中;所述安全计算服务器包括CPU,内存,网卡,存储器,操作系统软件和应用软件。
可选的,所述桌面访问动态端口控制系统包括动态端口控制模块,动态端口转换模块和桌面访问鉴权模块;所述动态端口控制模块用于建立,保持控制面连接;所述动态端口转换模块用于配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息,建立数据面连接;所述桌面访问鉴权模块用于对接收到的鉴权信息进行验证。
由以上技术方案可知,本申请实施例提供了一种动态端口桌面接入管理方法和系统,通过客户端向桌面访问动态端口控制系统发起桌面接入访问,建立控制面连接;桌面访问动态端口控制系统随机分配动态接入目的连接信息,配置动态接入目的连接信息到主机目的连接信息的转换信息;客户端根据动态接入目的连接信息发起建立数据面连接;桌面访问动态端口控制系统根据转换信息通过数据面连接建立目的虚拟主机桌面访问接入。本发明通过数据面只接受来自控制面认证通过后分配的动态接入目的连接信息的连接,控制认证通过的目的连接时效来有效防止针对数据面的DDOS攻击以及暴力破解手段,降低发起桌面访问连接尝试的攻击源成功建立连接的几率,提升系统的安全性,防止数据丢失、服务降级等。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一种动态端口桌面接入管理方法的流程图;
图2为本申请一种动态端口桌面接入管理方法中步骤S20的分步骤流程图;
图3为本申请一种实施例下的方法流程图;
图4为本申请一种动态端口桌面接入管理系统的构成图。
具体实施方式
参见图1,为本申请一种动态端口桌面接入管理方法的流程图;
由图1可知,本申请实施例提供了一种动态端口桌面接入管理方法,所述方法包括以下步骤:
S10:客户端向桌面访问动态端口控制系统发起桌面接入访问,建立控制面连接;
S20:所述桌面访问动态端口控制系统为桌面接入访问随机分配动态接入目的连接信息并通过所述控制面连接发送至客户端;以及,配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息;
S30:客户端根据所述动态接入目的连接信息向桌面访问动态端口控制系统发起建立数据面连接;
S40:桌面访问动态端口控制系统根据所述转换信息,通过所述数据面连接为客户端建立目的虚拟主机桌面访问接入。
进一步的,在本申请的方法步骤S10后还包括以下步骤:
S11:客户端通过所述控制面连接向桌面访问动态端口控制系统发送鉴权信息;
S12:桌面访问动态端口控制系统调用桌面访问鉴权模块验证所述鉴权信息,如果验证失败,拆除所述控制面连接;如果验证成功,保持所述控制面连接。
参见图2,为本申请一种动态端口桌面接入管理方法中步骤S20的分步骤流程图;
进一步的,本申请的方法步骤S20包括以下步骤:
S21:桌面访问鉴权模块将鉴权信息验证成功结果返回至桌面访问动态端口控制系统;
S22:桌面访问动态端口控制系统根据鉴权信息,在设定范围内随机生成一组动态接入目的连接信息;所述动态接入目的连接信息包括目的IP地址,通信协议和协议端口号;
S23:动态接入目的连接信息通过控制面连接发送至客户端。
步骤S20还包括:
S24:桌面访问动态端口控制系统获取本次桌面接入的虚拟主机目的连接信息;所述虚拟主机目的连接信息包括目的IP地址,协议和协议端口号;
S25:桌面访问动态端口控制系统向动态端口转换模块中配置接入有效时间以及动态接入目的连接信息到虚拟主机目的连接信息的转换信息表。
进一步的,本申请的方法步骤S30包括以下步骤:
S301:桌面访问动态端口控制系统根据接收到的动态接入目的连接信息在转换信息中查找匹配的虚拟主机目的连接信息;
S302:在有效时间耗尽前查找到对应转换信息的情况下,将该动态目的连接信息转换为查找到的虚拟主机目的连接信息;
S303:使用转换后的虚拟主机目的连接信息将桌面访问请求发送到目的虚拟主机并建立后续桌面访问接入;
S304:在查找不到对应转换信息或者有效时间耗尽的情况下,拒绝连接请求。
进一步的,在本申请的方法步骤S30后还包括以下步骤:
S31:客户端通过所述数据面连接向桌面访问动态端口控制系统发送鉴权信息;
S32:桌面访问动态端口控制系统调用桌面访问鉴权模块验证所述鉴权信息,如果验证失败,拆除所述数据面连接;如果验证成功,允许客户端接入桌面访问。
进一步的,本申请的方法还包括:
S50:对建立的数据面连接实施安全管理;
其中,所述安全管理包括:
S51:将已经建立的数据面连接的动态接入目的信息和源地址信息加入活动连接表,对于新的包含当前动态接入目的信息的桌面访问请求,检查现有数据面连接存在的情况下,拒绝建立新的数据面连接;
S52:客户端关闭时,桌面访问动态端口控制系统中断数据面连接,同时删除动态端口转换模块中与该数据面连接对应动态接入目的连接信息的转换信息。
由以上技术方案可知,本申请提供了一种动态端口桌面接入管理方法,本方法通过客户端发起桌面接入访问建立控制面连接,并通过桌面访问动态端口控制系统进行鉴权分配,使得每次桌面访问的接入端口均不同;并且建立的数据面连接是基于控制面连接验证成功的基础上进行,可以有效防止DDOS攻击及其它暴力破解手段,进而降低数据丢失、服务降级的风险。下面以本申请一种可行性实施例为例,对本申请方法的工作流程进行说明如下:
参见图3,为本申请一种实施例下的方法流程图;
具体的,首先如步骤S10所述,由客户端向桌面访问动态端口控制系统发起桌面接入访问,建立控制面连接。
进一步的,所述控制面连接可采用TCP连接或加密通道TLS连接,TCP协议是较为常用的一种面向连接,具备可靠性等特点;而安全传输层协议(TLS)用于在两个通信回话主体之间提供保密性和数据完整性传输的技术。安全传输层协议TLS全称为Thread LocalStorage。
当控制面连接建立以后,需根据步骤S11和步骤S12对控制面连接进行鉴权验证,具体为,由客户端通过控制面连接向桌面访问动态端口控制系统发送鉴权信息;在本实施例中,鉴权信息可以是用户名密码,也可根据需求,增加鉴权的条件数,即采用多元素鉴权方法;此外,还可以密钥鉴权来加强鉴权强度,即事先设置特定对应关系的密钥,只有使用相匹配的密钥才能对本次桌面访问接入鉴权验证成功。当桌面访问动态端口控制系统接收到客户端发送的鉴权信息后,调用其内部的桌面访问鉴权模块对鉴权信息进行验证,验证结束后,由桌面访问鉴权模块将验证结果返回至桌面访问动态端口控制系统,如果验证失败,拆除所述控制面连接,连接中止;如果验证成功,保持所述控制面连接,进行后续步骤S21至步骤S23。
当桌面访问动态端口控制系统收到验证成功的结果后,结果会在设定范围内随机生成一组动态接入目的连接信息,所述动态接入目的连接信息包括目的IP地址,通信协议和协议端口号;生成的动态接入目的连接信息通过控制面连接发送至客户端中,优选的,该发送过程可采用加密发送的方式,增加数据的安全性。
在收到验证成功的结果同时,桌面访问动态端口控制系统根据步骤S24获取本次桌面接入的虚拟主机目的连接信息,所述虚拟主机目的连接信息包括目的IP地址,通信协议和协议端口号;IP地址可以为IPV4地址或IPV6地址,通信协议可以为TCP协议或UDP协议等,协议端口号可以是通信协议允许的端口数字;
进一步的,桌面访问动态端口控制系统根据步骤S25向动态端口转换模块中配置设置接入有效时间,可以对非法的接入尝试进行限制,并通过与系统设置的报警系统配合,达到自动报警、自动终止异常连接、系统预警等功能;较优的,所述接入有效时间可选取1秒至100秒的范围区间。
客户端接收到动态接入目的连接信息后,发起建立数据面连接请求,根据步骤S301至步骤S304,先由动态端口转换模块基于该数据面连接请求中包括的动态接入目的连接信息查找到匹配的虚拟主机目的连接信息,再由动态端口转换模块将动态接入目的连接信息转换为查找到的虚拟主机目的连接信息,最后将通过转换后的虚拟主机目的连接信息将本次桌面访问请求发送至目的主机并建立后续桌面访问接入;需要说明的是,对于没有在有效时间耗尽前找到对应转换配置的桌面连接访问请求,即未找到匹配的虚拟主机目的连接信息,系统将拒绝建立数据面连接。
当数据面连接建立后,与控制面连接建立时类似的,需根据步骤S31和步骤S32对数据面连接进行鉴权验证,具体为,由客户端通过数据面连接向桌面访问动态端口控制系统发送鉴权信息;当桌面访问动态端口控制系统接收到客户端发送的鉴权信息后,调用其内部的桌面访问鉴权模块对鉴权信息进行验证,验证结束后,由桌面访问鉴权模块将验证结果返回至桌面访问动态端口控制系统,如果验证失败,拆除所述数据面连接,连接中止;如果验证成功,保持所述数据面连接,允许接入桌面访问。
当系统进行步骤S40后进入正常数据连接过程,在运行过程中可采用步骤S50和步骤S60进一步增加系统的安全性,具体的,步骤S50中为对建立的数据面连接实施安全管理;是将已经建立的数据面连接的动态接入目的信息和源地址信息加入活动连接表,对于新的包含当前动态接入目的信息的桌面访问请求,检查现有数据面连接存在的情况下,拒绝建立新的数据面连接;桌面访问动态端口控制系统具有终结数据面连接的功能,如果用户需结束桌面连接,将客户端关闭时,桌面访问动态端口控制系统可在中断数据面连接的同时删除动态端口转换模块中与该数据面连接对应动态接入目的连接信息的转换信息,这就使得每次桌面访问时,接入端口不同,相应的动态接入目的连接信息也不同,对应的转换信息也不同,攻击者即时通过抓包的方法也不能知道每次接入时的数据面连接信息,只有发起通信的客户端建立数据面连接、解密获取当次桌面接入连接信息后,才能知道发起连接的信息,因此系统将更加不容易被攻破。
步骤S60为具体实施过程中,桌面访问动态端口控制系统可以开启防攻击机制,例如设置异常连接预警机制,控制面连接实时监控机制等,在本实施例中并不对防攻击机制的类型加以限制。
由以上技术方案可知,本申请提供了一种动态端口桌面接入管理方法,包括客户端向桌面访问动态端口控制系统发起桌面接入访问,建立控制面连接;所述桌面访问动态端口控制系统为桌面接入访问随机分配动态接入目的连接信息并通过所述控制面连接发送至客户端;以及,配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息;客户端根据所述动态接入目的连接信息向桌面访问动态端口控制系统发起建立数据面连接;桌面访问动态端口控制系统根据所述转换信息,通过所述数据面连接为客户端建立目的虚拟主机桌面访问接入。本申请提供的方法通过数据面只接受来自控制面认证通过后分配的动态接入目的连接信息的连接,控制认证通过的目的连接时效来有效防止针对数据面的DDOS攻击以及暴力破解手段,降低发起桌面访问连接尝试的攻击源成功建立连接的几率,提升系统的安全性,防止数据丢失、服务降级等。
参见图4,为本申请一种动态端口桌面接入管理系统的构成图。
由图4可知,本申请还提供了一种动态端口桌面接入管理系统,所述系统包括虚拟化平台系统10,桌面访问动态端口控制系统20及客户端30;其中,
所述客户端30,用于发起桌面接入访问,建立控制面连接;还用于根据所述动态接入目的连接信息向桌面访问动态端口控制系统20发起建立数据面连接;
所述桌面访问动态端口控制系统20,用于为桌面接入访问随机分配动态接入目的连接信息并通过所述控制面连接发送至客户端30;还用于配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息;又用于根据所述转换信息,通过所述数据面连接为客户端30建立目的虚拟主机桌面访问接入;
所述虚拟化平台系统10包括虚拟化平台模块11及至少一个虚拟主机12,每个所述虚拟主机12接收相应的桌面访问请求。
可选的,所述桌面访问动态端口控制系统20包括动态端口控制模块22,动态端口转换模块23和桌面访问鉴权模块21;所述动态端口控制模块22用于建立,保持控制面连接;所述动态端口转换模块23用于配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息,建立数据面连接;所述桌面访问鉴权模块21用于对接收到的鉴权信息进行验证。
可选的,所述虚拟化平台系统10,所述动态端口控制模块22和所述桌面访问鉴权模块21运行在一个或分离的多个安全计算服务器中;所述安全计算服务器包括CPU,内存,网卡,存储器,操作系统软件和应用软件。
本实施例中提供的管理系统中各部件的功能、作用均与上述一种动态端口桌面接入管理方法中相同,在此不再赘述。
由以上技术方案可知,本申请实施例提供了一种动态端口桌面接入管理系统,包括虚拟化平台系统10,桌面访问动态端口控制系统20及客户端30;所述虚拟化平台系统10包括虚拟化平台模块11及至少一个虚拟主机12;所述桌面访问动态端口控制系统20包括动态端口控制模块22,动态端口转换模块23和桌面访问鉴权模块21;本申请提供的系统通过数据面只接受来自控制面认证通过后分配的动态接入目的连接信息的连接,控制认证通过的目的连接时效来有效防止针对数据面的DDOS攻击以及暴力破解手段,降低发起桌面访问连接尝试的攻击源成功建立连接的几率,提升系统的安全性,防止数据丢失、服务降级等。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种动态端口桌面接入管理方法,其特征在于,所述方法包括以下步骤:
客户端向桌面访问动态端口控制系统发起桌面接入访问,建立控制面连接;
所述桌面访问动态端口控制系统为桌面接入访问随机分配动态接入目的连接信息并通过所述控制面连接发送至客户端;以及,配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息;
客户端根据所述动态接入目的连接信息向桌面访问动态端口控制系统发起建立数据面连接;
桌面访问动态端口控制系统根据所述转换信息,通过所述数据面连接为客户端建立目的虚拟主机桌面访问接入。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
客户端通过所述控制面连接向桌面访问动态端口控制系统发送鉴权信息;
桌面访问动态端口控制系统调用桌面访问鉴权模块验证所述鉴权信息,如果验证失败,拆除所述控制面连接;如果验证成功,保持所述控制面连接。
3.根据权利要求2所述的方法,其特征在于,所述桌面访问动态端口控制系统为桌面接入访问随机分配动态接入目的连接信息并通过所述控制面连接发送至客户端包括:
桌面访问鉴权模块将鉴权信息验证成功结果返回至桌面访问动态端口控制系统;
桌面访问动态端口控制系统根据鉴权信息,在设定范围内随机生成一组动态接入目的连接信息;所述动态接入目的连接信息包括目的IP地址,通信协议和协议端口号;
动态接入目的连接信息通过控制面连接发送至客户端。
4.根据权利要求1所述的方法,其特征在于,所述配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息包括:
桌面访问动态端口控制系统获取本次桌面接入的虚拟主机目的连接信息;所述虚拟主机目的连接信息包括目的IP地址,协议和协议端口号;
桌面访问动态端口控制系统向动态端口转换模块中配置接入有效时间以及动态接入目的连接信息到虚拟主机目的连接信息的转换信息表。
5.根据权利要求1所述的方法,其特征在于,所述客户端根据所述动态接入目的连接信息向桌面访问动态端口控制系统发起建立数据面连接包括:
桌面访问动态端口控制系统根据接收到的动态接入目的连接信息在转换信息中查找匹配的虚拟主机目的连接信息;
在查找到对应转换信息的情况下,将该动态目的连接信息转换为查找到的虚拟主机目的连接信息;
使用转换后的虚拟主机目的连接信息将桌面访问请求发送到目的虚拟主机并建立后续桌面访问接入;
在查找不到对应转换信息的情况下,拒绝连接请求。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
客户端通过所述数据面连接向桌面访问动态端口控制系统发送鉴权信息;
桌面访问动态端口控制系统调用桌面访问鉴权模块验证所述鉴权信息,如果验证失败,拆除所述数据面连接;如果验证成功,允许客户端接入桌面访问。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:对建立的数据面连接实施安全管理;所述安全管理包括:
将已经建立的数据面连接的动态接入目的信息和源地址信息加入活动连接表,对于新的包含当前动态接入目的信息的桌面访问请求,检查现有数据面连接存在的情况下,拒绝建立新的数据面连接;
客户端关闭时,桌面访问动态端口控制系统中断数据面连接,同时删除动态端口转换模块中与该数据面连接对应动态接入目的连接信息的转换信息。
8.一种动态端口桌面接入管理系统,其特征在于,所述系统包括虚拟化平台系统,桌面访问动态端口控制系统及客户端;其中,
所述客户端,用于发起桌面接入访问,建立控制面连接;还用于根据所述动态接入目的连接信息向桌面访问动态端口控制系统发起建立数据面连接;
所述桌面访问动态端口控制系统,用于为桌面接入访问随机分配动态接入目的连接信息并通过所述控制面连接发送至客户端;还用于配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息;又用于根据所述转换信息,通过所述数据面连接为客户端建立目的虚拟主机桌面访问接入;
所述虚拟化平台系统包括虚拟化平台模块及至少一个虚拟主机,每个所述虚拟主机接收相应的桌面访问请求。
9.根据权利要求8所述的系统,其特征在于,所述桌面访问动态端口控制系统包括动态端口控制模块,动态端口转换模块和桌面访问鉴权模块;所述动态端口控制模块用于建立,保持控制面连接;所述动态端口转换模块用于配置所述动态接入目的连接信息到虚拟主机目的连接信息的转换信息,建立数据面连接;所述桌面访问鉴权模块用于对接收到的鉴权信息进行验证。
10.根据权利要求9所述的系统,其特征在于,所述虚拟化平台系统,所述动态端口控制模块和所述桌面访问鉴权模块运行在一个或分离的多个安全计算服务器中;所述安全计算服务器包括CPU,内存,网卡,存储器,操作系统软件和应用软件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810841492.5A CN109040225B (zh) | 2018-07-27 | 2018-07-27 | 一种动态端口桌面接入管理方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810841492.5A CN109040225B (zh) | 2018-07-27 | 2018-07-27 | 一种动态端口桌面接入管理方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109040225A true CN109040225A (zh) | 2018-12-18 |
CN109040225B CN109040225B (zh) | 2021-06-18 |
Family
ID=64646027
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810841492.5A Active CN109040225B (zh) | 2018-07-27 | 2018-07-27 | 一种动态端口桌面接入管理方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109040225B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110191158A (zh) * | 2019-05-09 | 2019-08-30 | 厦门网宿有限公司 | 一种云桌面服务实现方法和系统 |
CN114666130A (zh) * | 2022-03-23 | 2022-06-24 | 北京从云科技有限公司 | 一种web安全反向代理方法 |
CN115314262A (zh) * | 2022-07-20 | 2022-11-08 | 杭州熠芯科技有限公司 | 一种可信网卡的设计方法及其组网方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110214176A1 (en) * | 2010-02-27 | 2011-09-01 | Lloyd Leon Burch | Techniques for secure access management in virtual environments |
CN103618752A (zh) * | 2013-12-18 | 2014-03-05 | 广东中科遥感技术有限公司 | 一种虚拟机远程桌面安全访问系统及方法 |
US20150293772A1 (en) * | 2014-04-11 | 2015-10-15 | Vmware, Inc. | Virtual switch and virtual switch port management for vm availability |
CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
CN105991624A (zh) * | 2015-03-06 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种服务器的安全管理方法及装置 |
CN106027527A (zh) * | 2016-05-23 | 2016-10-12 | 华中科技大学 | 一种基于sdn环境的匿名通信方法 |
-
2018
- 2018-07-27 CN CN201810841492.5A patent/CN109040225B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110214176A1 (en) * | 2010-02-27 | 2011-09-01 | Lloyd Leon Burch | Techniques for secure access management in virtual environments |
CN103618752A (zh) * | 2013-12-18 | 2014-03-05 | 广东中科遥感技术有限公司 | 一种虚拟机远程桌面安全访问系统及方法 |
US20150293772A1 (en) * | 2014-04-11 | 2015-10-15 | Vmware, Inc. | Virtual switch and virtual switch port management for vm availability |
CN105991624A (zh) * | 2015-03-06 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种服务器的安全管理方法及装置 |
CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
CN106027527A (zh) * | 2016-05-23 | 2016-10-12 | 华中科技大学 | 一种基于sdn环境的匿名通信方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110191158A (zh) * | 2019-05-09 | 2019-08-30 | 厦门网宿有限公司 | 一种云桌面服务实现方法和系统 |
CN114666130A (zh) * | 2022-03-23 | 2022-06-24 | 北京从云科技有限公司 | 一种web安全反向代理方法 |
CN114666130B (zh) * | 2022-03-23 | 2024-06-07 | 北京从云科技有限公司 | 一种web安全反向代理方法 |
CN115314262A (zh) * | 2022-07-20 | 2022-11-08 | 杭州熠芯科技有限公司 | 一种可信网卡的设计方法及其组网方法 |
CN115314262B (zh) * | 2022-07-20 | 2024-04-23 | 杭州熠芯科技有限公司 | 一种可信网卡的设计方法及其组网方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109040225B (zh) | 2021-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10581907B2 (en) | Systems and methods for network access control | |
US20200120105A1 (en) | Data processing method and apparatus, terminal, and access point computer | |
US20090300739A1 (en) | Authentication for distributed secure content management system | |
CN109040225B (zh) | 一种动态端口桌面接入管理方法和系统 | |
US12034766B2 (en) | Method and system for providing edge service, and computing device | |
EP3182673A1 (en) | Main stream connection establishment method and device based on mptcp | |
JP2004507978A (ja) | ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法 | |
WO2021057348A1 (zh) | 一种服务器安全防御方法及系统、通信设备、存储介质 | |
CN105592180B (zh) | 一种Portal认证的方法和装置 | |
EP2638496B1 (en) | Method and system for providing service access to a user | |
US11201915B1 (en) | Providing virtual server identity to nodes in a multitenant serverless execution service | |
KR20190052541A (ko) | 서비스 서버와 사용자 단말간의 네트워크 경로 제공 방법 및 장치 | |
US20220191193A1 (en) | Cross site request forgery (csrf) protection for web browsers | |
CN109936515B (zh) | 接入配置方法、信息提供方法及装置 | |
US10791119B1 (en) | Methods for temporal password injection and devices thereof | |
CN107819888B (zh) | 一种分配中继地址的方法、装置以及网元 | |
CN113612790B (zh) | 基于设备身份预认证的数据安全传输方法及装置 | |
US11689517B2 (en) | Method for distributed application segmentation through authorization | |
US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
CN105518693A (zh) | 一种安全防护方法,及装置 | |
CN116471586A (zh) | 一种数据处理方法、装置以及可读存储介质 | |
US8676998B2 (en) | Reverse network authentication for nonstandard threat profiles | |
CN111131172B (zh) | 一种内网主动调用服务的方法 | |
EP3618396B1 (en) | Protection method and system for http flood attack | |
CN116633562A (zh) | 一种基于WireGuard的网络零信任安全交互方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |