《USB虚拟桌面设备的互访方法和系统.pdf》由会员分享,可在线阅读,更多相关《USB虚拟桌面设备的互访方法和系统.pdf(9页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103020517 A(43)申请公布日 2013.04.03CN103020517A*CN103020517A*(21)申请号 201210495562.9(22)申请日 2012.11.28G06F 21/53(2013.01)H04L 29/06(2006.01)(71)申请人福建伊时代信息科技股份有限公司地址 350015 福建省福州市马尾区江滨东大道108号福建留学人员创业园B区4F(72)发明人张伟 许元进 曾勇 李朋辉(74)专利代理机构北京集佳知识产权代理有限公司 11227代理人王宝筠(54) 发明名称USB虚拟桌面设备的互访方法和系统(57) 摘要。
2、本申请公开了一种USB虚拟桌面设备的互访方法和系统,其中方法包括:为多个USB虚拟桌面设备分别进行认证授权;将认证授权后的USB虚拟桌面设备分别划分至预设的网络;当USB虚拟桌面设备登陆时,根据所述认证授权为USB虚拟桌面设备进行登陆认证;登陆认证后USB虚拟桌面设备通过所述网络进行互相访问。在本申请中,通过将授权认证后的USB虚拟桌面设备划分至预设的网络中,从而使得USB虚拟桌面设备可以给予网络的连通性进行数据交互;由于通过不同的网络划分方式还可以分隔多个USB虚拟桌面设备的网络连通性,从而使得没有互连权限的USB虚拟桌面设备之间无法交互数据,所以本申请还具有一定的安全性。(51)Int.C。
3、l.权利要求书1页 说明书5页 附图2页(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书 1 页 说明书 5 页 附图 2 页1/1页21.一种USB虚拟桌面设备的互访方法,其特征在于,包括:为多个USB虚拟桌面设备分别进行认证授权;将认证授权后的USB虚拟桌面设备分别划分至预设的网络;当USB虚拟桌面设备登陆时,根据所述认证授权为USB虚拟桌面设备进行登陆认证;登陆认证后USB虚拟桌面设备通过所述网络进行互相访问。2.根据权利要求1所述USB虚拟桌面设备的互访方法,其特征在于,所述网络为基于IP协议的网络。3.根据权利要求2所述USB虚拟桌面设备的互访方法,其特征在于,所述。
4、设定的网络为基于IP协议的网络的子网;所述子网为多个。4.根据权利要求3所述USB虚拟桌面设备的互访方法,其特征在于,所述认证授权还包括,访问控制权限的授权。5.根据权利要求4所述USB虚拟桌面设备的互访方法,其特征在于,还包括:在USB虚拟桌面设备设有用于隔断子网间通信的防火墙。6.一种USB虚拟桌面设备的互访系统,其特征在于,包括USB虚拟桌面设备和主机;所述主机的Host OS中包括:认证授权模块,用于为多个USB虚拟桌面设备分别进行认证授权;网络划分模块,用于将认证授权后的USB虚拟桌面设备分别划分至设定的网络;登陆认证模块,用于当USB虚拟桌面设备登陆时,根据所述认证授权为USB虚拟。
5、桌面设备进行登陆认证;网络访问模块,用于实现登陆认证后USB虚拟桌面设备通过所述网络进行互相访问。7.根据权利要求6所述USB虚拟桌面设备的互访系统,其特征在于,所述网络为基于IP协议的网络。8.根据权利要求7所述USB虚拟桌面设备的互访系统,其特征在于,所述设定的网络为基于IP协议的网络的子网;所述子网为多个。9.根据权利要求8所述USB虚拟桌面设备的互访系统,其特征在于,所述认证授权模块还包括访问控制授权单元,用于访问控制权限的授权。10.根据权利要求9所述USB虚拟桌面设备的互访系统,其特征在于,所述USB虚拟桌面设备包括:防火墙,用于隔断子网间通信。权 利 要 求 书CN 103020。
6、517 A1/5页3USB 虚拟桌面设备的互访方法和系统技术领域0001 本发明涉及计算机信息安全领域,尤其涉及USB虚拟桌面设备的互访方法和系统。背景技术0002 虚拟化是一个抽象层,它将物理硬件与操作系统分开,允许具有不同操作系统的多个虚拟机在同一物理机上独立运行。每个虚拟机都可以构造自己的虚拟硬件(例如:CPU、内存、网卡等),可以在这些虚拟硬件上加载虚拟操作系统和虚拟应用程序。无论实际采用了什么物理硬件组件,虚拟机内部操作系统都将他们视为一致的、标准化的虚拟硬件。通过使用虚拟机,可以在一台物理主机上运行多个不同种类的虚拟操作系统(例如:Windows、Linux等)。0003 运行虚拟。
7、机软件的操作系统叫做Host OS,在虚拟机里运行的虚拟操作系统叫做Guest OS。存储Guest OS及其对应存储空间的文件称为镜像文件。0004 安全U盘是一种基于USB的安全存储设备,通过认证授权管理,访问控制数据加解密系统,实现了口令登陆、全盘数据加密保护等功能。安全U盘在实现上一般分为两个区,一个是只读存储区,一个是可擦写的加密存储区。只读存储区内可以放置各种应用软件组件,加密存储区主要负责对大量数据进行加密存储。0005 现有技术中,采用虚拟化技术和安全U盘技术相结合,通过数据隔离的方法实现数据保护和数据防泄漏,称为USB虚拟桌面。其具体实现方式如下:安全U盘的只读存储区放置虚拟。
8、机软件可执行体,安全U盘的加密存储区放置虚拟机内部Guest OS的镜像文件。安全U盘插入到Host OS中,首先进行口令认证。认证通过后,可以运行只读存储区内的虚拟机软件,使其加载加密存储区内的镜像文件,从而启动Guest系统。通过在虚拟机层面禁止Guest OS的各种通信端口设备(包括串口、并口、红外、蓝牙、网络、剪贴板等),使得Guest OS内部数据成为孤立数据,无法通过标准方法与外界交互。一旦有数据流转出安全U盘的需要时,需要通过特殊的私有通信接口进行数据导出(导出过程一般只有特殊权限用户才能够执行)。这样,Guest OS内部数据便被保护起来,无法泄漏到外面。0006 上述USB虚。
9、拟桌面实现方法,利用了安全U盘使用上的便利特性和虚拟化技术的数据隔离特性,很好的解决了数据防泄漏问题。但是,该方法的缺点也是显而易见的,即数据只有一条私有的通信出口能够进行导出,数据流转操作步骤繁多,在现实不同U盘之间数据交互的应用过程中给使用者带来了诸多的不便,增加了数据交互的复杂度。发明内容0007 有鉴于此,本发明实施例的目的在于提供USB虚拟桌面设备的互访方法和系统,以解决现有技术中USB虚拟桌面设备之间的访问不便的问题。0008 为实现上述目的,本发明实施例提供了如下技术方案:0009 一种USB虚拟桌面设备的互访方法,包括:说 明 书CN 103020517 A2/5页40010 。
10、为多个USB虚拟桌面设备分别进行认证授权;0011 将认证授权后的USB虚拟桌面设备分别划分至预设的网络;0012 当USB虚拟桌面设备登陆时,根据所述认证授权为USB虚拟桌面设备进行登陆认证;0013 登陆认证后USB虚拟桌面设备通过所述网络进行互相访问。0014 优选的,在本发明实施例中,所述网络为基于IP协议的网络。0015 优选的,在本发明实施例中,所述设定的网络为基于IP协议的网络的子网;0016 所述子网为多个。0017 优选的,在本发明实施例中,所述认证授权还包括,访问控制权限的授权。0018 优选的,在本发明实施例中,还包括:0019 在USB虚拟桌面设备设有用于隔断子网间通信。
11、的防火墙。0020 此外,本申请还提供了一种USB虚拟桌面设备的互访系统,包括USB虚拟桌面设备和主机;0021 所述主机的Host OS中包括:0022 认证授权模块,用于为多个USB虚拟桌面设备分别进行认证授权;0023 网络划分模块,用于将认证授权后的USB虚拟桌面设备分别划分至设定的网络;0024 登陆认证模块,用于当USB虚拟桌面设备登陆时,根据所述认证授权为USB虚拟桌面设备进行登陆认证;0025 网络访问模块,用于实现登陆认证后USB虚拟桌面设备通过所述网络进行互相访问。0026 优选的,在本发明实施例中,所述网络为基于IP协议的网络。0027 优选的,在本发明实施例中,所述设定。
12、的网络为基于IP协议的网络的子网;0028 所述子网为多个。0029 优选的,在本发明实施例中,所述认证授权模块还包括访问控制授权单元,用于访问控制权限的授权。0030 优选的,在本发明实施例中,所述USB虚拟桌面设备包括:0031 防火墙,用于隔断子网间通信0032 综上所述,在本发明实施例中,通过将授权认证后的USB虚拟桌面设备划分至预设的网络中,从而使得USB虚拟桌面设备可以给予网络的连通性进行数据交互;由于通过不同的网络划分方式还可以分隔多个USB虚拟桌面设备的网络连通性,从而使得没有互连权限的USB虚拟桌面设备之间无法交互数据,所以本发明实施例还具有一定的安全性。附图说明0033 图。
13、1为本发明实施例中所述USB虚拟桌面设备的互访方法的流程示意图;0034 图2为本发明实施例中所述USB虚拟桌面设备的互访方法的又一流程示意图;0035 图3为本发明实施例中所述USB虚拟桌面设备的系统的结构示意图。具体实施方式0036 为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对说 明 书CN 103020517 A3/5页5本发明作进一步详细说明。0037 现本申请提供了一种USB虚拟桌面的互访方法,包括:0038 S11、为多个USB虚拟桌面设备分别进行认证授权;0039 本申请中,在Host OS中增加了认证授权模块,通过预先对USB虚拟桌面设备的身份合法性。
14、的认证,保证只有合法的USB虚拟桌面设备才能够接入Host OS,以保证USB虚拟桌面设备接入的安全性。0040 S12、将认证授权后的USB虚拟桌面设备分别划分至预设的网络;0041 在确定USB虚拟桌面设备接入的合法性后,Host OS还要将USB虚拟桌面设备划分至预设的网络中;从而使得不同的USB虚拟桌面设备可以根据网络的连通性来进行数据交互。0042 具体的,本申请中的网络可以是基于IP协议的网络,也就是说,Host OS可以通过为USB虚拟桌面设备分配IP地址的方式,使设定的USB虚拟桌面设备处于相同的网段,从而使在相同网段的USB虚拟桌面设备之间可以互相访问,实现数据交互。然后通过。
15、为需要隔断通信的USB虚拟桌面设备分配不同的网段以使其无法与不同网段中的USB虚拟桌面设备进行数据交互,从而实现数据交互的安全性。0043 具体的,在为USB虚拟桌面设备划分预设的网络时,基于IP协议还可以预先划分多个子网,将多个USB虚拟桌面设备分别划分至预设的子网中,这样,就可以使多个USB虚拟桌面设备按照需要进行分组,每个子网内的USB虚拟桌面设备实现互相访问,子网间则无法通信,进而方便的控制USB虚拟桌面设备间的交互权限。0044 进一步的,在本申请中,还可以在认证授权时,进一步的进行控制权限的授权,即,为每个USB虚拟桌面设备的各种访问权限进行限定,从而增加USB虚拟桌面设备之间访问。
16、控制的灵活性和安全性。0045 S13、当USB虚拟桌面设备登陆时,根据所述认证授权为USB虚拟桌面设备进行登陆认证;0046 在经过HOST OS的认证授权和网络划分后,USB虚拟桌面设备插入HostOS主机进行登陆时,会经过登陆认证,该登录认证是基于预先的认证授权的,从而使得USB虚拟桌面设备的接入需要身份合法性的认证,从而保证USB虚拟桌面设备接入的安全性。0047 进一步的,由于认证授权还可以为USB虚拟桌面设备进行各种访问权限的授权,从而使USB虚拟桌面设备可以在权限范围内方便的访问所需设备。0048 S14、登陆认证后USB虚拟桌面设备通过所述网络进行互相访问。0049 在USB虚。
17、拟桌面设备登陆成功后,由于Host OS已经为该USB虚拟桌面设备分配了预设的网络,所以,USB虚拟桌面设备可以根据网络的连通性进行USB虚拟桌面设备之间的互相访问。比如,USB虚拟桌面设备1与USB虚拟桌面设备2均属于同一网段,USB虚拟桌面设备1又具有访问虚拟桌面设备2某一数据的权限,此时USB虚拟桌面设备1即可方便的通过网络应用实现对该数据的访问。0050 进一步的,在USB虚拟桌面设备中,还可以设有防火墙,这样,就可以进一步的提高各个USB虚拟桌面设备中数据的安全性。0051 在实际应用中,本申请实现USB虚拟桌面的互访方法的整体流程如图2所示:0052 S21、在制作USB虚拟桌面设。
18、备的Guest OS时,要在中安装认证授权、网络分配信说 明 书CN 103020517 A4/5页6息、和防火墙;这里的认证授权包括USB虚拟桌面设备身份的认证信息,是与Host OS中的认证授权相应的;网络分配信息具体的可以是HostOS为该USB虚拟桌面设备所分配的IP地址。0053 S22、USB虚拟桌面设备插入Host OS并启动Guest OS后,首先要进行USB虚拟桌面设备的身份认证,在身份认证通过后,还可以进一步的对该USB虚拟桌面设备进行访问控制权的赋予;0054 S23、USB虚拟桌面设备与其他USB虚拟桌面设备进行网内的访问以实现数据交互。0055 在本发明实施例中,通过。
19、将授权认证后的USB虚拟桌面设备划分至预设的网络中,从而使得USB虚拟桌面设备可以给予网络的连通性进行数据交互;由于通过不同的网络划分方式还可以分隔多个USB虚拟桌面设备的网络连通性,从而使得没有互连权限的USB虚拟桌面设备之间无法交互数据,所以本发明实施例还具有一定的安全性。0056 在本申请的另一方面,还提供了一种USB虚拟桌面的互访系统,如图3所示,包括主机1和USB虚拟桌面设备2;0057 主机1的Host OS中包括:0058 认证授权模块11,用于为多个USB虚拟桌面设备分别进行认证授权;0059 本申请中,在主机1的Host OS中增加了认证授权模块11,通过预先对USB虚拟桌面。
20、设备2的身份合法性的认证,保证只有合法的USB虚拟桌面设备2才能够接入主机1的Host OS,以保证USB虚拟桌面设备2接入的安全性。0060 进一步的,在本申请中,认证授权模块11还包括访问控制授权单元,用于访问控制权限的授权;0061 由于通过访问控制授权单元,还可以为USB虚拟桌面设备2进行各种访问权限的授权,从而使USB虚拟桌面设备2可以在权限范围内方便的访问所需设备。0062 网络划分模块12,用于将认证授权后的USB虚拟桌面设备2分别划分至设定的网络;0063 在确定USB虚拟桌面设备2接入的合法性后,Host OS还要通过网络划分模块12将USB虚拟桌面设备划分至预设的网络中;从。
21、而使得不同的USB虚拟桌面设备可以根据网络的连通性来进行数据交互。0064 具体的,本申请中的网络可以是基于IP协议的网络,也就是说,Host OS可以通过为USB虚拟桌面设备2分配IP地址的方式,使设定的USB虚拟桌面设备2处于相同的网段,从而使在相同网段的USB虚拟桌面设备2之间可以互相访问,实现数据交互。然后通过为需要隔断通信的USB虚拟桌面设备2分配不同的网段以使其无法与不同网段中的USB虚拟桌面设备2进行数据交互,从而实现数据交互的安全性。0065 具体的,在为USB虚拟桌面设备2划分预设的网络时,基于IP协议还可以预先划分多个子网,将多个USB虚拟桌面设备2分别划分至预设的子网中,。
22、这样,就可以使多个USB虚拟桌面设备2按照需要进行分组,每个子网内的USB虚拟桌面设备2实现互相访问,子网间则无法通信,进而方便的控制USB虚拟桌面设备2间的交互权限。0066 进一步的,在本申请中,还可以在认证授权时,进一步的进行控制权限的授权,即,为每个USB虚拟桌面设备的各种访问权限进行限定,从而增加USB虚拟桌面设备之间访问说 明 书CN 103020517 A5/5页7控制的灵活性和安全性0067 登陆认证模块13,用于当USB虚拟桌面设备2登陆时,根据所述认证授权为USB虚拟桌面设备2进行登陆认证;0068 在经过HOST OS的认证授权和网络划分后,USB虚拟桌面设备2插入Hos。
23、t OS主机1进行登陆时,会经过登陆认证模块13的登陆认证,该登录认证是基于预先的认证授权的,从而使得USB虚拟桌面设备2的接入需要身份合法性的认证,从而保证USB虚拟桌面设备2接入的安全性。0069 网络访问模块14,用于实现登陆认证后USB虚拟桌面设备2通过所述网络进行互相访问。0070 在USB虚拟桌面设备2登陆成功后,由于Host OS已经为该USB虚拟桌面设备2分配了预设的网络,所以,USB虚拟桌面设备2可以通过网络访问模块14根据网络的连通性进行USB虚拟桌面设备之间的互相访问。比如,USB虚拟桌面设备与另一USB虚拟桌面设备均属于同一网段,其中一个USB虚拟桌面设备又具有访问另一。
24、个虚拟桌面设备的某一数据的权限时,此时USB虚拟桌面设备即可方便的通过网络应用实现对该数据的访问。0071 进一步的,在USB虚拟桌面设备2中,还可以设有防火墙21,这样,就可以进一步的提高各个USB虚拟桌面设备2中数据的安全性。0072 在本发明实施例中,通过将授权认证后的USB虚拟桌面设备划分至预设的网络中,从而使得USB虚拟桌面设备可以给予网络的连通性进行数据交互;由于通过不同的网络划分方式还可以分隔多个USB虚拟桌面设备的网络连通性,从而使得没有互连权限的USB虚拟桌面设备之间无法交互数据,所以本发明实施例还具有一定的安全性。0073 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。说 明 书CN 103020517 A1/2页8图1图2说 明 书 附 图CN 103020517 A2/2页9图3说 明 书 附 图CN 103020517 A。