安全云桌面系统及其USB访问控制方法.pdf

本发明公开了一种安全云桌面系统及其USB访问控制方法，S1：用户将USB设备插到访问终端上；S2：访问终端上的USB访问控制组件启动，并对该USB设备类型进行识别，识别该USB设备是否为USB存储设备，若不是USB存储设备则不作处理，若是USB存储设备则跳转至步骤S3；S3：USB访问控制组件进一步识别用户请求访问的虚拟化资源是否为可复制虚拟化资源，若为可复制虚拟化资源，则允许USB存储设备复制该可复制虚拟化资源；若为不可复制虚拟化资源，则阻止USB存储设备复制该不可复制虚拟化资源。本发明可自动识别接入云桌面访问终端的USB设备类型，阻止USB存储设备复制访问终端上的不可复制虚拟化资源，以保证虚拟化资源的安全性。

1.  安全云桌面系统，其特征在于：它包括DCSS管理控制台、SAG安全网关、VSIP虚拟化基础架构子系统、远程桌面、物理硬件资源池和多个访问终端，各访问终端分别通过通信网络与DCSS管理控制台连接，DCSS管理控制台与远程桌面相连接；DCSS管理控制台还分别通过SAG安全网关和VSIP虚拟化基础架构子系统与交换机相连，交换机与物理硬件资源池连接；
所述的访问终端上设置有USB访问控制组件，用于识别接入访问终端的USB设备的类型，并阻止USB存储设备复制访问终端上的不可复制虚拟化资源；
所述的DCSS管理控制台针对虚拟化资源进行管理，提供管理员及用户两种视图，以满足不同用户对桌面管理的需求及个性定制；
所述的SAG安全网关实现对内部虚拟桌面访问地址的管理，并为用户访问提供统一的、外部可访问的安全地址；支持HA高可用集群部署，提供互联网访问服务，并提供访问审计服务及安全访问记录查询、分析功能；
所述的VSIP虚拟化基础架构子系统实现物理硬件资源的软件虚拟化，形成虚拟资源池，实现服务器虚拟化统一管理和动态资源调配，既用于帮助用户快速构建一体化、高质量的云计算IaaS基础设施服务体系，又用于支撑上层应用，形成云计算应用解决方案；
所述的远程桌面用于实现远程桌面通信，远程桌面结合SAG安全网关提供通信链路加密。

2.  根据权利要求1所述的安全云桌面系统，其特征在于：所述的访问终端包括PC终端、瘦客户终端和移动终端。

3.  根据权利要求1所述的安全云桌面系统，其特征在于：还包括目录服务子系统，目录服务子系统与DCSS管理控制台连接，目录服务子系统用于提供身份、组织及安全证书管理服务，提供用户基础数据。

4.  如权利要求1~3中任意一项所述的安全云桌面系统USB访问控制方法，用于对访问终端上接入的USB设备进行访问控制，其特征在于：它包括以下步骤：
S1：用户将USB设备插到访问终端上；
S2：访问终端上的USB访问控制组件启动，并对该USB设备类型进行识别，识别该USB设备是否为USB存储设备，若不是USB存储设备则不作处理，若是USB存储设备则跳转至步骤S3；
S3：USB访问控制组件进一步识别用户请求访问的虚拟化资源是否为可复制虚拟化资源，若为可复制虚拟化资源，则允许USB存储设备复制该可复制虚拟化资源；若为不可复制虚拟化资源，则阻止USB存储设备复制该不可复制虚拟化资源。

5.  根据权利要求4所述的安全云桌面系统USB访问控制方法，其特征在于：所述的USB访问控制组件识别USB设备类型的步骤为：
S1：USB设备插入访问终端后，USB访问控制组件枚举该USB设备的信息用于识别设备，并将该信息存储至访问终端存储系统中；
S2：枚举完成后，USB访问控制组件发送控制命令，获得USB设备的设备描述符、配置描述符、接口描述符、端点描述符，通过设备类型描述识别出该设备的类型，从而确定该USB设备是否为USB存储设备。

6.  根据权利要求4所述的安全云桌面系统USB访问控制方法，其特征在于：所述的USB访问控制组件阻止USB存储设备复制不可复制虚拟化资源的步骤为：
S1：通过虚拟化资源的配置识别当前虚拟化资源是否为不可复制虚拟化资源；
S2：如果识别到当前虚拟化资源为不可复制虚拟化资源，当用户执行复制虚拟化资源操作时，USB访问控制组件将根据USB 存储设备协议标准，将该USB存储设备设置为只读设备，操作系统的文件系统在复制文件时检测到USB存储设备为只读设备将终止拷贝，并弹出提示框提示用户该USB存储设备为只读设备无法拷贝。

安全云桌面系统及其USB访问控制方法
技术领域
本发明涉及一种安全云桌面系统及其USB访问控制方法。
背景技术
云计算是一种基于计算机网络的以服务方式提供的新型计算模式，是面向服务计算模型的发展，使服务使用者通过网络访问集中的共享计算资源（如服务器、存储、网络、应用、服务等），其计算资源是动态、可伸缩且被虚拟化的，使服务提供者仅需最少的管理交互工作即可实现计算资源的柔性供应与快速发布。
云桌面技术又称为虚拟桌面或者桌面云技术，它能够在云端为用户提供远程的计算机桌面服务。服务提供者在数据中心服务器上运行用户所需的操作系统和应用软件，然后采用桌面显示协议将操作系统桌面视图以图像的方式传送到用户端设备上。同时，服务器将对用户端的输入进行处理，并随时更新桌面视图的内容。
近年来，云桌面技术得到了迅速发展，云桌面平台可以管理所提供的资源或服务，以确保可用性、安全和质量等。目前，云桌面访问终端主要采用PC终端、瘦客户机和移动终端等，对于企业用户而言，通常需要控制访问终端对云平台虚拟化资源的访问权限。
发明内容
本发明的目的在于克服现有技术的不足，提供一种安全云桌面系统及其USB访问控制方法，识别接入云桌面访问终端的USB设备类型，阻止USB存储设备复制访问终端上的不可复制虚拟化资源，以保证虚拟化资源的安全性。
本发明的目的是通过以下技术方案来实现的：安全云桌面系统，它包括DCSS管理控制台、SAG安全网关、VSIP虚拟化基础架构子系统、远程桌面、物理硬件资源池和多个访问终端，各访问终端分别通过通信网络与DCSS管理控制台连接，DCSS管理控制台与远程桌面相连接；DCSS管理控制台还分别通过SAG安全网关和VSIP虚拟化基础架构子系统与交换机相连，交换机与物理硬件资源池连接；
所述的访问终端上设置有USB访问控制组件，用于识别接入访问终端的USB设备的类型，并阻止USB存储设备复制访问终端上的不可复制虚拟化资源；
所述的DCSS管理控制台针对虚拟化资源进行管理，提供管理员及用户两种视图，以满足不同用户对桌面管理的需求及个性定制；
所述的SAG安全网关实现对内部虚拟桌面访问地址的管理，并为用户访问提供统一的、外部可访问的安全地址；支持HA高可用集群部署，提供互联网访问服务，并提供访问审计服务及安全访问记录查询、分析功能；
所述的VSIP虚拟化基础架构子系统实现物理硬件资源的软件虚拟化，形成虚拟资源池，实现服务器虚拟化统一管理和动态资源调配，既用于帮助用户快速构建一体化、高质量的云计算IaaS基础设施服务体系，又用于支撑上层应用，形成云计算应用解决方案；
所述的远程桌面用于实现远程桌面通信，远程桌面结合SAG安全网关提供通信链路加密。
所述的访问终端包括PC终端、瘦客户终端和移动终端。
安全云桌面系统，还包括目录服务子系统，目录服务子系统与DCSS管理控制台连接，目录服务子系统用于提供身份、组织及安全证书管理服务，提供用户基础数据。
安全云桌面系统USB访问控制方法，用于对访问终端上接入的USB设备进行访问控制，它包括以下步骤：
S1：用户将USB设备插到访问终端上；
S2：访问终端上的USB访问控制组件启动，并对该USB设备类型进行识别，识别该USB设备是否为USB存储设备，若不是USB存储设备则不作处理，若是USB存储设备则跳转至步骤S3；
S3：USB访问控制组件进一步识别用户请求访问的虚拟化资源是否为可复制虚拟化资源，若为可复制虚拟化资源，则允许USB存储设备复制该可复制虚拟化资源；若为不可复制虚拟化资源，则阻止USB存储设备复制该不可复制虚拟化资源。
所述的USB访问控制组件识别USB设备类型的步骤为：
S1：USB设备插入访问终端后，USB访问控制组件枚举该USB设备的信息用于识别设备，并将该信息存储至访问终端存储系统中；
S2：枚举完成后，USB访问控制组件发送控制命令，获得USB设备的设备描述符、配置描述符、接口描述符、端点描述符，通过设备类型描述识别出该设备的类型，从而确定该USB设备是否为USB存储设备。
所述的USB访问控制组件阻止USB存储设备复制不可复制虚拟化资源的步骤为：
S1：通过虚拟化资源的配置识别当前虚拟化资源是否为不可复制虚拟化资源；
S2：如果识别到当前虚拟化资源为不可复制虚拟化资源，当用户执行复制虚拟化资源操作时，USB访问控制组件将根据USB 存储设备协议标准，将该USB存储设备设置为只读设备，操作系统的文件系统在复制文件时检测到USB存储设备为只读设备将终止拷贝，并弹出提示框提示用户该USB存储设备为只读设备无法拷贝。
本发明的有益效果是：
1）本发明可自动识别接入云桌面访问终端的USB设备类型，阻止USB存储设备复制访问终端上的不可复制虚拟化资源，以保证虚拟化资源的安全性。
2）在DCSS产品解决方案中，目录服务系统为DCSS系统提供用户基础数据，保障DCSS产品与企业的4A产品具有良好的集成性。
3）SAG安全网关通过对内部虚拟桌面访问地址的管理，并对企业员工访问提供统一的、外部可访问的安全地址，进一步保障了企业IAAS服务资源访问的安全性。
4）SAG安全网关支持HA高可用集群部署，可提供互联网访问服务，并提供访问审计服务，可供管理员进行安全访问记录查询、分析。
5）VSIP虚拟化基础架构系统实现了服务器虚拟化统一管理和动态资源调配，既可以用于帮助用户快速构建一体化、高质量的企业级或互联网数据中心云计算IaaS基础设施服务体系，又可以用于支撑桌面云、并行计算框架、仿真测试等上层应用，形成专门的云计算应用解决方案。
6）云桌面结合SAG安全网关提供通信链路加密，提高了远程桌面管理的安全性。
附图说明
图1为安全云桌面系统架构图；
图2为本发明USB访问控制方法流程图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。
如图1所示，安全云桌面系统，它包括DCSS管理控制台、SAG安全网关、VSIP虚拟化基础架构子系统、远程桌面、物理硬件资源池和多个访问终端，各访问终端分别通过通信网络与DCSS管理控制台连接，DCSS管理控制台与远程桌面相连接；DCSS管理控制台还分别通过SAG安全网关和VSIP虚拟化基础架构子系统与交换机相连，交换机与物理硬件资源池连接；物理硬件资源池由多个物理资源服务器组成。
所述的访问终端上设置有USB访问控制组件，用于识别接入访问终端的USB设备的类型，并阻止USB存储设备复制访问终端上的不可复制虚拟化资源；
所述的DCSS管理控制台针对虚拟化资源进行管理，提供管理员及用户两种视图，以满足不同用户对桌面管理的需求及个性定制；
所述的SAG安全网关实现对内部虚拟桌面访问地址的管理，并为用户访问提供统一的、外部可访问的安全地址；支持HA高可用集群部署，提供互联网访问服务，并提供访问审计服务及安全访问记录查询、分析功能；
所述的VSIP虚拟化基础架构子系统实现物理硬件资源的软件虚拟化，形成虚拟资源池，实现服务器虚拟化统一管理和动态资源调配，既用于帮助用户快速构建一体化、高质量的云计算IaaS基础设施服务体系，又用于支撑上层应用，形成云计算应用解决方案；
所述的远程桌面用于实现远程桌面通信，远程桌面结合SAG安全网关提供通信链路加密。
本实施例中，所述的访问终端包括PC终端、瘦客户终端和移动终端。
安全云桌面系统，还包括目录服务子系统，目录服务子系统与DCSS管理控制台连接，目录服务子系统用于提供身份、组织及安全证书管理服务，提供用户基础数据。
如图2所示，安全云桌面系统USB访问控制方法，用于对访问终端上接入的USB设备进行访问控制，它包括以下步骤：
S1：用户将USB设备插到访问终端上；
S2：访问终端上的USB访问控制组件启动，并对该USB设备类型进行识别，识别该USB设备是否为USB存储设备，若不是USB存储设备则不作处理，若是USB存储设备则跳转至步骤S3；
S3：USB访问控制组件进一步识别用户请求访问的虚拟化资源是否为可复制虚拟化资源，若为可复制虚拟化资源，则允许USB存储设备复制该可复制虚拟化资源；若为不可复制虚拟化资源，则阻止USB存储设备复制该不可复制虚拟化资源。
具体的，所述的USB访问控制组件识别USB设备类型的步骤为：
S1：USB设备插入主机后，主机USB系统会枚举该设备的信息用于识别设备，并将信息存储至主机系统中；
S2：枚举完成后，访问控制组件发送控制命令，获得USB设备的设备描述符、配置描述符、接口描述符、端点描述符，通过设备类型描述(class,subclass)识别出该设备的类型(参考USB官方标准设备类型)，从而确定USB设备是否为USB存储设备。
具体的，所述的USB访问控制组件阻止USB存储设备复制不可复制虚拟化资源的步骤为：
S1：通过虚拟化资源的配置识别当前虚拟化资源是否为不可复制虚拟化资源；
S2：如果识别到当前虚拟化资源为不可复制虚拟化资源，当用户执行复制虚拟化资源操作的时候，访问组件将根据USB 存储设备协议标准(Mass storage protocol)，将设备设置为只读设备，操作系统的文件系统在复制文件时检测到存储设备为只读设备将终止拷贝，并弹出提示框提示用户该设备为只读设备无法拷贝。
对于企业用户而言，任何员工都可以通过访问终端访问共享在物理硬件资源池中的虚拟化资源，但是如果某员工想要用U盘拷贝编程代码（编程代码通常只允许员工共享和查看，而不允许员工复制，以避免代码外泄，属于不可复制虚拟化资源），访问终端上的USB访问控制组件识别到U盘属于USB存储设备，则会阻止U盘复制源代码，避免拷贝源代码而将其外泄。
但是对于允许拷贝的可复制虚拟化资源，USB访问控制组件则不会阻止USB存储设备对其进行拷贝。
以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。