一种基于USB映射的存储设备多用户隔离方法及装置.pdf

摘要
申请专利号：	CN201410421677.2	申请日：	2014.08.25
公开号：	CN104202379A	公开日：	2014.12.10
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/08申请日:20140825\|\|\|公开
IPC分类号：	H04L29/08; H04L29/06; G06F21/78(2013.01)I	主分类号：	H04L29/08
申请人：	福建升腾资讯有限公司
发明人：	张辉; 张伟; 王敏
地址：	350000 福建省福州市仓山区金山工业区金山大道618号21#、22#、55#
优先权：
专利代理机构：	福州市鼓楼区京华专利事务所(普通合伙) 35212	代理人：	王美花
PDF下载：	PDF下载

内容摘要

本发明提供一种基于USB映射的存储设备多用户隔离方法，包括如下步骤：步骤10、当用户将存储设备插入客户端，通过USB映射技术将该存储设备映射到服务器端；步骤20、在服务器端，将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；步骤30、该用户连接远程虚拟桌面后，将映射到服务器端的存储设备直接挂载到用户Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离。本发明还提供一种基于USB映射的存储设备多用户隔离装置。本发明适用于所有类型的存储设备的多用户隔离，且多用户盘符隔离有效保证了用户间的数据安全问题；同时还解决了传统USB映射存储设备最多映射26个盘符的限制。

权利要求书

1.  一种基于USB映射的存储设备多用户隔离方法，其特征在于，包括如下步骤：
步骤10、当用户将存储设备插入客户端，通过USB映射技术将该存储设备映射到服务器端；
步骤20、在服务器端，将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；
步骤30、该用户连接远程虚拟桌面后，将映射到服务器端的存储设备直接挂载到用户Session盘符，其他用户的远程虚拟桌面就无法看到并访问该Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。

2.  根据权利要求1所述的一种基于USB映射的存储设备多用户隔离方法，其特征在于，所述步骤20具体为：在服务器端，检测存储设备的插入事件，当检测到有存储设备插入时，获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成的功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符。

3.  根据权利要求1所述的一种基于USB映射的存储设备多用户隔离方法，其特征在于，所述步骤30具体为：在完成禁止物理盘符生成之后，判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户Session映射的存储设备，确定用户后，获取该用户Session的Access Token，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户Session低权限Access Token，从而将该存储设备挂载成用户Session盘符，该用户连接远程虚拟桌面后，仅该用户看到该Session盘符，其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。

4.  一种基于USB映射的存储设备多用户隔离装置，其特征在于，包括：
USB映射模块：当用户将存储设备插入客户端，所述USB映射模块通过USB映射技术将该存储设备映射到服务器端；
盘符禁止模块：在服务器端，所述盘符禁止模块将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；
服务模块：该用户连接远程虚拟桌面后，服务模块将映射到服务器端的存储设备直接挂载到用户Session盘符，其他用户的远程虚拟桌面就无法看到并访问该Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。

5.  根据权利要求4所述的一种基于USB映射的存储设备多用户隔离方法，其特征在于，所述盘符禁止模块具体为：服务器检测存储设备的插入事件，当检测到有存储设备插入时，所述盘符禁止模块获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符。

6.  根据权利要求4所述的一种基于USB映射的存储设备多用户隔离方法，其特征在于，所述服务模块具体为：所述盘符禁止模块完成禁止物理盘符生成之后，所述服务模块判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户Session映射的存储设备，确定用户后，获取该用户Session的Access Token，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户Session低权限Access Token，从而将该存储设备挂载成用户Session盘符，该用户连接远程虚拟桌面后，仅该用户看到该Session盘符，其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。

说明书

一种基于USB映射的存储设备多用户隔离方法及装置
【技术领域】
本发明涉及一种基于USB映射的存储设备多用户隔离方法及装置。
【背景技术】
随着云计算技术的推广，SBC虚拟化模式使用越来越广泛(SBC是Server-based Computing的缩写，中文名称为：基于服务器计算，是指将应用程序的大部分处理工作放在服务器中运行，而只是将屏幕画面通过压缩算法传送给客户端用来显示结果)。在SBC虚拟环境下办公，文件资料的传输是必不可少的，保证不同用户之间的数据安全变得越来越重要。因此，各虚拟化厂商也相应推出了自己的USB映射方案，但是此方案无法解决登陆到服务器端的不同用户之间存储设备的隔离问题，且由于服务器端最多只能映射A～Z的26个盘符，因此，限制了多个客户端同时插入存储设备的数量，最多只能有26个存储设备。
【发明内容】
本发明要解决的技术问题之一，在于提供一种基于USB映射的存储设备多用户隔离方法，其解决了多用户间存储设备的隔离问题，以及现有USB映射方案存在的最多映射26个盘符的限制，即多客户端插入存数设备最多26个的限制。
本发明通过技术方案一解决上述技术问题之一：
技术方案一：
一种基于USB映射的存储设备多用户隔离方法，包括如下步骤：
步骤10、当用户将存储设备插入客户端，通过USB映射技术将该存储设备映射到服务器端；
步骤20、在服务器端，将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；
步骤30、该用户连接远程虚拟桌面后，将映射到服务器端的存储设备直接挂载到用户Session盘符，其他用户的远程虚拟桌面就无法看到并访问该Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。
进一步地，所述步骤20具体为：在服务器端，检测存储设备的插入事件，当检测到有存储设备插入时，获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成的功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符。
进一步地，所述步骤30具体为：在完成禁止物理盘符生成之后，判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户Session映射的存储设备，确定用户后，获取该用户Session的Access Token，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户Session低权限Access Token，从而将该存储设备挂载成用户Session盘符，该用户连接远程虚拟桌面后，仅该用户看到该Session盘符，其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。
本发明要解决的技术问题之二，在于提供一种基于USB映射的存储设备多用户隔离装置，其解决了多用户间存储设备的隔离问题，以及现有USB映射方案存在的最多映射26个盘符的限制，即多客户端插入存数设备最多26个的限制。
技术方案二：
一种基于USB映射的存储设备多用户隔离装置，包括：
USB映射模块：当用户将存储设备插入客户端，所述USB映射模块通过USB映射技术将该存储设备映射到服务器端；
盘符禁止模块：在服务器端，所述盘符禁止模块将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；
服务模块：该用户连接远程虚拟桌面后，服务模块将映射到服务器端的存储设备直接挂载到用户Session盘符，其他用户的远程虚拟桌面就无法看到并访问该Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。
进一步地，所述盘符禁止模块具体为：服务器检测存储设备的插入事件，当检测到有存储设备插入时，所述盘符禁止模块获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符。
进一步地，所述服务模块具体为：所述盘符禁止模块完成禁止物理盘符生成之后，所述服务模块判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户Session映射的存储设备，确定用户后，获取该用户Session的Access Token，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户Session低权限Access Token，从而将该存储设备挂载成用户Session盘符，该用户连接远程虚拟桌面后，仅该用户看到该Session盘符，其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。
本发明具有如下优点：本发明适用于所有类型的存储设备的多用户隔离，首先通过禁止服务器系统自动生成物理盘符，进而再获取该用户Session的Access Token，将该高权限切换成该用户Session低权限Access Token，从而将该存储设备挂载成用户Session盘符，其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符，有效保证了用户间的数据安全问题；同时还解决了传统USB映射存储设备最多映射26个盘符的限制。
【附图说明】
下面参照附图结合实施例对本发明作进一步的说明。
图1为本发明方法流程示意图。
图2为本发明装置示意图。
【具体实施方式】
实施例一、
请参阅图1，一种基于USB映射的存储设备多用户隔离方法，包括如下步骤：
步骤10、当用户将存储设备插入客户端，通过USB映射技术将该存储设备映射到服务器端；
步骤20、在服务器端，将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；
所述步骤20具体为：在服务器端，检测存储设备的插入事件，当检测到有存储设备插入时，获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成的功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符；
步骤30、该用户连接远程虚拟桌面后，将映射到服务器端的存储设备直接挂载到用户Session盘符，其他用户的远程虚拟桌面就无法看到并访问该Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的；所述Session盘符是只有在当前Session的用户才能看到的盘符，所述Session中文译文为会话，从客户端连接到服务端的一个远程虚拟桌面连接相当于一个Session；
所述步骤30具体为：在完成禁止物理盘符生成之后，判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户Session映射的存储设备，确定用户后，获取该用户Session的Access Token(所述Access Token中文译文为访问令牌：Windows操作系统安全性的一个概念，一个访问令牌包含了此登陆会话的安全信息)，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户Session低权限Access Token，从而将该存储设备挂载成用户Session盘符，该用户连接远程虚拟桌面后，仅该用户看到该Session盘符，其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。
实施例二、
请参阅图2，一种基于USB映射的存储设备多用户隔离装置，包括：
USB映射模块：当用户将存储设备插入客户端，所述USB映射模块通过USB映射技术将该存储设备映射到服务器端；
盘符禁止模块：在服务器端，所述盘符禁止模块将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符，所述物理盘符是连接到同一个服务器的所有用户的远程虚拟桌面都可以看到的盘符；
所述盘符禁止模块具体为：在服务器端，所述盘符禁止模块检测存储设备的插入事件，当检测到有存储设备插入时，所述盘符禁止模块获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成的功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符；
服务模块：该用户连接远程虚拟桌面后，服务模块将映射到服务器端的存储设备直接挂载到用户Session盘符，其他用户的远程虚拟桌面就无法看到并访问该Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的；所述Session盘符是只有在当前Session的用户才能看到的盘符，所述Session中文译文为会话，从客户端连接到服务端的一个远程虚拟桌面连接相当于一个Session；
所述服务模块具体为：所述盘符禁止模块完成禁止物理盘符生成之后，所述服务模块判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户Session映射的存储设备，确定用户后，获取该用户Session的Access Token(所述Access Token中文译文为访问令牌：Windows操作系统安全性的一个概念，一个访问令牌包含了此登陆会话的安全信息)，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户Session低权限Access Token，从而将该存储设备挂载成用户Session盘符，每个用户都可以使用A～Z的26字符作为Session盘符，因此，解决了插入的存储设备数量受限的问题。该用户连接远程虚拟桌面后，仅该用户看到该Session盘符，其他用户的远程虚拟桌面就无法看到并访问该用户Session盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。
本发明适用于所有类型的存储设备的多用户隔离，且多用户盘符隔离有效保证了用户间的数据安全问题；同时还解决了传统USB映射存储设备最多映射26个盘符的限制。
虽然以上描述了本发明的具体实施方式，但是熟悉本技术领域的技术人员应当理解，我们所描述的具体的实施例只是说明性的，而不是用于对本发明的范围的限定，熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化，都应当涵盖在本发明的权利要求所保护的范围内。

资源描述

《一种基于USB映射的存储设备多用户隔离方法及装置.pdf》由会员分享，可在线阅读，更多相关《一种基于USB映射的存储设备多用户隔离方法及装置.pdf（8页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104202379A43申请公布日20141210CN104202379A21申请号201410421677222申请日20140825H04L29/08200601H04L29/06200601G06F21/7820130171申请人福建升腾资讯有限公司地址350000福建省福州市仓山区金山工业区金山大道618号21、22、5572发明人张辉张伟王敏74专利代理机构福州市鼓楼区京华专利事务所普通合伙35212代理人王美花54发明名称一种基于USB映射的存储设备多用户隔离方法及装置57摘要本发明提供一种基于USB映射的存储设备多用户隔离方法，包括如下步骤步骤10、当用户将存储。

2、设备插入客户端，通过USB映射技术将该存储设备映射到服务器端；步骤20、在服务器端，将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；步骤30、该用户连接远程虚拟桌面后，将映射到服务器端的存储设备直接挂载到用户SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离。本发明还提供一种基于USB映射的存储设备多用户隔离装置。本发明适用于所有类型的存储设备的多用户隔离，且多用户盘符隔离有效保证了用户间的数据安全问题；同时还解决了传统USB映射存储设备最多映射26个盘符的限制。51INTCL权利要求书2页说明书4页附图1页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书。

3、4页附图1页10申请公布号CN104202379ACN104202379A1/2页21一种基于USB映射的存储设备多用户隔离方法，其特征在于，包括如下步骤步骤10、当用户将存储设备插入客户端，通过USB映射技术将该存储设备映射到服务器端；步骤20、在服务器端，将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；步骤30、该用户连接远程虚拟桌面后，将映射到服务器端的存储设备直接挂载到用户SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。2根据权利要求1所述的一种基于USB映射的存储设备多用户。

4、隔离方法，其特征在于，所述步骤20具体为在服务器端，检测存储设备的插入事件，当检测到有存储设备插入时，获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成的功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符。3根据权利要求1所述的一种基于USB映射的存储设备多用户隔离方法，其特征在于，所述步骤30具体为在完成禁止物理盘符生成之后，判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备。

5、是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户SESSION映射的存储设备，确定用户后，获取该用户SESSION的ACCESSTOKEN，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户SESSION低权限ACCESSTOKEN，从而将该存储设备挂载成用户SESSION盘符，该用户连接远程虚拟桌面后，仅该用户看到该SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该用户SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。4一种基于USB映射的存储设备多用户隔离装置，其特征在于，包括US。

6、B映射模块当用户将存储设备插入客户端，所述USB映射模块通过USB映射技术将该存储设备映射到服务器端；盘符禁止模块在服务器端，所述盘符禁止模块将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；服务模块该用户连接远程虚拟桌面后，服务模块将映射到服务器端的存储设备直接挂载到用户SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。5根据权利要求4所述的一种基于USB映射的存储设备多用户隔离方法，其特征在于，所述盘符禁止模块具体为服务器检测存储设备的插入事件，当检测到有存储设备插入时，所述盘符禁止。

7、模块获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符。6根据权利要求4所述的一种基于USB映射的存储设备多用户隔离方法，其特征在于，所述服务模块具体为所述盘符禁止模块完成禁止物理盘符生成之后，所述服务模块判权利要求书CN104202379A2/2页3断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该。

8、存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户SESSION映射的存储设备，确定用户后，获取该用户SESSION的ACCESSTOKEN，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户SESSION低权限ACCESSTOKEN，从而将该存储设备挂载成用户SESSION盘符，该用户连接远程虚拟桌面后，仅该用户看到该SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该用户SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。权利要求书CN104202379A1/4页4一种基于USB映射的存储设备多用户隔离方法及装置【技。

9、术领域】0001本发明涉及一种基于USB映射的存储设备多用户隔离方法及装置。【背景技术】0002随着云计算技术的推广，SBC虚拟化模式使用越来越广泛SBC是SERVERBASEDCOMPUTING的缩写，中文名称为基于服务器计算，是指将应用程序的大部分处理工作放在服务器中运行，而只是将屏幕画面通过压缩算法传送给客户端用来显示结果。在SBC虚拟环境下办公，文件资料的传输是必不可少的，保证不同用户之间的数据安全变得越来越重要。因此，各虚拟化厂商也相应推出了自己的USB映射方案，但是此方案无法解决登陆到服务器端的不同用户之间存储设备的隔离问题，且由于服务器端最多只能映射AZ的26个盘符，因此，限制了。

10、多个客户端同时插入存储设备的数量，最多只能有26个存储设备。【发明内容】0003本发明要解决的技术问题之一，在于提供一种基于USB映射的存储设备多用户隔离方法，其解决了多用户间存储设备的隔离问题，以及现有USB映射方案存在的最多映射26个盘符的限制，即多客户端插入存数设备最多26个的限制。0004本发明通过技术方案一解决上述技术问题之一0005技术方案一0006一种基于USB映射的存储设备多用户隔离方法，包括如下步骤0007步骤10、当用户将存储设备插入客户端，通过USB映射技术将该存储设备映射到服务器端；0008步骤20、在服务器端，将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；0。

11、009步骤30、该用户连接远程虚拟桌面后，将映射到服务器端的存储设备直接挂载到用户SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。0010进一步地，所述步骤20具体为在服务器端，检测存储设备的插入事件，当检测到有存储设备插入时，获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成的功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户。

12、端映射到服务器端，均禁止生成物理盘符。0011进一步地，所述步骤30具体为在完成禁止物理盘符生成之后，判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户SESSION映射的存储设备，确定用户后，获取该用户SESSION的ACCESSTOKEN，利用系统允许高权限说明书CN104202379A2/4页5向低权限切换的机制，将该高权限切换成该用户SESSION低权限ACCESSTOKEN，从而将该存储设备挂载成用户SESSION盘符，该用户连接远程虚拟桌面后，仅该用户看到该SESSIO。

13、N盘符，其他用户的远程虚拟桌面就无法看到并访问该用户SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。0012本发明要解决的技术问题之二，在于提供一种基于USB映射的存储设备多用户隔离装置，其解决了多用户间存储设备的隔离问题，以及现有USB映射方案存在的最多映射26个盘符的限制，即多客户端插入存数设备最多26个的限制。0013技术方案二0014一种基于USB映射的存储设备多用户隔离装置，包括0015USB映射模块当用户将存储设备插入客户端，所述USB映射模块通过USB映射技术将该存储设备映射到服务器端；0016盘符禁止模块在服务器端，所述盘符禁止模块将。

14、该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；0017服务模块该用户连接远程虚拟桌面后，服务模块将映射到服务器端的存储设备直接挂载到用户SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。0018进一步地，所述盘符禁止模块具体为服务器检测存储设备的插入事件，当检测到有存储设备插入时，所述盘符禁止模块获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物。

15、理盘符生成功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符。0019进一步地，所述服务模块具体为所述盘符禁止模块完成禁止物理盘符生成之后，所述服务模块判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户SESSION映射的存储设备，确定用户后，获取该用户SESSION的ACCESSTOKEN，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户SESSION低权限ACCESSTOKEN，从而将该存储设备挂载成用户SESSIO。

16、N盘符，该用户连接远程虚拟桌面后，仅该用户看到该SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该用户SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。0020本发明具有如下优点本发明适用于所有类型的存储设备的多用户隔离，首先通过禁止服务器系统自动生成物理盘符，进而再获取该用户SESSION的ACCESSTOKEN，将该高权限切换成该用户SESSION低权限ACCESSTOKEN，从而将该存储设备挂载成用户SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该用户SESSION盘符，有效保证了用户间的数据安全问题；同时还解决了传统USB。

17、映射存储设备最多映射26个盘符的限制。【附图说明】说明书CN104202379A3/4页60021下面参照附图结合实施例对本发明作进一步的说明。0022图1为本发明方法流程示意图。0023图2为本发明装置示意图。【具体实施方式】0024实施例一、0025请参阅图1，一种基于USB映射的存储设备多用户隔离方法，包括如下步骤0026步骤10、当用户将存储设备插入客户端，通过USB映射技术将该存储设备映射到服务器端；0027步骤20、在服务器端，将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符；0028所述步骤20具体为在服务器端，检测存储设备的插入事件，当检测到有存储设备插入时，获取存储设备。

18、的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成的功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符；0029步骤30、该用户连接远程虚拟桌面后，将映射到服务器端的存储设备直接挂载到用户SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的；所述SESSION盘符是只有在当前SESSION的用户才能看到的盘符，。

19、所述SESSION中文译文为会话，从客户端连接到服务端的一个远程虚拟桌面连接相当于一个SESSION；0030所述步骤30具体为在完成禁止物理盘符生成之后，判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户SESSION映射的存储设备，确定用户后，获取该用户SESSION的ACCESSTOKEN所述ACCESSTOKEN中文译文为访问令牌WINDOWS操作系统安全性的一个概念，一个访问令牌包含了此登陆会话的安全信息，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户SES。

20、SION低权限ACCESSTOKEN，从而将该存储设备挂载成用户SESSION盘符，该用户连接远程虚拟桌面后，仅该用户看到该SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该用户SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。0031实施例二、0032请参阅图2，一种基于USB映射的存储设备多用户隔离装置，包括0033USB映射模块当用户将存储设备插入客户端，所述USB映射模块通过USB映射技术将该存储设备映射到服务器端；0034盘符禁止模块在服务器端，所述盘符禁止模块将该存储设备的物理盘符过滤，禁止该存储设备生成物理盘符，所述物理盘符是连。

21、接到同一个服务器的所有用户的远程虚拟桌面都可以看到的盘符；0035所述盘符禁止模块具体为在服务器端，所述盘符禁止模块检测存储设备的插入说明书CN104202379A4/4页7事件，当检测到有存储设备插入时，所述盘符禁止模块获取存储设备的盘符信息，在服务器上的系统挂载物理盘符之前，获取存储设备的范例ID，然后将该范例ID填写到注册表中，模拟出系统挂载物理盘符的整个过程，让系统认为该物理盘符已经挂载，从而实现禁止物理盘符生成的功能，此步骤中无论检测到的存储设备是从服务器端直接插入还是从客户端映射到服务器端，均禁止生成物理盘符；0036服务模块该用户连接远程虚拟桌面后，服务模块将映射到服务器端的存储。

22、设备直接挂载到用户SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的；所述SESSION盘符是只有在当前SESSION的用户才能看到的盘符，所述SESSION中文译文为会话，从客户端连接到服务端的一个远程虚拟桌面连接相当于一个SESSION；0037所述服务模块具体为所述盘符禁止模块完成禁止物理盘符生成之后，所述服务模块判断该存储设备是否是从客户端映射到服务器端的，如果不是，则该存储设备是从服务器端直接插入，直接将该存储设备挂载成所有用户都可以看到物理盘符；如果是，再判断是哪个用户SESSION。

23、映射的存储设备，确定用户后，获取该用户SESSION的ACCESSTOKEN所述ACCESSTOKEN中文译文为访问令牌WINDOWS操作系统安全性的一个概念，一个访问令牌包含了此登陆会话的安全信息，利用系统允许高权限向低权限切换的机制，将该高权限切换成该用户SESSION低权限ACCESSTOKEN，从而将该存储设备挂载成用户SESSION盘符，每个用户都可以使用AZ的26字符作为SESSION盘符，因此，解决了插入的存储设备数量受限的问题。该用户连接远程虚拟桌面后，仅该用户看到该SESSION盘符，其他用户的远程虚拟桌面就无法看到并访问该用户SESSION盘符，从而实现不同用户远程虚拟桌面间的盘符隔离，达到数据隔离，安全访问的目的。0038本发明适用于所有类型的存储设备的多用户隔离，且多用户盘符隔离有效保证了用户间的数据安全问题；同时还解决了传统USB映射存储设备最多映射26个盘符的限制。0039虽然以上描述了本发明的具体实施方式，但是熟悉本技术领域的技术人员应当理解，我们所描述的具体的实施例只是说明性的，而不是用于对本发明的范围的限定，熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化，都应当涵盖在本发明的权利要求所保护的范围内。说明书CN104202379A1/1页8图1图2说明书附图CN104202379A。

展开阅读全文