CN103618737A - 一种云计算环境下的虚拟机vnc控制台优化方案 - Google Patents
一种云计算环境下的虚拟机vnc控制台优化方案 Download PDFInfo
- Publication number
- CN103618737A CN103618737A CN201310661368.8A CN201310661368A CN103618737A CN 103618737 A CN103618737 A CN 103618737A CN 201310661368 A CN201310661368 A CN 201310661368A CN 103618737 A CN103618737 A CN 103618737A
- Authority
- CN
- China
- Prior art keywords
- vnc
- virtual machine
- control desk
- cloud computing
- desktop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云计算环境下的虚拟机VNC控制台优化方案,通过建立VNC控制台代理,SSH加密隧道,加密、转发、分流VNC数据包,实现多网络环境下虚拟机控制台的使用,通过编写Applet程序消除双鼠标现象,通过增加虚拟机控制台监控的功能,利用图形学算法缩放虚拟机桌面的长宽比例,在同一视图中同时监控多台虚拟机的桌面,帮助云数据中心管理员监管用户的虚拟机使用情况。本方案对现有的VNC开源代码进行了优化,将其更好地应用在云计算环境下,适用于多网络环境,提高VNC的安全性,进一步优化VNC控制台桌面的使用特性,丰富虚拟机桌面监控功能。
Description
技术领域
本发明涉及云数据中心应用***领域,具体涉及一种跨网络、低带宽、高安全性的虚拟机VNC控制台优化方案。
技术背景
随着信息科技的发展,云计算逐步成为业界的发展热点,国内外各大厂商的云计算服务平台也开始纷纷投入到科学、教育、文化、卫生、政府、高性能计算、电子商务、物联网等多个领域进行使用。
云计算环境下服务器中的虚拟机,无法直接使用显示器来连接桌面,大多使用VNC进行远程连接。VNC(Virtual Network Computing),为一种使用RFB协定的屏幕画面分享及远程操作软件。VNC软件通过网络与服务器的特定VNC端口相连,传送键盘与鼠标的动作及实时的屏幕画面。
一方面,VNC并非安全的协定,虽然VNC伺服程序需设置密码才可接受外来连接,且VNC客户端与VNC伺服程序之间的密码传输经过加密,但仍可被轻易的拦截到并使用暴力搜索法破解。另一方面,鉴于云数据中心网络部署环境的复杂性与管理网络的安全性,大多数云管理员将管理网服务器与业务网进行物理隔离。
为了适用于多网络环境,提高VNC的安全性,进一步优化VNC控制台桌面的使用特性,丰富虚拟机桌面监控功能,本方案对现有的VNC开源代码进行了优化,将其更好地应用在云计算环境下。
发明内容
本发明要解决的技术问题是:本发明针对VNC开源软件安全性差、网络依赖性强、双鼠标问题严重等弊端,提出一种通过利用VNC控制台代理、SSH隧道、数据加密解密等技术手段,适用于云计算环境下的VNC控制台优化方案。
传统的VNC开源程序,通过直接连接服务器VNC端口,获取虚拟机桌面,具有如下缺点:
1)无法穿越多网络环境;
2)无法实现VNC数据分流,导致网络带宽占用率很大;
3)对于VMware、Xen等虚拟化底层,有不同程度的双鼠标现象出现,无法做到双鼠标的根本消除。
本发明所采用的技术方案为:
一种云计算环境下的虚拟机VNC控制台优化方案,包括:VNC控制台代理,SSH隧道加密,消除双鼠标,虚拟机桌面监控,其中,
VNC控制台代理,是本方案的实现基础,部署专门负责虚拟机VNC控制台数据包转发的中间代理,连接业务网与数据网,实现多网环境下的控制台数据转发与分流;
SSH隧道加密,是本方案的数据安全保护措施,通过建立安全的SSH隧道并加密用户名密码,保护虚拟机VNC数据、后台服务器不受非法连接,降低虚拟机VNC控制台数据被非法获取的风险,将多网环境连接,达到多网络下的VNC互联;
注:Secure Shell(缩写为SSH,安全壳协议),为一项创建在应用层和传输层基础上的安全协议,为计算机上的Shell(壳层)提供安全的传输和使用环境;
双鼠标消除,是本方案对开源VNC客户端的优化,通过编写Applet程序消除双鼠标现象,提高虚拟机桌面的易用性;
虚拟机桌面监控,利用图形学算法,将VNC桌面横纵向缩放,在监控视图统一管理。在同一视图中同时监控多台虚拟机的桌面,帮助云数据中心管理员监管用户的虚拟机使用情况。
所述VNC控制台代理,一端连接管理网,一端连接业务网。(注:管理网为机房服务器所在的网络环境,业务网为虚拟机租户所在的网络环境,业务网与管理网可以根据客户需求,选择互通或物理隔离两种方式)一方面,控制台代理全权负责VNC数据包流量转发,缓解网络带宽的占用;另一方面,通过数据转发,实现对单网、多网环境的支持。
所述SSH隧道加密具体步骤如下:
1) 选择加密算法。目前业界主流的安全性比较高的加密算法包括DES、AES、RSA、MD5等。如图2、图3的加密解密流程示意图,本方案选择AES算法。
2) 建立加密SSH隧道。SSH(Secure Shell,安全外壳)的目的在于通过对主机间的网络远程访问数据进行加密,实现对通信的保护。它通过提供更好的身份验证工具和 Secure Copy (SCP)、Secure File Transfer Protocol (SFTP)、X会话转发和端口转发等功能来加密网络交换,从而增加其他非安全协议的安全性。为防止SSH隧道的用户名密码被盗而导致黑客利用该隧道作为SSH跳板,连接到管理网服务器,SSH的用户名与密码使用不同的密钥加密。
3) 为了加强管理网服务器的安全性,打开服务器的防火墙,只开放个别安全端口(如443,8080、VNC端口等)对外提供服务。
所述双鼠标消除具体步骤如下:
1) 编写VNC客户端,选择使用Java Applet编写VNC客户端,具有较高的平台兼容性,不必安装直接装载,能够支持所有安装JRE的浏览器;
2) 屏蔽本地鼠标,将位于Applet窗口上部的本地鼠标屏蔽,只显示虚拟机操作***中的鼠标,因此在Applet的窗口范围内,双鼠标的现象消除。
所述虚拟机桌面监控具体步骤如下:
1) 根据VNC协议,将虚拟机桌面设置成长、宽缩放比例可调。将虚拟机的画面按照固定的长、宽呈现在监控视图中;
2)将VNC配置为只读控制方式,只显示桌面,不传输键盘、鼠标的控制流量,以减少VNC的对网络带宽的占用;
3)通过用户自行设置控制台图像的编码方式(Raw、RRE、CoRRE、Hextile、Zlib、Tight、ZRLE)、压缩等级、图片质量等参数,压缩虚拟机桌面图像。针对不同网络带宽环境的用户,提供最适合的图形学显示参数。
本发明的有益效果为:
本方案对现有的VNC开源代码进行了优化,将其更好地应用在云计算环境下,适用于多网络环境,提高VNC的安全性,进一步优化VNC控制台桌面的使用特性,丰富虚拟机桌面监控功能。
附图说明
图1为该方案的实现拓扑图;
图2为AES算法的加密流程示意图;
图3为AES算法的解密流程示意图。
具体实施方式
下面参照附图,通过具体实施方式对本发明进一步说明:
本发明的方案主要包括:VNC控制台代理,SSH隧道加密,双鼠标消除,虚拟桌面监控。
其中,VNC控制台代理是本方案的实现基础。所谓VNC控制台代理,即专门负责虚拟机VNC控制台数据包转发的中间代理。如图1,该代理一端连接管理网,一端连接业务网(注:管理网为机房服务器所在的网络环境,业务网为虚拟机租户所在的网络环境,业务网与管理网可以根据客户需求,选择互通或物理隔离两种方式)。
这样的设计,一方面,控制台代理全权负责VNC数据包流量转发,缓解网络带宽的占用;另一方面,通过数据转发,实现对单网、多网环境的支持。
SSH隧道加密是本方案的数据安全保护措施。通过建立安全的SSH隧道并加密用户名密码,保护虚拟机VNC数据、后台服务器不受非法连接。具体步骤如下:
1) 选择加密算法。目前业界主流的安全性比较高的加密算法包括DES、AES、RSA、MD5等。如图2、图3所示的加密解密流程示意图,本方案选择AES算法。
2) 建立加密SSH隧道。SSH(Secure Shell,安全外壳)的目的在于通过对主机间的网络远程访问数据进行加密,实现对通信的保护。它通过提供更好的身份验证工具和 Secure Copy (SCP)、Secure File Transfer Protocol (SFTP)、X会话转发和端口转发等功能来加密网络交换,从而增加其他非安全协议的安全性。为防止SSH隧道的用户名密码被盗而导致黑客利用该隧道作为SSH跳板,连接到管理网服务器,SSH的用户名与密码使用不同的密钥加密。
3) 为了加强管理网服务器的安全性,打开服务器的防火墙,只开放个别安全端口(如443,8080、VNC端口等)对外提供服务。
双鼠标消除是本方案对开源VNC客户端进行的优化,具体步骤如下:
1) 编写VNC客户端。选择使用Java Applet编写VNC客户端,具有较高的平台兼容性,不必安装直接装载,可以支持所有安装JRE的浏览器。
2) 屏蔽本地鼠标。将位于Applet窗口上部的本地鼠标屏蔽,只显示虚拟机操作***中的鼠标,因此在Applet的窗口范围内,双鼠标的现象消除。
虚拟机桌面监控,具体步骤如下:
1) 根据VNC协议,将虚拟机桌面设置成长、宽缩放比例可调,将虚拟机的画面按照固定的长、宽呈现在监控视图中;
2) 将VNC配置为只读控制方式,只显示桌面,不传输键盘、鼠标的控制流量,以减少VNC的对网络带宽的占用;
3)通过用户自行设置控制台图像的编码方式(Raw、RRE、CoRRE、Hextile、Zlib、Tight、ZRLE)、压缩等级、图片质量等参数,压缩虚拟机桌面图像。针对不同网络带宽环境的用户,提供最适合的图形学显示参数。
Claims (5)
1.一种云计算环境下的虚拟机VNC控制台优化方案,其特征在于,包括:VNC控制台代理,SSH隧道加密,消除双鼠标,虚拟机桌面监控,其中,
VNC控制台代理,是本方案的实现基础,部署专门负责虚拟机VNC控制台数据包转发的中间代理,连接业务网与数据网,实现多网环境下的控制台数据转发与分流;
SSH隧道加密,是本方案的数据安全保护措施,通过建立安全的SSH隧道并加密用户名密码,保护虚拟机VNC数据、后台服务器不受非法连接,降低虚拟机VNC控制台数据被非法获取的风险,将多网环境连接,达到多网络下的VNC互联;
双鼠标消除,是本方案对开源VNC客户端的优化,通过编写Applet程序消除双鼠标现象,提高虚拟机桌面的易用性;
虚拟机桌面监控,利用图形学算法,将VNC桌面横纵向缩放,在监控视图统一管理,
在同一视图中同时监控多台虚拟机的桌面,帮助云数据中心管理员监管用户的虚拟机使用情况。
2.根据权利要求1所述的一种云计算环境下的虚拟机VNC控制台优化方案,其特征在于:所述VNC控制台代理,一端连接管理网,一端连接业务网,一方面,控制台代理全权负责VNC数据包流量转发,缓解网络带宽的占用;另一方面,通过数据转发,实现对单网、多网环境的支持。
3.根据权利要求1或2所述的一种云计算环境下的虚拟机VNC控制台优化方案,其特征在于,所述SSH隧道加密具体步骤如下:
1) 选择加密算法;
2) 建立加密SSH隧道,防止SSH隧道的用户名密码被盗而导致黑客利用该隧道作为SSH跳板,连接到管理网服务器,SSH的用户名与密码使用不同的密钥加密;
3) 为了加强管理网服务器的安全性,打开服务器的防火墙,只开放个别安全端口对外提供服务。
4.根据权利要求3所述的一种云计算环境下的虚拟机VNC控制台优化方案,其特征在于,所述双鼠标消除具体步骤如下:
1) 编写VNC客户端,选择使用Java Applet编写VNC客户端,具有较高的平台兼容性,不必安装直接装载,能够支持所有安装JRE的浏览器;
2) 屏蔽本地鼠标,将位于Applet窗口上部的本地鼠标屏蔽,只显示虚拟机操作***中的鼠标。
5.根据权利要求4所述的一种云计算环境下的虚拟机VNC控制台优化方案,其特征在于,所述虚拟机桌面监控具体步骤如下:
1) 根据VNC协议,将虚拟机桌面设置成长、宽缩放比例可调;
2)将VNC配置为只读控制方式,只显示桌面,不传输键盘、鼠标的控制流量,以减少VNC的对网络带宽的占用;
3)通过用户自行设置控制台图像的编码方式、压缩等级、图片质量参数,压缩虚拟机桌面图像,针对不同网络带宽环境的用户,提供最适合的图形学显示参数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310661368.8A CN103618737A (zh) | 2013-12-10 | 2013-12-10 | 一种云计算环境下的虚拟机vnc控制台优化方案 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310661368.8A CN103618737A (zh) | 2013-12-10 | 2013-12-10 | 一种云计算环境下的虚拟机vnc控制台优化方案 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103618737A true CN103618737A (zh) | 2014-03-05 |
Family
ID=50169441
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310661368.8A Pending CN103618737A (zh) | 2013-12-10 | 2013-12-10 | 一种云计算环境下的虚拟机vnc控制台优化方案 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103618737A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015180293A1 (zh) * | 2014-05-28 | 2015-12-03 | 中兴通讯股份有限公司 | 云桌面的监控方法及装置 |
CN107124459A (zh) * | 2017-04-28 | 2017-09-01 | 南京大学 | 基于云平台的可控在线程序评测中间件 |
CN107391350A (zh) * | 2017-07-28 | 2017-11-24 | 郑州云海信息技术有限公司 | 一种监控视图的显示方法、装置及*** |
CN107634892A (zh) * | 2017-09-08 | 2018-01-26 | 郑州云海信息技术有限公司 | 一种Xenserver基于novnc实现控制台的方法及装置 |
CN107959701A (zh) * | 2016-10-17 | 2018-04-24 | 中兴通讯股份有限公司 | 数据共享方法、云终端、云桌面虚拟机及中转代理服务器 |
CN108243157A (zh) * | 2016-12-26 | 2018-07-03 | 华为技术服务有限公司 | 虚拟机中敏感信息的注入方法和装置 |
CN110995705A (zh) * | 2019-12-03 | 2020-04-10 | 广州西麦科技股份有限公司 | 一种远程安全访问虚拟机的方法 |
CN112416522A (zh) * | 2020-11-24 | 2021-02-26 | 北京华胜天成科技股份有限公司 | 一种虚拟机控制方法及其装置 |
CN113472878A (zh) * | 2021-06-29 | 2021-10-01 | 烽火通信科技股份有限公司 | 利用浏览器插件实现vnc中文件拖拽传输的方法及装置 |
WO2023241351A1 (zh) * | 2022-06-14 | 2023-12-21 | 中兴通讯股份有限公司 | 虚拟机的监控方法、装置及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050273849A1 (en) * | 2004-03-11 | 2005-12-08 | Aep Networks | Network access using secure tunnel |
CN102307153A (zh) * | 2011-10-14 | 2012-01-04 | 王宁 | 一种虚拟桌面传输设备和方法 |
US20120023570A1 (en) * | 2010-07-23 | 2012-01-26 | Anchorfree, Inc. | Web vpn |
CN102523207A (zh) * | 2011-12-06 | 2012-06-27 | 北京航空航天大学 | 基于虚拟网络计算机的远程资源访问方法及代理设备 |
CN102571773A (zh) * | 2011-12-27 | 2012-07-11 | 浙江省电力公司 | 一种信息安全综合审计***和方法 |
CN103200215A (zh) * | 2012-01-08 | 2013-07-10 | 佳都新太科技股份有限公司 | 一种在https上实现XenServer虚拟机远程控制的方法 |
US20130191631A1 (en) * | 2012-01-24 | 2013-07-25 | Ssh Communications Security Corp | Auditing and policy control at SSH endpoints |
CN103368955A (zh) * | 2013-07-03 | 2013-10-23 | 浪潮电子信息产业股份有限公司 | 一种云数据中心操作***中虚拟机vnc加密方法 |
CN103368956A (zh) * | 2013-07-03 | 2013-10-23 | 北京华胜天成科技股份有限公司 | 一种服务端使用vnc的rfb协议安全通信方法及rfb代理服务器 |
-
2013
- 2013-12-10 CN CN201310661368.8A patent/CN103618737A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050273849A1 (en) * | 2004-03-11 | 2005-12-08 | Aep Networks | Network access using secure tunnel |
US20120023570A1 (en) * | 2010-07-23 | 2012-01-26 | Anchorfree, Inc. | Web vpn |
CN102307153A (zh) * | 2011-10-14 | 2012-01-04 | 王宁 | 一种虚拟桌面传输设备和方法 |
CN102523207A (zh) * | 2011-12-06 | 2012-06-27 | 北京航空航天大学 | 基于虚拟网络计算机的远程资源访问方法及代理设备 |
CN102571773A (zh) * | 2011-12-27 | 2012-07-11 | 浙江省电力公司 | 一种信息安全综合审计***和方法 |
CN103200215A (zh) * | 2012-01-08 | 2013-07-10 | 佳都新太科技股份有限公司 | 一种在https上实现XenServer虚拟机远程控制的方法 |
US20130191631A1 (en) * | 2012-01-24 | 2013-07-25 | Ssh Communications Security Corp | Auditing and policy control at SSH endpoints |
CN103368955A (zh) * | 2013-07-03 | 2013-10-23 | 浪潮电子信息产业股份有限公司 | 一种云数据中心操作***中虚拟机vnc加密方法 |
CN103368956A (zh) * | 2013-07-03 | 2013-10-23 | 北京华胜天成科技股份有限公司 | 一种服务端使用vnc的rfb协议安全通信方法及rfb代理服务器 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105162641A (zh) * | 2014-05-28 | 2015-12-16 | 中兴通讯股份有限公司 | 云桌面的监控方法及装置 |
WO2015180293A1 (zh) * | 2014-05-28 | 2015-12-03 | 中兴通讯股份有限公司 | 云桌面的监控方法及装置 |
CN107959701A (zh) * | 2016-10-17 | 2018-04-24 | 中兴通讯股份有限公司 | 数据共享方法、云终端、云桌面虚拟机及中转代理服务器 |
CN108243157A (zh) * | 2016-12-26 | 2018-07-03 | 华为技术服务有限公司 | 虚拟机中敏感信息的注入方法和装置 |
CN107124459A (zh) * | 2017-04-28 | 2017-09-01 | 南京大学 | 基于云平台的可控在线程序评测中间件 |
CN107391350A (zh) * | 2017-07-28 | 2017-11-24 | 郑州云海信息技术有限公司 | 一种监控视图的显示方法、装置及*** |
CN107634892A (zh) * | 2017-09-08 | 2018-01-26 | 郑州云海信息技术有限公司 | 一种Xenserver基于novnc实现控制台的方法及装置 |
CN110995705A (zh) * | 2019-12-03 | 2020-04-10 | 广州西麦科技股份有限公司 | 一种远程安全访问虚拟机的方法 |
CN110995705B (zh) * | 2019-12-03 | 2022-07-05 | 广州西麦科技股份有限公司 | 一种远程安全访问虚拟机的方法 |
CN112416522A (zh) * | 2020-11-24 | 2021-02-26 | 北京华胜天成科技股份有限公司 | 一种虚拟机控制方法及其装置 |
CN113472878A (zh) * | 2021-06-29 | 2021-10-01 | 烽火通信科技股份有限公司 | 利用浏览器插件实现vnc中文件拖拽传输的方法及装置 |
CN113472878B (zh) * | 2021-06-29 | 2022-04-26 | 烽火通信科技股份有限公司 | 利用浏览器插件实现vnc中文件拖拽传输的方法及装置 |
WO2023241351A1 (zh) * | 2022-06-14 | 2023-12-21 | 中兴通讯股份有限公司 | 虚拟机的监控方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103618737A (zh) | 一种云计算环境下的虚拟机vnc控制台优化方案 | |
Ganapathy | A secured storage and privacy-preserving model using CRT for providing security on cloud and IoT-based applications | |
US9231976B2 (en) | Creating and managing a network security tag | |
JP2020502668A (ja) | ネットワークを介した機密データの安全なデータ取得 | |
US20120254622A1 (en) | Secure Access to Electronic Devices | |
JP2016512374A5 (zh) | ||
JP6055023B2 (ja) | クラウド環境にデータを保存する情報処理装置、端末装置および保存方法 | |
Chen et al. | An infrastructure framework for privacy protection of community medical internet of things: Transmission protection, storage protection and access control | |
Yan et al. | Context-aware verifiable cloud computing | |
US10715332B2 (en) | Encryption for transactions in a memory fabric | |
CN103716166A (zh) | 一种自适应混合加密方法、装置以及加密通信*** | |
CN105100248A (zh) | 一种基于数据加密和访问控制的云存储安全实现方法 | |
CN204180095U (zh) | 一种用于网络数据加密传输的加解密装置 | |
WO2023155696A1 (zh) | 数据库的操作方法、***、存储介质以及计算机终端 | |
Rekhate et al. | Secure and efficient message passing in distributed systems using one-time pad | |
CN114546527A (zh) | 一种纵向多方数据聚合计算解决方案*** | |
Wang et al. | Enabling privacy and leakage resistance for dynamic blockchain-based access control systems | |
KR101173583B1 (ko) | 모바일단말기에 설치된 어플리케이션 데이터 보안방법 | |
KR102096637B1 (ko) | 블록체인에서 정보 조회 시간의 기록을 위한 분산 원장 장치 | |
CN103701589A (zh) | 基于虚拟桌面***的信息传输方法、装置及相关设备 | |
WO2022206502A1 (zh) | 访问数据库的方法和装置 | |
KR102096639B1 (ko) | Uuid를 이용한 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치 | |
Sen et al. | Security-and privacy-aware computing in cloud with user mobility: an extensive review | |
Dawei et al. | Design and achievement of security mechanism of api gateway platform based on microservice architecture | |
Chandersekaran et al. | The case for bi-lateral end-to-end strong authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140305 |