CN104753887A - 安全管控实现方法、***及云桌面*** - Google Patents
安全管控实现方法、***及云桌面*** Download PDFInfo
- Publication number
- CN104753887A CN104753887A CN201310751050.9A CN201310751050A CN104753887A CN 104753887 A CN104753887 A CN 104753887A CN 201310751050 A CN201310751050 A CN 201310751050A CN 104753887 A CN104753887 A CN 104753887A
- Authority
- CN
- China
- Prior art keywords
- terminal
- server
- user
- cloud desktop
- described terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种安全管控实现方法、***及云桌面***。在上述方法中,基于云桌面技术构建云桌面***;建立所述云桌面***与终端的连接;经由所述云桌面***与所述终端之间的交互实现所述云桌面***对所述终端的安全管控。根据本发明提供的技术方案,引入云桌面技术,弥补了现有终端网络接入及安全管控体系的不足,改善了***部署模式,实现了集中控制,提高终端接入安全性,降低***安全风险。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种安全管控实现方法、***及云桌面***。
背景技术
业务支撑***(简称BOSS***)的前台营业终端包括:自有传输终端和非自有传输终端,其中,自有传输终端是指通过本公司自有链路进行网络接入及业务访问的本公司计算机终端;非自有传输终端是指采用网络协议安全虚拟专用网络(Internet Protocol Security Virtual Private Network,简称为IPSec VPN)或安全套接层虚拟专用网络(Secure Sockets Layer Virtual Private Network,简称为SSL VPN)方式通过第三方公司传输链路经本公司接口进行网络接入及业务访问的其他公司计算机终端。
自有传输终端从所属营业厅接入网络设备连接到各地市汇聚交换机后,通过内网与BOSS网络互连链路进行业务访问。用户登录***后,跳转4A界面进行登录认证,用户在登陆页面输入用户名和静态密码,提交并等待***验证,静态密码验证通过后,用户使用接收到的动态口令进行二次登录验证,动态密码验证通过后即可登录BOSS前台界面。
非自有传输终端用户通过访问Web页面登陆***后,跳转4A界面进行登录认证,认证方式与自有传输终端相同,此处不再赘述。
目前,针对上述两种接入方式的终端安全管控问题主要从两方面入手解决,第一,使用终端管理软件进行终端自检、防病毒检查及软件合规性检查,强制终端软硬件配置信息符合接入标准;第二,进行终端的入网、离网等变更操作的全生命周期的流程化审批管理,避免未经审批终端的私自接入。对于这两方面,下面详细介绍。
1、终端管理软件实现方式
通过建设统一的终端准入管控平台、部署终端准入控制网关及终端管理客户端软件实现对接入BOSS网络进行业务访问的计算机实施准入控制、终端软件合规性检查、防病毒检查、补丁更新、移动介质(U盘、软盘、光盘等存储设备)及安全管控,防止外来电脑或者不符合规定的电脑接入内部网络中;实时、动态掌握网络整体安全状况,建立实时安全评估体系,掌握内部各种终端接入设备的安全运行状况,为维护人员提供管理维护便利条件,为决策、部署安全工作任务提供支持,通过提供信息安全管理手段,提高终端安全管控水平,完善审计机制,满足当前发展对营业终端安全管控的需要。具体可以参见图1。
其中,部署终端准入控制网关,可防止外来的、不符合终端接入规范要求和安全策略的终端接入内部网络访问资源,实现对所有个人计算机的资产管理和控制,实时、动态掌握网络整体安全状况,建立实时安全评估体系,按照安全评估、安全加固、集中维护思路,对自有及非自有传输的营业终端进行自动化管控。
2、流程化审批管理实现方式
***针对终端准入流程进行固化并实现一套终端准入审批管理工单流程,如图所示,所有终端入网、配置或设备变更、离网等均需要申请人在终端安全管控***中提交相应工单,经管理员就入网终端的申请人、所属地市、营业厅及有效时间审批授权后方可入网,终端资产和人员流动信息都留有工单记录。
综上所述,目前的终端安全准入管控方式为终端管理软件和流程化审批管理,但由于接入网络各类终端配置及软件安装情况千差万别,终端检查过程及流程审批环节耗时较长,管控效率较低。针对第三方公司的终端进行强制管控难度较高,且涉及***较为分散,运维成本较高,当发生***故障时,由于当前***架构为服务器集群模式,容灾***为异地容灾,数据和日志信息进行定期备份,但随着终端数量的增加及业务量的拓展,存储空间急剧匮乏,且容灾切换需要网络配合调整相应策略,切换时间较长,无法及时进行容灾切换及快速修复,进而影响业务办理稳定性,造成业务***存在潜在的巨大安全风险。
发明内容
本发明公开了一种安全管控实现方法、***及云桌面***,以解决相关技术中管控效率低下,强制管控难度高,且涉及***较为分散,运维成本较高,无法及时进行容灾切换等问题。
根据本发明的一个方面,提供了一种安全管控实现方法。
根据本发明的安全管控实现方法包括:基于云桌面技术构建云桌面***;建立上述云桌面***与终端的连接;经由上述云桌面***与上述终端之间的交互实现上述云桌面***对上述终端的安全管控。
根据本发明的另一方面,提供了一种安全管控实现***。
根据本发明的安全管控实现***包括:终端,用于建立与云桌面***之间的连接;基于云桌面技术构建的上述云桌面***,用于建立与上述终端的连接,经由与上述终端之间的交互实现对上述终端的安全管控。
根据本发明的又一方面,提供了一种云桌面***。
根据本发明的云桌面***,是基于云桌面技术构建的,包括:连接***,用于建立与终端的连接,交互***,用于经由与上述终端之间的交互实现对上述终端的安全管控。
通过本发明,云桌面技术的引入,弥补了现有终端网络接入及安全管控体系的不足,改善了***部署模式,实现了集中控制,提高终端接入安全性,降低***安全风险。
附图说明
图1是相关技术中终端准入的网络架构图;
图2是根据本发明实施例的安全管控实现方法的流程图;
图3是根据本发明优选实施例的安全管控实现***的组网示意图;
图4是根据本发明优选实施例的基于IPSec VPN技术接入的示意图;
图5是根据本发明优选实施例的基于SSLVPN技术接入的示意图;
图6是根据本发明优选实施例的终端进行注册的流程示意图;
图7是根据本发明优选实施例的云桌面***对终端认证的流程示意图;
图8是根据本发明优选实施例的安全管控实现方法的流程示意图;
图9是根据本发明实施例的安全管控实现***的结构框图;以及
图10是根据本发明优选实施例的云桌面***的结构框图。
具体实施方式
下面结合说明书附图对本发明的具体实现方式做一详细描述。
根据本发明实施例,还提供了一种安全管控实现方法。
图2是根据本发明实施例的安全管控实现方法的流程图。如图2所示,该安全管控实现方法包括:
步骤S201:基于云桌面技术构建云桌面***;
步骤S203:建立上述云桌面***与终端的连接;
步骤S205:经由上述云桌面***与上述终端之间的交互实现上述云桌面***对上述终端的安全管控。
相关技术中,终端安全准入管控方式为终端管理软件和流程化审批管理,终端检查过程及流程审批环节耗时较长,管控效率较低。当发生***故障时,由于当前***架构为服务器集群模式,随着终端数量的增加及业务量的拓展,存储空间急剧匮乏,且容灾切换需要网络配合调整相应策略,切换时间较长,无法及时进行容灾切换及快速修复,进而影响业务办理稳定性,造成业务***存在潜在的巨大安全风险。采用图1所示的方法,引入云桌面技术,通过在服务器上部署虚拟桌面***,实现统一的终端准入和安全管控;针对用户权限进行配置,实现终端硬件***与云桌面软件***物理隔离,弥补了现有终端网络接入及安全管控体系的不足,改善了***部署模式,实现了集中控制,降低运维成本,提高终端接入安全性,降低***安全风险。
以下结合图3所示的组网架构对实现安全管控的***进行介绍。整个***网络架构划分4个主要区域:用户接入区域、DMZ区域、核心交换区域、BOSS业务应用区域。其中:
用户接入区:新增用户域汇聚交换机。该区域作为用户接入与内部业务网络的“接口人”主要实现以下功能:
1、为全省分散的营业厅提供集中的网络接口;
2、承担了网关和三层路由转发功能的重担,负责安全访问控制策略、流量负载分担执行。
DMZ(隔离区)区域:新增了DMZ区域接入交换机、负载均衡服务器。如图3所示,DMZ区域中,主要包括:RDS服务器池、AD域服务器、文件服务器以及会话服务器等。主要功能如下:
1、完成用户安全接入审核;
2、实现云桌面的网络接入;
核心交换区域:核心交换层作为所有流量的最终承受者和汇聚者,任务的重点是具备冗余能力、可靠性和高速的数据传输。设计网络时,主要考虑了冗余性、高效性,未在该层做任何网络的控制。该区域的主要功能如下:
1、用户接入区域向核心应用层转发用户接入需求。
2、完成数据的高速转发。
BOSS业务应用区域:主要包括BOSS业务服务器,接收并响应用户访问请求,向用户展示响应结果。
优选地,步骤S203中,建立上述云桌面***与终端的连接可以包括以下处理:
步骤1、上述终端向虚拟专用网络(VPN)设备发送获取网络资源使用权的请求;
步骤2、上述终端接收来自于上述VPN设备的验证请求,向上述VPN设备发送用户验证信息;
步骤3、在上述VPN设备将上述用户验证信息发送给验证服务器验证匹配后,上述终端接收来自于上述VPN设备的具有访问权限的地址。
其中,VPN设备包括但不限于:IPSec VPN设备、SSL VPN设备。
在具体实施过程中,如图4所示,终端通过IPSec VPN设备接入,目前采用的IPSec VPN技术是EASY VPN技术,可以在BOSS***互联网出口部署了若干台PIX535,作为EASY VPN SERVER,营业厅终端可以安装CiscoSystems VPN Client软件,建立VPN连接时,作为EASY VPN Client。EASYVPN SERVER有到BOSS业务服务器的路由,当终端用户通过EASY VPNClient连接至EASY VPN SERVER时,EASY VPN SERVER在预先设定的IP地址池中选择可用的IP地址,分配给该客户端。连接建立后客户端和BOSS应用***临时处于同一虚拟局域网内,可以像普通局域网一样,完成业务访问。
在具体实施过程中,如图5所示,终端通过SSLVPN设备接入,SSLVPN是基于B/S结构的VPN技术,可以在BOSS互联网出口部署了若干台F5firepass4300VPN接入设备,该设备代理终端用户与BOSS服务器***进行交互,将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。
优选地,步骤S205中,上述云桌面***与终端之间的交互可以进一步包括:
处理1:上述云桌面***对上述终端进行验证,其中,验证的方式包括:用户名与静态密码验证;基于上述终端的国际移动装备辨识码IMEI、瘦客户机标识与静态密码统一计算验证;以及动态验证码验证;
处理2:当验证通过,且上述终端当前未存在会话时,上述云桌面***为上述终端分配远程服务器;
处理3:上述云桌面***将具有用户权限配置的运行在上述远程服务器上的应用程序呈现在上述终端上。
优选地,在执行处理1之前,可以包括以下步骤(即终端进行注册):
步骤1:在上述终端注册时,上述瘦客户机与上述终端通过蓝牙连接获取上述终端的IMEI;
步骤2:上述瘦客户机将上述IMEI以及该瘦客户机标识发送给上述云桌面***中的认证服务器;
步骤3:上述认证服务器以上述IMEI、上述瘦客户机标识与上述静态密码为参数进行计算,并保存上述计算结果。
优选地,在处理1中,基于上述终端的国际移动装备辨识码、瘦客户机标识与静态密码统一计算验证可以包括以下步骤:
步骤1:上述云桌面***中的瘦客户机与上述终端通过蓝牙连接获取上述终端的IMEI;
步骤2:上述瘦客户机将上述IMEI以及该瘦客户机标识发送给上述云桌面***中的认证服务器;
步骤3:上述认证服务器以上述IMEI、上述瘦客户机标识与上述静态密码为参数进行计算,将获取到的计算结果与注册时保存的计算结果进行比较,在比较一致的情况下,确定验证成功。
优选地,在处理1中,动态验证码验证过程可以进一步包括以下步骤:
步骤1:在上述获取到的计算结果与注册时保存的计算结果一致的情况下,上述云桌面***的远程数据服务RDS服务器触发产生上述动态验证码并下发给上述终端;
步骤2:上述RDS服务器接收来自于上述终端的动态验证码;
步骤3:上述RDS服务器将上述接收的动态验证码发送至动态验证码认证服务器进行验证,在该动态验证码与预先保存的验证码一致时,确定验证成功。
在优选实施过程中,用户接入安全包含基本的静态用户名/密码身份认证方式及通过蓝牙通信技术的IMEI(移动终端的唯一标识)+瘦客户机ID统一计算验证触发动态验证码双因素身份认证方式。基本的用户名/密码身份认证方式使用AD集成的用户身份验证,支持密码强度/复杂性及密码周期规则,可通过组策略统一或者分组进行调整,因此具备结合已有的安全策略和规范、实施成本和风险较低、不影响用户体验及使用习惯等优点。
基于云桌面的双因素身份认证方式则是在此基础之上通过基于手机终端和瘦客户机的蓝牙通信将移动终端IMEI、瘦客户机ID及用户静态密码进行统一计算,确定用户认证身份进而触发动态验证码的双因素身份认证方式,相关技术的双因素认证短信动态码方式存在诸多弊端:
1、动态码的下发过程依赖于短信网关的可靠性及短信网关与手机终端的网络连通性,若整个环节中有某一个环节出现问题(例如短信网关短信积压、服务器与短信网关互联网络故障等)则无法正确下发动态短信码,进而用户无法正常认证。
2、由于短信码的下发与手机***码相关联,而随着sim卡复制技术的发展,手机sim卡已可以被复制进行欺骗活动,因此动态短信验证码存在被窃取风险。
3、动态短信验证码的触发无法确认手机所有者(人)与手机(物)位置是否一致,即是否为手机所有者触发短信验证码,若手机丢失且静态密码被攻击者以社会工程学等方式获取,则攻击者可进行异地登录等非法操作。
基于以上问题,为避免传统双因素认证的动态短信验证码方式密码丢失、被破解的风险,通过蓝牙通信技术将移动终端IMEI、瘦客户机ID及用户静态密码进行统一计算,确定用户认证身份进而触发动态验证码的双因素身份认证方式验证其计算机网络来访用户的身份。验证过程详述如下:
为了方便描述,文中约定表示符号如下:
IMEIM——移动终端身份标识;
IDC——瘦客户机身份标识;
KEY——用户静态口令标识;
R——随机验证码;
F{KEY(IMEIM,IDC,IMEIM+IDC)}——用认证标识码KEY计算IMEI、ID、IMEI+ID为参数的报文验证码。
1、注册阶段
图6是根据本发明优选实施例的终端进行注册的流程示意图。如图6所示,该流程主要包括:
步骤1:用户对终端(例如,移动终端)开启蓝牙连接。
步骤2:移动终端与瘦客户机机进行蓝牙网络连接,建立加密通信隧道。
步骤3:瘦客户机启动手机认证服务程序。
步骤4:瘦客户机通过通信隧道获取手机终端IMEIM(i){i为从1-n的自然数}。
步骤5:瘦客户机将IMEIM(i)与瘦客户机身份标识IDC(i)联结起来得到IMEI M(i)+IDC(i)发送到认证服务器。
步骤6:认证服务器接收来自于用户输入的静态口令标识KEY(i)。
步骤7:认证服务器用用户静态口令标识KEY(i)计算Y(i),参见式(1),认证服务器成功保存Y(i)后,移动终端的注册过程结束。
Y(i)=F{KEY(i)(IMEIM(i),IDC(i),IMEIM(i)+IDC(i))}(1)
2、认证阶段
图7是根据本发明优选实施例的云桌面***对终端认证的流程示意图。如图7所示,该流程主要包括:
步骤1:用户对终端(例如,移动终端)开启蓝牙连接。
步骤2:移动终端与瘦客户机进行蓝牙网络连接,建立加密通信隧道。
步骤3:瘦客户机启动手机认证服务程序。
步骤4:瘦客户机获取手机IMEIM(j){j为从1-n的自然数}。
步骤5:瘦客户机将IMEIM(j)与瘦客户机身份标识IDC(j)发送给认证服务器。
步骤6:瘦客户机获取用户在登录页面输入的静态密码口令后发送认证服务器。
步骤7:认证服务器将IMEIM(j)与瘦客户机身份标识IDC(j)联合在一起得到IMEIM(j)+IDC(j),同时,获取用户在登录页面输入的静态密码口令后发送认证服务器计算Y(j),具体参见式(2)。
Y(j)=F{KEY(j)(IMEIM(j),IDC(j),IMEIM(j)+IDC(j))}(2)
步骤8:认证服务器判断两次获得的报文验证码是否一致;
步骤9:若Y(i)=Y(j)则认证合法,认证服务器触发产生随机数R。若Y(i)≠Y(j)则认证非法,提示为非法用户认证,云桌面认证结束。
步骤10:通过蓝牙网络连接发送给移动终端客户端。
步骤11:客户端收到R后,用户U在云桌面服务器上输入随机验证码R信息。
步骤12:验证有效则进行授权,执行初始化界面等操作。
综上所述,手机终端动态蓝牙+IMEI双因素认证极大的提高了接入的安全性,通过可提高工作效率的应用程序支持主流蓝牙设备制造商产品、短距离认证访问解决方案、瘦客户端设备,提供了一种高效的认证解决方案。
优选地,在上述处理2中,当验证通过,且上述终端当前未存在会话时,上述云桌面***为上述终端分配远程服务器可以包括以下步骤:
步骤1:在验证通过时,上述云桌面***中的会话服务器查询上述终端当前是否存在会话;
步骤2:在没有查询到上述终端存在会话的情况下,上述会话服务器向上述RDS服务器发送查询结果,并通知上述RDS服务器为上述终端分配上述远程服务器;
步骤3:上述RDS服务器根据RDS资源池服务器状态为上述终端分配最优的远程服务器。
优选地,在上述处理3中,上述云桌面***将具有用户权限配置的运行在上述远程服务器上的应用程序呈现在上述终端上可以包括以下步骤:
步骤1:上述远程服务器接收来自于上述终端的获取用户配置信息的请求;
步骤2:上述远程服务器将上述请求发送至配置服务器;
步骤3:上述配置服务器查询用户权限库,确认是否已存在该终端的用户权项文件;
步骤4:如果存在,则通知上述RDS服务器下载该用户权限配置文件;如果不存在,则通知上述RDS服务器,以使上述RDS服务器按照安全配置模板为上述终端生成新的用户权限配置文件;
步骤5:上述远程服务器将具有用户权限配置的运行在上述远程服务器上的应用程序呈现在上述终端上。
优选地,上述云桌面***将具有用户权限配置的运行在上述远程服务器上的应用程序呈现在上述终端上之后,还包括以下处理(即出现异常状况,采用自动保持技术):
步骤1:在上述远程服务器无法接收到来自于上述终端的用户指令时,发起开启自动状态保持请求,会话状态停留在当前状态并挂起;
步骤2:如果上述远程服务器在预定时间内接收到来自于上述终端的用户指令,自动保持功能生效,上述远程服务器恢复与BOSS服务器的业务交互;如果否,自动保持功能失效,发起删除用户状态关闭业务请求。
在优选实施过程中,云桌面***与终端之间的安全传输依赖于以下三种技术的结合运用:
1、通过SSL隧道实现传输加密
使用SSL安全加密链路确保对所有连接进行完全加密,而且智能卡用户必须使用SSL,因此,通过隧道加密保证了传输的安全,可通过策略配置灵活启用/禁用SSL,能够和主流SSL VPN方案无缝集成。
2、自动状态保持技术
采用该技术能够自动检测连接断开,并自动保存用户状态;预定时间内(例如,30秒)自动重新连接会话,并自动恢复用户状态。因此,具备无需重新登录,减少用户中断,可显著改善用户体验。
3、通过文件安全配置服务器进行终端用户权限管理,提高外网桌面访问的安全性
置于安全区的文件安全配置服务器支持内外网网络连接。因此,将数据保留在数据中心之内,加强了对数据的安全控制,支持从所有端点以加密方式访问桌面,简化关于桌面和数据使用的集中控制与审核的遵循工作,可兼容现有的所有远程终端。
在优选实施过程中,数据安全性主要基于以下三种技术实现:
1、剪贴板控制
可根据云桌面服务器对终端的安全要求,允许\禁止客户端与虚拟桌面的粘贴板复制,或单向复制粘贴。因此,具备通过策略灵活配置允许\禁止客户端与虚拟桌面的粘贴板复制、策略可以继承或单独应用于某台计算机\池、支持单向复制粘贴等优点。
2、USB策略控制
通过安全策略配置,可实现允许\禁止USB映射,USB存储只读,通过策略禁用USB。因此,具备通过策略灵活配置允许\禁止USB映射,策略可以继承或单独应用于某台计算机\池,支持USB存储只读等优点。
3、通过配置端点设备为终端提供免加载防病毒处理
通过去除每个虚拟机中的防病毒代理,将防病毒的功能交给由防病毒厂商提供的安全VM处理,并使用虚拟机中的驱动强制实施,通过UI或者REST API实施策略和配置管理,支持日志记录和审计。因此,具备通过与防病毒厂商的合作分离杀毒功能提高了性能,尤其是通过去除防病毒代理提高了虚拟机的性能,通过去除敏感的代理和强制实施降低风险,通过详细记录防病毒任务满足审计需求等优点。
4、云桌面***可靠性
作为终端与云桌面交互过程中安全管控的主动方,云桌面***的安全性和可靠性尤其重要。通过更新管理服务器\配置管理服务器进行统一的虚拟化平台,虚拟机,操作***,甚至是应用程序的补丁管理,从而具备使用统一控制台进行补丁安全管理功能,可与快照、备份等技术进行集成,确保***故障后可以快速、精确回滚等优点。
以下结合图8的示例对终端和云桌面***的交互流程进行描述。
图8是根据本发明优选实施例的安全管控实现方法的流程示意图。如图8所示,该安全管控实现方法主要包括以下处理(步骤S801至步骤S829):
第一阶段(图8中未示出):终端接入云桌面***。
在执行步骤S801之前,终端需要与云桌面***进行连接,主要采用用户名/密码身份认证方式、SSL隧道传输加密技术实现终端接入安全,具体包括:
步骤1:终端将用户请求用隧道传输加密算法加密后,发送给IPSec VPN或SSLVPN设备,请求获取网络资源的使用权。
步骤2:VPN收到用户请求,向终端用户索要验证信息。终端用户输入用户名及口令,以便获取相应的网络访问权限。
步骤3:VPN将收到的用户名及口令信息,发给AAA验证服务器,进行验证,验证匹配后,向VPN服务器发送匹配成功通知。VPN服务器收到匹配成功通知后,向终端下发具有访问权限的IP地址。
步骤4:步骤3结束后,远程终端获得了访问云桌面***的权限。用户在本地终端桌面调用远程桌面程序,开始与云桌面平台交互过程。
第二阶段:终端与云桌面***的交互。
终端连接云桌面访问BOSS***,主要采用用户名/密码身份认证方式、双因素身份认证方式,通过文件安全配置服务器方式提高外网桌面访问的安全性,通过配置端点设备为终端提供免加载防病毒处理提高远程主机安全性。如图8所示,主要包括:
步骤S801:终端调用远程桌面程序,请求登陆RDS服务器。
步骤S802:RDS服务器收到终端请求,要求终端发送“请输入用户名及密码”。
步骤S803:移动终端与瘦客户机进行蓝牙连接,获取移动终端IMEI号码。同时,终端用户输入用户名和口令,请求服务器验证。
步骤S804:RDS服务器收到用户发来的用户信息,将其转发给AD域服务器和认证服务器进行用户身份验证。同时,瘦客户机将移动终端IMEI号码+瘦客户机ID号码发送至认证服务器。
步骤S805:AD域服务器将该用户信息和数据库中的用户信息进行对比,匹配成功。认证服务器对以移动终端IMEI号码+瘦客户机ID号码与静态密码为参数进行计算,并与手机注册信息进行比对,将比对结果返回给RDS服务器,告知RDS服务器可以触发动态验证码向终端用户下发动态验证码,要求终端发送“请输入动态验证码”。终端用户输入动态验证码,请求服务器验证。
RDS服务器收到用户发来的验证码信息,将其转发给动态验证码认证服务器进行动态验证码验证。动态验证码认证服务器将该验证码和数据库中的验证码信息进行对比,匹配成功。将验证结果返回给RDS服务器,告知RDS服务器为该用户分配资源。
步骤S806:发送该用户信息给会话服务器,请求会话服务器查询该用户是否有已存在的会话。
步骤S807:会话服务器查询后,没有查询到该用户的会话,向RDS主机发送查询结果,通知其为终端用户分配一个RDS远程主机。
步骤S808:RDS服务器接到会话服务器发来的查询结果,查看RDS资源池服务器状态,为用户分配可供使用的具备最佳性能的远程主机。
步骤S809:RDS池,将为该用户分配的远程主机桌面,推向用户终端桌面。
步骤S810:终端用户获得远程主机,向远程主机所要用户配置信息,RDS收到用户请求,将该请求发送给文件安全配置服务器。向文件安全配置服务器查询及所有该用户的配置信息。
步骤S811:文件安全配置服务器查询用户权限库,得知库里已经有了该用户的用户权限信息,向RDS主机响应“该用户权限信息已存在”;如果用户权限库里没有该用户的用户权限文件,则向RDS主机响应“***里没有该用户的权限文件,请按照***默认方式为其分配***默认权限文件配置”。
步骤S812:RDS远程主机接收到文件安全服务器做出的响应后:①文件服务器已经存在该用户的权限配置文件,RDS远程服务器下载该用户的权限配置文件;②文件服务器中没有该用户的权限配置文件,RDS远程服务器按照安全配置模版,为该用户分配一个新的用户权限配置文件信息。
步骤S813:带有用户个性权限设置的RDS远程主机通过网络使用RDP协议展现在用户终端上显示出来。
进行端点设备配置以及统一安全的VM处理,并使用虚拟机中的驱动强制实施,通过UI或者REST API对RDS远程主机实施策略和配置管理,并进行日志记录和审计。
RDP数据包头生成过程包括:初始化参数、产生标准报头、产生RDP特定报头、以及报头发送,报头中包含以下功能的传输控制字符含义:序始、文始、文终、送毕、询问、确认、转义、否认、同步、块终;对于不同的通信协议报头中还会包含特定功能的传输控制字符含义。
第三阶段:终端通过云桌面访问BOSS***。
步骤S814:RDS服务器向会话服务器发出记录用户会话请求
步骤S815:会话服务器响应RDS服务器请求,告知已经开始对用户会话进行增量保存
步骤S816:用户输入BOSS页面调用指令,通过网络传送给RDS远程主机
步骤S817:RDS远程主机收到的页面调用请求,向BOSS服务器发起页面调用请求。
步骤S818:BOSS服务器收到RDS发来的页面调用请求后,做出响应,将BOSS***页面通过网络传送给RDS远程主机。
步骤S819:RDS远程主机将收到的BOSS***页面通过网络推向终端用户,显示在本地用户终端主机上
步骤S820:用户输入BOSS业务办理指令,通过网络传送给RDS远程主机。
步骤S821:RDS远程主机收到的业务办理请求,向BOSS服务器业务办理界面调用请求。
步骤S822:BOSS服务器收到RDS发来的页面调用请求后,做出响应,将BOSS业务办理页面通过网络传送给RDS远程主机。
步骤S823:用户业务请求处理结果显示。
用户使用获得的远程主机办理业务。在业务办理的过程中,主要采用剪贴板控制、USB策略控制提高交互过程中数据安全性。
1、终端用户使用剪贴板、USB功能,云桌面服务器将用户的剪贴板、USB功能使用请求发送给文件安全配置服务器,向文件安全配置服务器查询该用户权限级别信息。
2、文件安全配置服务器查询用户权限库,得知库里已经有了该用户的授权使用信息,向云桌面服务器响应“该用户已授权,允许使用”;如果用户权限库里没有该用户的使用信息,则向云桌面服务器响应“***里没有该用户的授权使用信息,拒绝使用,如需使用请申请”。
3、云桌面服务器接收到文件安全配置服务器的响应后:①允许终端用户使用剪贴板、USB功能;②拒绝终端用户使用剪贴板、USB功能,提供申请开放连接。
第四阶段:营业厅网络异常断开与桌面响应,主要采用自动状态保持技术以及云平台的可靠性提升中断后的接续能力和故障恢复能力。主要包括:
步骤S824:终端用户与云桌面RDS远程主机断开连接,退回本地桌面。同时,RDS远程主机无法接收到用户输入的指令。
RDS远程主机因无法接收到用户指令,与BOSS服务器的会话暂时中止,RDS远程主机向云桌面服务器发送开启自动状态保持请求。
步骤S825:云桌面服务器接收到自动状态保持请求后,启动自动状态保持功能,会话状态停留在当前状态并挂起。
RDS远程主机:①30秒内收到用户指令,网络连接恢复,自动状态保持功能生效,***进行精确回滚,自动恢复与BOSS服务器的业务交互;②30秒内未收到用户指令,网络持续断连,自动状态保持功能失效,向云桌面服务器发起删除用户状态关闭业务连接请求。
云桌面服务器响应RDS远程主机删除用户状态请求,删除用户状态,关闭与BOSS服务器的业务交互连接。
步骤S826:营业厅网络连通,重复第二阶段的步骤S801至S807。
步骤S827:做出响应的RDS远程主机,根据会话服务器发回的用户ID,下载该用户的配置文件。
步骤S828:用户登陆RDS远程主机,重新获取会话链接。继续输入指令。
步骤S829:RDS远程主机收到的业务办理指令,恢复与BOSS服务器的业务交互。
由此可见,通过网络虚拟化技术、终端安全管控技术,实现了桌面云终端下的安全管理,提高终端安全管控水平,同时增加了用户安全审核,将用户手机IMEI号码与瘦客户终端进行绑定,通过蓝牙连接实现用户认证,实现了低成本,高安全性。
根据本发明实施例,还提供了一种安全管控实现***。
图9是根据本发明实施例的安全管控实现***的结构框图。如图9所示,该安全管控实现***包括:终端10,用于建立与云桌面***之间的连接;基于云桌面技术构建的上述云桌面***20,用于建立与上述终端的连接,经由与上述终端之间的交互实现对上述终端的安全管控。
优选地,上述***还可以包括:VPN设备(图9未示出),用于接收上述终端发送的获取网络资源使用权的请求,向上述终端发送验证请求,接收来自于上述终端的用户验证信息并发送给验证服务器验证,在验证匹配的情况下,向上述终端发送具有访问权限的IP地址;验证服务器(图9未示出),用于对上述用户验证信息进行验证。
相关技术中,***架构为服务器集群模式,随着终端数量的增加及业务量的拓展,存储空间急剧匮乏,且容灾切换需要网络配合调整相应策略,切换时间较长,用户体验较差。此外,***并发处理能力较弱,无法满足业务访问高峰期的并发处理要求;厂商维护人员的流动性和不定期性为管理带来了困难;部分厂商维护人员由于工作需要而能够接触到公司内部的相关重要数据,因此也容易随着大量的终端和移动设备产生数据流失和泄漏的风险。由于图9所示的云桌面***是基于云桌面技术构建的,引入云桌面技术,通过在服务器上部署虚拟桌面***,实现统一的终端准入和安全管控;针对用户权限进行配置,实现终端硬件***与云桌面软件***物理隔离,弥补了现有终端网络接入及安全管控体系的不足,改善了***部署模式,实现了集中控制,降低运维成本,提高终端接入安全性,降低***安全风险。
根据本发明实施例,还提供了一种云桌面***。
图10是根据本发明优选实施例的云桌面***的结构框图。其中,该云桌面***是基于云桌面技术构建的,如图10所示,该云桌面***包括:连接***30,用于建立与终端的连接;交互***40,用于经由与上述终端之间的交互实现对上述终端的安全管控。
图10所示的云桌面***是基于云桌面技术构建的,引入云桌面技术,通过在服务器上部署虚拟桌面***,实现统一的终端准入和安全管控;针对用户权限进行配置,实现终端硬件***与云桌面软件***物理隔离,弥补了现有终端网络接入及安全管控体系的不足,改善了***部署模式,实现了集中控制,降低运维成本,提高终端接入安全性,降低***安全风险。
优选地,上述交互***40,进一步用于对上述终端进行验证,其中,验证的方式包括:用户名与静态密码验证;基于上述终端的国际移动装备辨识码IMEI、瘦客户机标识与静态密码统一计算验证;以及动态验证码验证;当验证通过,且上述终端当前未存在会话时,为上述终端分配远程服务器;以及将具有用户权限配置的运行在上述远程服务器上的应用程序呈现在上述终端上。
优选地,上述交互***40可以包括:瘦客户机,用于与上述终端通过蓝牙连接获取上述终端的IMEI;将上述IMEI以及该瘦客户机标识发送给认证服务器;上述认证服务器,用于以上述IMEI、上述瘦客户机标识与上述静态密码为参数进行计算,将获取到的计算结果与注册时保存的计算结果进行比较,在比较一致的情况下,确定验证成功。
优选地,上述交互***40可以包括:RDS服务器,用于在上述认证服务器认证成功的情况下,触发产生上述动态验证码并下发给上述终端;接收来自于上述终端的动态验证码;将上述接收的动态验证码发送至动态验证码认证服务器;上述动态验证码认证服务器,用于在该动态验证码与预先保存的验证码一致时,确定验证成功。
优选地,上述交互***40可以包括:会话服务器,用于在验证通过时,查询上述终端当前是否存在会话;在没有查询到上述终端存在会话的情况下,向RDS服务器发送查询结果;上述RDS服务器,用于根据RDS资源池服务器状态为上述终端分配最优的远程服务器。
优选地,上述交互***40可以包括:上述远程服务器,用于接收来自于上述终端的获取用户配置信息的请求;将上述请求发送至配置服务器;将具有用户权限配置的运行在上述远程服务器上的应用程序呈现在上述终端上;上述配置服务器,用于查询用户权限库,确认是否已存在该终端的用户权项文件;RDS服务器,还用于在存在该终端的用户权项文件时,下载该用户权限配置文件;在不存在该终端的用户权项文件时,按照安全配置模板为上述终端生成新的用户权限配置文件。
优选地,上述交互***40可以包括:上述远程服务器,用于无法接收到来自于上述终端的用户指令时,发起开启自动状态保持请求,会话状态停留在当前状态并挂起;如果在预定时间内接收到来自于上述终端的用户指令,自动保持功能生效,恢复与BOSS服务器的业务交互;如果否,自动保持功能失效,发起删除用户状态关闭业务请求。
综上上述,借助本发明提供的上述实施例,弥补了现有终端网络接入及安全管控体系的不足,虚拟桌面技术的引入,改善了***部署模式,实现了集中控制,提高终端接入安全性,降低***安全风险。
管控性方面:原有技术手工调整每台设备,维护工作量大。新技术软件安装、机器配置更改全部远程实现,集中管理,实时监控人员操作行为。
安全性方面:原有技术终端硬件病毒泛滥,易导致网络流量剧增,无法控制终端的安全管控工作。新技术基于虚拟机架构,实现终端硬件平台与云桌面物理隔离,降低中毒几率,后台记录操作痕迹,多层安全控制手段及终端管控技术配合使用,针对终端及传输链路进行加密,增强***安全性。
并行处理能力和容灾能力:新的物理终端+云桌面架构***实现方式,充分发挥了虚拟机群集在并行处理及容灾方面的优势,高峰时段***侧并发处理能力得到显著增强,容灾达到毫秒级切换,切换效率显著提升。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (18)
1.一种安全管控实现方法,其特征在于,包括:
基于云桌面技术构建云桌面***;
建立所述云桌面***与终端的连接;
经由所述云桌面***与所述终端之间的交互实现所述云桌面***对所述终端的安全管控。
2.根据权利要求1所述的方法,其特征在于,建立所述云桌面***与终端的连接包括:
所述终端向虚拟专用网络VPN设备发送获取网络资源使用权的请求;
所述终端接收来自于所述VPN设备的验证请求,向所述VPN设备发送用户验证信息;
在所述VPN设备将所述用户验证信息发送给验证服务器验证匹配后,所述终端接收来自于所述VPN设备的具有访问权限的地址。
3.根据权利要求1所述的方法,其特征在于,所述云桌面***与终端之间的交互包括:
所述云桌面***对所述终端进行验证,其中,验证的方式包括:用户名与静态密码验证;基于所述终端的国际移动装备辨识码IMEI、瘦客户机标识与静态密码统一计算验证;以及动态验证码验证;
当验证通过,且所述终端当前未存在会话时,所述云桌面***为所述终端分配远程服务器;
所述云桌面***将具有用户权限配置的运行在所述远程服务器上的应用程序呈现在所述终端上。
4.根据权利要求3所述的方法,其特征在于,基于所述终端的国际移动装备辨识码、瘦客户机标识与静态密码统一计算验证包括:
所述云桌面***中的瘦客户机与所述终端通过蓝牙连接获取所述终端的IMEI;
所述瘦客户机将所述IMEI以及该瘦客户机标识发送给所述云桌面***中的认证服务器;
所述认证服务器以所述IMEI、所述瘦客户机标识与所述静态密码为参数进行计算,将获取到的计算结果与注册时保存的计算结果进行比较,在比较一致的情况下,确定验证成功。
5.根据权利要求4所述的方法,其特征在于,在基于所述终端的国际移动装备辨识码、瘦客户机标识与静态密码统一计算验证之前,还包括:
在所述终端注册时,所述瘦客户机与所述终端通过蓝牙连接获取所述终端的IMEI;
所述瘦客户机将所述IMEI以及该瘦客户机标识发送给所述云桌面***中的认证服务器;
所述认证服务器以所述IMEI、所述瘦客户机标识与所述静态密码为参数进行计算,并保存所述计算结果。
6.根据权利要求4或5所述的方法,其特征在于,动态验证码验证包括:
在所述获取到的计算结果与注册时保存的计算结果一致的情况下,所述云桌面***的远程数据服务RDS服务器触发产生所述动态验证码并下发给所述终端;
所述RDS服务器接收来自于所述终端的动态验证码;
所述RDS服务器将所述接收的动态验证码发送至动态验证码认证服务器进行验证,在该动态验证码与预先保存的验证码一致时,确定验证成功。
7.根据权利要求3所述的方法,其特征在于,当验证通过,且所述终端当前未存在会话时,所述云桌面***为所述终端分配远程服务器包括:
在验证通过时,所述云桌面***中的会话服务器查询所述终端当前是否存在会话;
在没有查询到所述终端存在会话的情况下,所述会话服务器向所述RDS服务器发送查询结果,并通知所述RDS服务器为所述终端分配所述远程服务器;
所述RDS服务器根据RDS资源池服务器状态为所述终端分配最优的远程服务器。
8.根据权利要求3所述的方法,其特征在于,所述云桌面***将具有用户权限配置的运行在所述远程服务器上的应用程序呈现在所述终端上包括:
所述远程服务器接收来自于所述终端的获取用户配置信息的请求;
所述远程服务器将所述请求发送至配置服务器;
所述配置服务器查询用户权限库,确认是否已存在该终端的用户权项文件;
如果存在,则通知所述RDS服务器下载该用户权限配置文件;如果不存在,则通知所述RDS服务器,以使所述RDS服务器按照安全配置模板为所述终端生成新的用户权限配置文件;
所述远程服务器将具有用户权限配置的运行在所述远程服务器上的应用程序呈现在所述终端上。
9.根据权利要求3所述的方法,其特征在于,所述云桌面***将具有用户权限配置的运行在所述远程服务器上的应用程序呈现在所述终端上之后,还包括:
在所述远程服务器无法接收到来自于所述终端的用户指令时,发起开启自动状态保持请求,会话状态停留在当前状态并挂起;
如果所述远程服务器在预定时间内接收到来自于所述终端的用户指令,自动保持功能生效,所述远程服务器恢复与BOSS服务器的业务交互;如果否,自动保持功能失效,发起删除用户状态关闭业务请求。
10.一种安全管控实现***,其特征在于,包括:
终端,用于建立与云桌面***之间的连接;
基于云桌面技术构建的所述云桌面***,用于建立与所述终端的连接,经由与所述终端之间的交互实现对所述终端的安全管控。
11.根据权利要求10所述的***,其特征在于,还包括:
虚拟专用网络VPN设备,用于接收所述终端发送的获取网络资源使用权的请求,向所述终端发送验证请求,接收来自于所述终端的用户验证信息并发送给验证服务器验证,在验证匹配的情况下,向所述终端发送具有访问权限的IP地址;
所述验证服务器,用于对所述用户验证信息进行验证。
12.一种云桌面***,其特征在于,所述***是基于云桌面技术构建的,包括:
连接***,用于建立与终端的连接;
交互***,用于经由与所述终端之间的交互实现对所述终端的安全管控。
13.根据权利要求12所述的***,其特征在于,
所述交互***,进一步用于对所述终端进行验证,其中,验证的方式包括:用户名与静态密码验证;基于所述终端的国际移动装备辨识码IMEI、瘦客户机标识与静态密码统一计算验证;以及动态验证码验证;当验证通过,且所述终端当前未存在会话时,为所述终端分配远程服务器;以及将具有用户权限配置的运行在所述远程服务器上的应用程序呈现在所述终端上。
14.根据权利要求13所述的***,其特征在于,所述交互***包括:
瘦客户机,用于与所述终端通过蓝牙连接获取所述终端的IMEI;将所述IMEI以及该瘦客户机标识发送给认证服务器;
所述认证服务器,用于以所述IMEI、所述瘦客户机标识与所述静态密码为参数进行计算,将获取到的计算结果与注册时保存的计算结果进行比较,在比较一致的情况下,确定验证成功。
15.根据权利要求13所述的***,其特征在于,所述交互***还包括:
远程数据服务RDS服务器,用于在所述认证服务器认证成功的情况下,触发产生所述动态验证码并下发给所述终端;接收来自于所述终端的动态验证码;将所述接收的动态验证码发送至动态验证码认证服务器;
所述动态验证码认证服务器,用于在该动态验证码与预先保存的验证码一致时,确定验证成功。
16.根据权利要求13所述的***,其特征在于,所述交互***还包括:
会话服务器,用于在验证通过时,查询所述终端当前是否存在会话;在没有查询到所述终端存在会话的情况下,向RDS服务器发送查询结果;
所述RDS服务器,用于根据RDS资源池服务器状态为所述终端分配最优的远程服务器。
17.根据权利要求13所述的***,其特征在于,所述交互***还包括:
所述远程服务器,用于接收来自于所述终端的获取用户配置信息的请求;将所述请求发送至配置服务器;将具有用户权限配置的运行在所述远程服务器上的应用程序呈现在所述终端上;
所述配置服务器,用于查询用户权限库,确认是否已存在该终端的用户权项文件;
RDS服务器,还用于在存在该终端的用户权项文件时,下载该用户权限配置文件;在不存在该终端的用户权项文件时,按照安全配置模板为所述终端生成新的用户权限配置文件。
18.根据权利要求13所述的***,其特征在于,所述交互***还包括:
所述远程服务器,用于无法接收到来自于所述终端的用户指令时,发起开启自动状态保持请求,会话状态停留在当前状态并挂起;如果在预定时间内接收到来自于所述终端的用户指令,自动保持功能生效,恢复与BOSS服务器的业务交互;如果否,自动保持功能失效,发起删除用户状态关闭业务请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310751050.9A CN104753887B (zh) | 2013-12-31 | 2013-12-31 | 安全管控实现方法、***及云桌面*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310751050.9A CN104753887B (zh) | 2013-12-31 | 2013-12-31 | 安全管控实现方法、***及云桌面*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104753887A true CN104753887A (zh) | 2015-07-01 |
| CN104753887B CN104753887B (zh) | 2018-02-23 |
Family
ID=53593002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310751050.9A Active CN104753887B (zh) | 2013-12-31 | 2013-12-31 | 安全管控实现方法、***及云桌面*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104753887B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105515874A (zh) * | 2015-12-26 | 2016-04-20 | 华为技术有限公司 | 在虚拟私有云中部署网络的方法和相关装置与*** |
| CN105791265A (zh) * | 2016-01-08 | 2016-07-20 | 国家电网公司 | 一种网元安全性检测方法及*** |
| CN106022146A (zh) * | 2016-05-24 | 2016-10-12 | 北京朋创天地科技有限公司 | 一种面向虚拟桌面资源保护的动态连接控制方法 |
| CN107346380A (zh) * | 2016-05-05 | 2017-11-14 | 北京北信源软件股份有限公司 | 一种基于rdp的数据防泄漏***和方法 |
| CN107770160A (zh) * | 2017-09-30 | 2018-03-06 | 深信服科技股份有限公司 | 数据安全防护方法、设备及计算机可读存储介质 |
| CN108021426A (zh) * | 2017-12-29 | 2018-05-11 | 上海海加网络科技有限公司 | 一种桌面云*** |
| CN108092946A (zh) * | 2016-11-23 | 2018-05-29 | ***通信集团广东有限公司 | 一种安全访问网络的方法及*** |
| CN108365966A (zh) * | 2017-12-29 | 2018-08-03 | 河南智业科技发展有限公司 | 一种无bios设计云微终端 |
| CN109033840A (zh) * | 2018-06-28 | 2018-12-18 | 成都飞机工业(集团)有限责任公司 | 一种对计算机终端进行保密检查的方法 |
| CN109257213A (zh) * | 2018-09-07 | 2019-01-22 | 广东电网有限责任公司 | 判断计算机终端准入验证失败的方法和装置 |
| CN110138798A (zh) * | 2019-05-27 | 2019-08-16 | 深圳前海微众银行股份有限公司 | 云桌面管理方法、装置、设备及可读存储介质 |
| CN110443038A (zh) * | 2019-08-02 | 2019-11-12 | 贵州电网有限责任公司 | 一种桌面终端便携加密式网络安全合规性自动核查装置 |
| CN110851863A (zh) * | 2019-11-07 | 2020-02-28 | 北京无限光场科技有限公司 | 应用程序的权限控制方法、装置以及电子设备 |
| CN111813627A (zh) * | 2020-07-06 | 2020-10-23 | 深信服科技股份有限公司 | 应用审计方法、装置、终端、***及可读存储介质 |
| CN112532566A (zh) * | 2019-09-18 | 2021-03-19 | 神州云端(深圳)科技有限公司 | 一种互联网和局域网云桌面用户统一认证方法和*** |
| CN112600709A (zh) * | 2020-12-15 | 2021-04-02 | 西安飞机工业(集团)有限责任公司 | 一种针对局域网终端的管理***及使用方法 |
| CN113204399A (zh) * | 2021-04-16 | 2021-08-03 | 广州朗国电子科技有限公司 | 一种云桌面智能终端管理方法、电子设备和存储介质 |
| CN113613249A (zh) * | 2021-06-29 | 2021-11-05 | 福建升腾资讯有限公司 | 一种基于蓝牙的云桌面自动登录方法及*** |
| CN114168529A (zh) * | 2021-11-24 | 2022-03-11 | 广州明动软件股份有限公司 | 一种基于云档案库的档案管理*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080263217A1 (en) * | 2006-12-05 | 2008-10-23 | Nec Corporation | Connection control in thin client system |
| CN102394755A (zh) * | 2011-11-21 | 2012-03-28 | 上海凯卓信息科技有限公司 | 基于智能安全卡的移动办公身份认证方法 |
| CN102571733A (zh) * | 2010-12-31 | 2012-07-11 | ***通信集团陕西有限公司 | Boss***的访问方法及***、云计算平台 |
| CN103312744A (zh) * | 2012-03-12 | 2013-09-18 | ***通信集团黑龙江有限公司 | 一种基于云桌面的业务办理方法、平台及*** |
-
2013
- 2013-12-31 CN CN201310751050.9A patent/CN104753887B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080263217A1 (en) * | 2006-12-05 | 2008-10-23 | Nec Corporation | Connection control in thin client system |
| CN102571733A (zh) * | 2010-12-31 | 2012-07-11 | ***通信集团陕西有限公司 | Boss***的访问方法及***、云计算平台 |
| CN102394755A (zh) * | 2011-11-21 | 2012-03-28 | 上海凯卓信息科技有限公司 | 基于智能安全卡的移动办公身份认证方法 |
| CN103312744A (zh) * | 2012-03-12 | 2013-09-18 | ***通信集团黑龙江有限公司 | 一种基于云桌面的业务办理方法、平台及*** |
Non-Patent Citations (1)
| Title |
|---|
| 王欢等: "《基于云环境的安全管控平台》", 《安徽电子信息职业技术学院学报》 * |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105515874B (zh) * | 2015-12-26 | 2019-04-23 | 华为技术有限公司 | 在虚拟私有云中部署网络的方法和相关装置与*** |
| CN105515874A (zh) * | 2015-12-26 | 2016-04-20 | 华为技术有限公司 | 在虚拟私有云中部署网络的方法和相关装置与*** |
| CN105791265A (zh) * | 2016-01-08 | 2016-07-20 | 国家电网公司 | 一种网元安全性检测方法及*** |
| CN107346380A (zh) * | 2016-05-05 | 2017-11-14 | 北京北信源软件股份有限公司 | 一种基于rdp的数据防泄漏***和方法 |
| CN106022146A (zh) * | 2016-05-24 | 2016-10-12 | 北京朋创天地科技有限公司 | 一种面向虚拟桌面资源保护的动态连接控制方法 |
| CN106022146B (zh) * | 2016-05-24 | 2018-01-12 | 北京朋创天地科技有限公司 | 一种面向虚拟桌面资源保护的动态连接控制方法 |
| CN108092946A (zh) * | 2016-11-23 | 2018-05-29 | ***通信集团广东有限公司 | 一种安全访问网络的方法及*** |
| CN107770160A (zh) * | 2017-09-30 | 2018-03-06 | 深信服科技股份有限公司 | 数据安全防护方法、设备及计算机可读存储介质 |
| CN107770160B (zh) * | 2017-09-30 | 2021-03-09 | 深信服科技股份有限公司 | 数据安全防护方法、设备及计算机可读存储介质 |
| CN108021426A (zh) * | 2017-12-29 | 2018-05-11 | 上海海加网络科技有限公司 | 一种桌面云*** |
| CN108365966A (zh) * | 2017-12-29 | 2018-08-03 | 河南智业科技发展有限公司 | 一种无bios设计云微终端 |
| CN109033840A (zh) * | 2018-06-28 | 2018-12-18 | 成都飞机工业(集团)有限责任公司 | 一种对计算机终端进行保密检查的方法 |
| CN109257213A (zh) * | 2018-09-07 | 2019-01-22 | 广东电网有限责任公司 | 判断计算机终端准入验证失败的方法和装置 |
| CN109257213B (zh) * | 2018-09-07 | 2021-06-29 | 广东电网有限责任公司 | 判断计算机终端准入验证失败的方法和装置 |
| CN110138798A (zh) * | 2019-05-27 | 2019-08-16 | 深圳前海微众银行股份有限公司 | 云桌面管理方法、装置、设备及可读存储介质 |
| CN110138798B (zh) * | 2019-05-27 | 2023-04-07 | 深圳前海微众银行股份有限公司 | 云桌面管理方法、装置、设备及可读存储介质 |
| CN110443038A (zh) * | 2019-08-02 | 2019-11-12 | 贵州电网有限责任公司 | 一种桌面终端便携加密式网络安全合规性自动核查装置 |
| CN112532566A (zh) * | 2019-09-18 | 2021-03-19 | 神州云端(深圳)科技有限公司 | 一种互联网和局域网云桌面用户统一认证方法和*** |
| CN110851863A (zh) * | 2019-11-07 | 2020-02-28 | 北京无限光场科技有限公司 | 应用程序的权限控制方法、装置以及电子设备 |
| CN111813627A (zh) * | 2020-07-06 | 2020-10-23 | 深信服科技股份有限公司 | 应用审计方法、装置、终端、***及可读存储介质 |
| CN112600709A (zh) * | 2020-12-15 | 2021-04-02 | 西安飞机工业(集团)有限责任公司 | 一种针对局域网终端的管理***及使用方法 |
| CN113204399A (zh) * | 2021-04-16 | 2021-08-03 | 广州朗国电子科技有限公司 | 一种云桌面智能终端管理方法、电子设备和存储介质 |
| CN113613249A (zh) * | 2021-06-29 | 2021-11-05 | 福建升腾资讯有限公司 | 一种基于蓝牙的云桌面自动登录方法及*** |
| CN113613249B (zh) * | 2021-06-29 | 2023-11-10 | 福建升腾资讯有限公司 | 一种基于蓝牙的云桌面自动登录方法及*** |
| CN114168529A (zh) * | 2021-11-24 | 2022-03-11 | 广州明动软件股份有限公司 | 一种基于云档案库的档案管理*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104753887B (zh) | 2018-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104753887A (zh) | 安全管控实现方法、***及云桌面*** | |
| US10594801B2 (en) | Virtual hosting device and service to provide software-defined networks in a cloud environment | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| EP2432265B1 (en) | Method and apparatus for sending a key on a wireless local area network | |
| CN105027529B (zh) | 用于验证对网络资源的用户接入的方法和设备 | |
| WO2010117587A3 (en) | Identity management services provided by network operator | |
| JP2012526454A5 (zh) | ||
| CN113068187B (zh) | 一种无人机辅助的终端接入认证方法、***、设备及应用 | |
| CN101277308A (zh) | 一种隔离内外网络的方法、认证服务器及接入交换机 | |
| CN103312744A (zh) | 一种基于云桌面的业务办理方法、平台及*** | |
| CN100401706C (zh) | 一种虚拟专网客户端的接入方法及*** | |
| CN104754582A (zh) | 维护byod安全的客户端及方法 | |
| CN112804354B (zh) | 跨链进行数据传输的方法、装置、计算机设备和存储介质 | |
| CN108243413B (zh) | 一种无线接入铁路信息网络的方法及*** | |
| CN101986598A (zh) | 认证方法、服务器及*** | |
| CN104902470A (zh) | 一种基于动态密钥的无线热点的接入控制方法及*** | |
| CN114205815A (zh) | 一种5g专网认证控制的方法和*** | |
| CN101640685A (zh) | 一种传递私有属性信息的方法及*** | |
| CN103684958A (zh) | 提供弹性vpn服务的方法、***和vpn服务中心 | |
| CN103475491A (zh) | 一种无密码安全登录的远程维护***和实现方法 | |
| CN102752752B (zh) | 基站维护方法和设备 | |
| CN103516683A (zh) | 包含离线终端的远程服务器*** | |
| CN114448748B (zh) | 一种***中心部署化网络*** | |
| CN107948134A (zh) | 数据交互方法和装置 | |
| CN114254352A (zh) | 一种数据安全传输***、方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |