CN108021801A - 基于虚拟桌面的防泄密方法、服务器及存储介质 - Google Patents
基于虚拟桌面的防泄密方法、服务器及存储介质 Download PDFInfo
- Publication number
- CN108021801A CN108021801A CN201711161477.8A CN201711161477A CN108021801A CN 108021801 A CN108021801 A CN 108021801A CN 201711161477 A CN201711161477 A CN 201711161477A CN 108021801 A CN108021801 A CN 108021801A
- Authority
- CN
- China
- Prior art keywords
- usb
- user terminal
- protocol
- data
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于虚拟桌面的防泄密方法、服务器及存储介质。本发明中的服务器接收用户终端发送的第一USB协议指令,对所述第一USB协议指令进行解析,获得所述USB读操作,将所述USB读操作发送至用户终端,以使所述用户终端根据所述USB读操作从USB存储设备中读取并反馈第一目标数据至所述服务器,根据预设密钥对所述第一目标数据进行解密,获得解密后的第一明文数据。本发明通过在协议层完成第一目标数据的解密操作,比之在VM中安装加密解密插件实现外设数据的加密解密,较好地克服了与第三方软件的兼容性问题,所以,克服了当前的VDI场景下存在的不能较好地保证对于外设数据的加密解密操作的兼容性的技术问题。
Description
技术领域
本发明涉及桌面虚拟化领域,尤其涉及基于虚拟桌面的防泄密方法、服务器及存储介质。
背景技术
随着虚拟桌面技术的不断发展,越来越多的公司通过虚拟桌面技术来完成公司内部办公资源的搭建,对于具体实施方式,可在数据中心的服务器中运行桌面操作***,用户通过客户端设备的传输协议与这些远程的桌面进行连接,使得用户访问他们的桌面就像是访问传统的本地桌面一样,业内将之称为虚拟桌面基础架构(Virtual DesktopInfrastructure,VDI)。
但是,在VDI场景下,若于本地的电脑上使用外设,需要保证外设的数据安全性,而当下保护外设的数据安全,多采用在虚拟机(Virtual Machine,VM)内安装相关插件,比如,通过管控驱动来限制读写操作,使用文件过滤驱动来进行数据的加解密操作。可是,该种在VM内安装驱动插件的方式部署不便且极易出现软件兼容性问题,比如,与第三方软件起冲突等。所以,当前的VDI场景下存在不能较好地保证对于外设数据的加密解密操作的兼容性的技术问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种基于虚拟桌面的防泄密方法、服务器及存储介质,旨在解决现有技术中当前的VDI场景下存在不能较好地保证对于外设数据的加密解密操作的兼容性的技术问题。
为实现上述目的,本发明提供一种基于虚拟桌面的防泄密方法,所述方法包括以下步骤:
服务器接收用户终端发送的第一USB协议指令,所述第一USB协议指令由所述用户终端将用户输入的USB读操作通过预设USB传输协议进行封装获得,所述用户终端通过虚拟桌面技术接入所述服务器;
对所述第一USB协议指令进行解析,获得所述USB读操作;
将所述USB读操作发送至用户终端,以使所述用户终端根据所述USB读操作从USB存储设备中读取并反馈第一目标数据至所述服务器,所述USB存储设备为与所述用户终端连接的存储设备;
根据预设密钥对所述第一目标数据进行解密,获得解密后的第一明文数据。
优选地,所述对所述第一USB协议指令进行解析,获得所述USB读操作,具体包括:
在预设虚拟机模拟器下对所述第一USB协议指令进行解析,获得所述USB读操作。
优选地,所述服务器接收用户终端发送的第一USB协议指令,具体包括:
服务器接收用户终端发送的第一USB协议指令和分区表;
相应地,所述将所述USB读操作发送至用户终端,以使所述用户终端根据所述USB读操作从USB存储设备中读取并反馈第一目标数据至所述服务器,具体包括:
根据所述分区表确定与所述USB读操作对应的数据地址,将所述数据地址发送至用户终端,以使所述用户终端从USB存储设备中读取与所述数据地址对应的第一目标数据,并将所述第一目标数据发送至所述服务器。
优选地,所述服务器接收用户终端发送的第一USB协议指令,具体包括:
服务器接收用户终端发送的第一USB协议指令和用户标识;
相应地,所述对所述第一USB协议指令进行解析,获得所述USB读操作之前,所述方法还包括:
将所述用户标识与各预设授权用户标识进行匹配;
在匹配成功时,执行所述对所述第一USB协议指令进行解析的步骤。
优选地,所述对所述第一USB协议指令进行解析,获得所述USB读操作之前,所述方法还包括:
将所述预设USB传输协议与各预设支持协议进行匹配;
在匹配成功时,执行所述对所述第一USB协议指令进行解析的步骤。
优选地,所述服务器接收用户终端发送的第一USB协议指令,所述第一USB协议指令由所述用户终端将用户输入的USB读操作通过预设USB传输协议进行封装获得之前,所述方法还包括:
所述服务器接收所述用户终端发送的第二USB协议指令和第二明文数据,所述第二USB协议指令由所述用户终端将用户输入的USB写操作通过所述预设USB传输协议进行封装获得;
对所述第二USB协议指令进行解析,获得所述USB写操作;
根据所述预设密钥对所述第二明文数据进行加密,获得加密后的第二目标数据;
将所述USB写操作和所述第二目标数据发送至所述用户终端,以使所述用户终端根据所述USB写操作在所述USB存储设备中写入所述第二目标数据。
优选地,所述根据预设密钥对所述第一目标数据进行解密,以获得解密后的第一明文数据之前,所述方法还包括:
生成预设密钥并保存至本地,以实现根据所述预设密钥对所述第一目标数据进行解密。
此外,为实现上述目的,本发明还提供一种服务器,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的基于虚拟桌面的防泄密程序,所述基于虚拟桌面的防泄密程序配置为实现所述基于虚拟桌面的防泄密方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有基于虚拟桌面的防泄密程序,所述基于虚拟桌面的防泄密程序被处理器执行时实现所述的基于虚拟桌面的防泄密方法的步骤。
本发明中通过在协议层对所述第一USB协议指令进行解析并完成第一目标数据的解密操作,比之在VM中安装加密解密插件实现外设数据的加密解密,较好地克服了与第三方软件的兼容性问题,所以,克服了当前的VDI场景下存在的不能较好地保证对于外设数据的加密解密操作的兼容性的技术问题。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的服务器结构示意图;
图2为本发明基于虚拟桌面的防泄密方法第一实施例的流程示意图;
图3为本发明基于虚拟桌面的防泄密方法第二实施例的流程示意图;
图4为本发明基于虚拟桌面的防泄密方法第三实施例的流程示意图;
图5为本发明基于虚拟桌面的防泄密方法第四实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的服务器结构示意图。
如图1所示,该服务器可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
所述服务器可为提供计算服务的物理设备,用于实现业务计算、数据存储或数据交换等。并且,通过所述服务器和网络设备等设备搭建数据中心,基于数据中心运行虚拟桌面技术,如此,所述用户终端即可通过虚拟桌面技术接入所述服务器,以实现用户终端的桌面虚拟化。其中,所述用户终端可为个人电脑等电子设备,一般地,服务器中将运行多个VM,一个用户终端可通过接入服务器中的一个VM,来实现当前用户终端的桌面虚拟化,不仅降低了本地用户终端的配置要求,也提高了用户使用计算资源和存储资源的安全性,同时便于运维人员统一管理数据中心的整体资源。
本领域技术人员可以理解,图1中示出的结构并不构成对服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及基于虚拟桌面的防泄密程序。
在图1所示的服务器中,网络接口1004主要用于连接其他服务器,与所述其他服务器进行数据通信;用户接口1003主要用于连接用户终端,与用户终端进行数据通信;所述服务器通过处理器1001调用存储器1005中存储的基于虚拟桌面的防泄密程序,并执行以下操作:
服务器接收用户终端发送的第一USB协议指令,所述第一USB协议指令由所述用户终端将用户输入的USB读操作通过预设USB传输协议进行封装获得,所述用户终端通过虚拟桌面技术接入所述服务器;
对所述第一USB协议指令进行解析,获得所述USB读操作;
将所述USB读操作发送至用户终端,以使所述用户终端根据所述USB读操作从USB存储设备中读取并反馈第一目标数据至所述服务器,所述USB存储设备为与所述用户终端连接的存储设备;
根据预设密钥对所述第一目标数据进行解密,获得解密后的第一明文数据。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟桌面的防泄密程序,还执行以下操作:
在预设虚拟机模拟器下对所述第一USB协议指令进行解析,获得所述USB读操作。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟桌面的防泄密程序,还执行以下操作:
服务器接收用户终端发送的第一USB协议指令和分区表;
相应地,还执行以下操作:
根据所述分区表确定与所述USB读操作对应的数据地址,将所述数据地址发送至用户终端,以使所述用户终端从USB存储设备中读取与所述数据地址对应的第一目标数据,并将所述第一目标数据发送至所述服务器。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟桌面的防泄密程序,还执行以下操作:
服务器接收用户终端发送的第一USB协议指令和用户标识;
相应地,还执行以下操作:
将所述用户标识与各预设授权用户标识进行匹配;
在匹配成功时,执行所述对所述第一USB协议指令进行解析的步骤。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟桌面的防泄密程序,还执行以下操作:
将所述预设USB传输协议与各预设支持协议进行匹配;
在匹配成功时,执行所述对所述第一USB协议指令进行解析的步骤。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟桌面的防泄密程序,还执行以下操作:
所述服务器接收所述用户终端发送的第二USB协议指令和第二明文数据,所述第二USB协议指令由所述用户终端将用户输入的USB写操作通过所述预设USB传输协议进行封装获得;
对所述第二USB协议指令进行解析,获得所述USB写操作;
根据所述预设密钥对所述第二明文数据进行加密,获得加密后的第二目标数据;
将所述USB写操作和所述第二目标数据发送至所述用户终端,以使所述用户终端根据所述USB写操作在所述USB存储设备中写入所述第二目标数据。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟桌面的防泄密程序,还执行以下操作:
生成预设密钥并保存至本地,以实现根据所述预设密钥对所述第一目标数据进行解密。
本实施例中通过在协议层对所述第一USB协议指令进行解析并完成第一目标数据的解密操作,比之在VM中安装加密解密插件实现外设数据的加密解密,较好地克服了与第三方软件的兼容性问题,所以,克服了当前的VDI场景下存在的不能较好地保证对于外设数据的加密解密操作的兼容性的技术问题。
基于上述硬件结构,提出本发明基于虚拟桌面的防泄密方法的实施例。
参照图2,图2为本发明基于虚拟桌面的防泄密方法第一实施例的流程示意图。
在第一实施例中,所述基于虚拟桌面的防泄密方法包括以下步骤:
步骤S10:服务器接收用户终端发送的第一USB协议指令,所述第一USB协议指令由所述用户终端将用户输入的USB读操作通过预设USB传输协议进行封装获得,所述用户终端通过虚拟桌面技术接入所述服务器;
可以理解的是,所述用户终端可为VDI架构下的瘦客户机,所述瘦客户机为用于接入VDI桌面中的性能及功耗都相对较低的设备,比如,个人电脑,并且,所述用户终端可只显示桌面操作***的图形,无须安装需要使用的桌面软件。其中,在用户终端上使用通用串行总线设备(Universal Serial BusDevice)时,比如,USB存储设备(Usb Mass StorageClass Device),常见为U盘和移动硬盘等,在用户使用VDI架构下的用户终端时,将无法直接获取USB存储设备中的数据,其中,读取数据或写入数据的操作将交由所述服务器进行处理;所述服务器可为VDI架构下承载VDI的服务器,该服务器中将运行与各用户终端关联的VM,所以,大部分计算与操作都将于服务器中进行,而用户终端主要起到显示和输入操作的作用,本实施例对此不作限制。
在具体实现中,在用户终端中接入USB存储设备时,比如,本地的瘦客户机中接入一个U盘,在用户读取该U盘中的数据时,用户可在本地进行数据复制或粘贴的操作,但是,由于处于VDI架构场景下,用户无法直接获取到目标数据。用户终端将把用户输入的USB读操作通过预设USB传输协议进行封装以获得第一USB协议指令,该步骤将于***底层完成,所述预设USB传输协议可为Bulk-Only Transport(BOT)协议和USB Attached SCSIProtocol(USAP)协议,其中,USAP协议为USB3.0以上设备所支持的USB存储类传输协议。并且,当用户终端获得第一USB协议指令后,将该第一USB协议指令发送至服务器,以实现最终获取到USB存储设备中的数据。
步骤S20:对所述第一USB协议指令进行解析,获得所述USB读操作;
应当理解的是,服务器在获取到该第一USB协议指令时,将根据预设USB传输协议对所述第一USB协议指令进行解析,也就获得到封装前的USB读操作。其中,虽然在使用USB存储设备时,基于传输协议进行数据传输是较为常见的方式,但是,在本实施例中将通过预设USB传输协议对USB读操作进行封装和解析,并在后续步骤中将使用该USB读操作去实现数据的读取,即表明所述整个步骤都是在协议层实现的,相比于现有的常见外设数据的加密解密方式,都是以应用层插件的形式实现加密解密,比如,在VM中安装加密解密插件实现外设数据的加密解密,现有的方式易于与第三方软件出现兼容性问题。换言之,将加密解密操作从子操作***(Guest OS)层换到了虚拟机模拟器中实现,虚拟机模拟器比如QEMU模拟器,所以在服务器中的预设虚拟机模拟器下对所述第一USB协议指令进行解析,获得所述USB读操作。
可以理解的是,由于读操作的获取与后续操作中的加密解密操作都是在底层协议层实现,也就克服了与第三方软件的兼容性问题,加密解密的实现自然与处于应用层的第三方软件没有冲突。
步骤S30:将所述USB读操作发送至用户终端,以使所述用户终端根据所述USB读操作从USB存储设备中读取并反馈第一目标数据至所述服务器,所述USB存储设备为与所述用户终端连接的存储设备;
应当理解的是,在服务器获得所述USB读操作后,所述USB读操作为用户输入的读取第一目标数据的操作信息,服务器将把所述USB读操作发送回所述用户终端。在所述用户终端得到所述USB读操作时,将根据所述USB读操作从USB存储设备中读取数据,也就可获取第一目标数据。其中,所述第一目标数据是加密后的数据,为了保证USB存储设备的安全性,USB存储设备中的数据内容将采用加密的形式进行数据存储。
步骤S40:根据预设密钥对所述第一目标数据进行解密,获得解密后的第一明文数据。
可以理解的是,在获取到加密后的数据后,为了使得用户方便地识别数据内容以及完成数据的加密解密操作,将根据预设密钥对所述第一目标数据进行解密,以获得解密后的第一明文数据。所述第一明文数据为对第一目标数据进行解密获得。并且,步骤S40也是在协议层实现的,所以,可在预设虚拟机模拟器下根据预设密钥对所述第一目标数据进行解密,获得解密后的第一明文数据。易于理解,步骤S20与步骤S40都将在虚拟机模拟器中完成,通过在底层协议层完成动作,可以较好地降低与其他软件的冲突,并且,也对于具体使用的加密解密算法没有限制。
本实施例中通过在协议层对所述第一USB协议指令进行解析并完成第一目标数据的解密操作,比之在VM中安装加密解密插件实现外设数据的加密解密,较好地克服了与第三方软件的兼容性问题,所以,克服了当前的VDI场景下存在的不能较好地保证对于外设数据的加密解密操作的兼容性的技术问题。
参照图3,图3为本发明基于虚拟桌面的防泄密方法第二实施例的流程示意图,基于上述图2所示的实施例,提出本发明基于虚拟桌面的防泄密方法的第二实施例。
在第二实施例中,所述步骤S10,具体包括:
步骤S10′:服务器接收用户终端发送的第一USB协议指令和分区表,所述第一USB协议指令由所述用户终端将用户输入的USB读操作通过预设USB传输协议进行封装获得,所述用户终端通过虚拟桌面技术接入所述服务器;
可以理解的是,本实施例中服务器将接收用户终端发送的分区表,对于服务器接收第一USB协议指令与接收分区表的时间顺序本实施例对此不作限制。所以,可在服务器接收用户终端发送的第一USB协议指令之前,预先接收分区表,以便于后续操作中确定数据地址,可以提高运行效率。
其中,所述分区表用于将大表的数据分成为许多小的子集,分区表存在多种类型,比如主引导记录分区表(Master Boot Record,MBR),全局唯一标识分区表(GUIDPartition Table,GPT)等。其中,分区表用于实现USB存储设备中数据的顺序读取和写入,在分区表不正常或丢失时,将无法实现对于USB存储设备中数据的USB读写操作。
所述步骤S30,具体包括:
步骤S30′:根据所述分区表确定与所述USB读操作对应的数据地址,将所述数据地址发送至用户终端,以使所述用户终端从USB存储设备中读取与所述数据地址对应的第一目标数据,并将所述第一目标数据发送至所述服务器,,所述USB存储设备为与所述用户终端连接的存储设备;
应当理解的是,在获取到分区表和USB读操作之后,可基于分区表去实现数据的正常读取。其中,可根据所述分区表和USB读操作准确地确定USB读操作指向的数据地址,将所述数据地址发送至所述USB存储设备,即可读取与所述数据地址对应的第一目标数据。
本实施例中根据分区表与USB读操作确定将读取的数据地址,使得用户终端可以顺利地读取第一目标数据。
参照图4,图4为本发明基于虚拟桌面的防泄密方法第三实施例的流程示意图,基于上述图2所示的实施例,提出本发明基于虚拟桌面的防泄密方法的第三实施例。
在第三实施例中,所述步骤S10,具体包括:
步骤S101:服务器接收用户终端发送的第一USB协议指令和用户标识,所述第一USB协议指令由所述用户终端将用户输入的USB读操作通过预设USB传输协议进行封装获得,所述用户终端通过虚拟桌面技术接入所述服务器;
可以理解的是,为了适应多用户多使用权限的复杂使用环境,可预先设置可以进行加密解密操作的用户权限设置,以应对多用户多使用权限的实际使用,所以,服务器将接受用户终端发送的用户标识。所述用户标识用于在当前的运行环境中唯一地标识用户终端,起到对于用户终端进行身份认定的效果,其中,所述用户标志可以标记物理设备即用户终端,也可以标记使用用户终端的当前用户,本实施例对此不作限制。
步骤S102:将所述用户标识与各预设授权用户标识进行匹配;
在具体实现中,将在服务器中预先设置可以进行加密解密操作的用户列表,所述预设授权用户标识意味着在当前运行的用户标识已预先保存为预设授权用户标识时,即代表当前运行的用户标识将具有进行加密解密操作的业务资格,将执行后续对目标数据的解密或明文数据的加密操作。通过将所述用户标识与各预设授权用户标识进行匹配,在匹配成功时,即表征用户标识被预设为授权用户标识,将进行后续操作;在匹配不成功时,可停止后续操作或反馈操作失败的提示信息。
在匹配成功时,执行步骤S103。
应当理解的是,步骤S101-102用于实现对于授权用户的判定,同时,为了提高服务器的运行速度和降低误操作机率,也可在进行数据的写入和读取操作之前,对服务器所支持的各USB传输协议进行预先检测,以节省服务器的计算量。
步骤S103:将所述预设USB传输协议与各预设支持协议进行匹配;
可以理解的是,在对所述第一USB协议指令进行解析之前,也可先进行协议检查,以判断服务器是否支持所述预设USB传输协议。所述协议检查可通过读取服务器的配置信息,所述配置信息描述了服务器所支持的USB传输协议即预设支持协议,将所述预设USB传输协议与各预设支持协议进行匹配,即可判断服务器是否支持封装当前指令的USB传输协议。
在匹配成功时,执行步骤S20。
在具体实现中,在匹配成功时,即可执行步骤S20,说明服务器可对所述预设USB传输协议封装的第一USB协议指令进行解析;在匹配不成功时,停止后续操作或者向用户终端发送操作失败的展示信息,因为服务器的当前运行环境无法支持预设USB传输协议。通过在执行步骤S20之前先进行协议检查,可以较好地提高服务器的运行效率。
本实施例对于步骤S101-102实现的授权用户判定过程与步骤S103实现的支持协议匹配过程二者的发生顺序不作限制。
本实施例中通过预先设置预设授权用户标识,可以较好地管理用户读取和写入数据的资格,提高数据的保密性;并且,通过引入事先对于服务器可支持USB传输协议的判定,也可降低无效的数据计算量,提高设备的运行效率。
参照图5,图5为本发明基于虚拟桌面的防泄密方法第四实施例的流程示意图,基于上述图2所示的实施例,提出本发明基于虚拟桌面的防泄密方法的第四实施例。
在第三实施例中,所述步骤S10之前,所述方法还包括:
步骤S101′:所述服务器接收所述用户终端发送的第二USB协议指令和第二明文数据,所述第二USB协议指令由所述用户终端将用户输入的USB写操作通过所述预设USB传输协议进行封装获得;
可以理解的是,当在处于VDI架构下的用户终端上***USB存储设备时,为了向USB存储设备中写入数据,用户可在用户终端上进行数据写入操作,比如,向USB存储设备中添加数据,可为复制用户终端上的数据,将该数据粘贴入USB存储设备中,如此即可生成一个USB写操作,所述USB写操作用于向USB存储设备中写入数据。在VDI架构下,所述用户终端将把用户输入的USB写操作通过所述预设USB传输协议进行封装获得第二USB协议指令,而所述第二USB协议指令将发送至所述服务器,以使所述服务器执行写入操作的业务。
在具体实现中,在所述服务器接收所述用户终端发送的第二USB协议指令和第二明文数据时,其中,所述第二明文数据用于写入USB存储设备的数据,所述第二明文数据可事先保存于所述服务器本地,也可从所述用户终端中获得。
步骤S102′:对所述第二USB协议指令进行解析,获得所述USB写操作;
应当理解的是,服务器在获取第二USB协议指令后,将通过预设USB传输协议对该协议指令进行解析,以获取第二USB协议指令中的USB写操作。
步骤S103′:根据预设密钥对所述第二明文数据进行加密,获得加密后的第二目标数据;
可以理解的是,为了实现防泄密的效果,所述USB存储设备中读取和写入的数据都将为加密后的数据,故将根据预设密钥对所述第二明文数据进行加密,以获得加密后的第二目标数据。
步骤S104:将所述USB写操作和所述第二目标数据发送至用户终端,以使所述用户终端根据所述USB写操作在USB存储设备中写入所述第二目标数据。
在具体实现中,在获取到所述USB写操作和加密后的第二目标数据后,将所述USB写操作和所述第二目标数据发送至用户终端,即可将第二目标数据写入USB存储设备,也就实现了将数据加密写入USB存储设备。
所述步骤S40之前,所述方法还包括:
步骤S40′:生成预设密钥并保存至本地,以实现根据所述预设密钥对所述第一目标数据进行解密。
可以理解的是,为了便于服务器进行加密解密操作,可提前生成预设密钥并将预设密钥保存于服务器本地,在获取到需要解密的目标数据或需要加密的明文数据时即可直接使用本地保存的密钥进行防泄密操作,可以有效地节省服务器的运算量,提高加密解密速度。
本实施例中通过在协议层对所述第二USB协议指令进行解析并完成第二明文数据的加密操作,比之在VM中安装加密插件实现外设数据的加密,较好地克服了与第三方软件的兼容性问题;并且,通过预先生成预设密钥,也可提高加密解密速率。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有基于虚拟桌面的防泄密程序,所述基于虚拟桌面的防泄密程序被处理器执行时实现如下操作:
服务器接收用户终端发送的第一USB协议指令,所述第一USB协议指令由所述用户终端将用户输入的USB读操作通过预设USB传输协议进行封装获得,所述用户终端通过虚拟桌面技术接入所述服务器;
对所述第一USB协议指令进行解析,获得所述USB读操作;
将所述USB读操作发送至用户终端,以使所述用户终端根据所述USB读操作从USB存储设备中读取并反馈第一目标数据至所述服务器,所述USB存储设备为与所述用户终端连接的存储设备;
根据预设密钥对所述第一目标数据进行解密,获得解密后的第一明文数据。
进一步地,所述基于虚拟桌面的防泄密程序被处理器执行时还实现如下操作:
在预设虚拟机模拟器下对所述第一USB协议指令进行解析,获得所述USB读操作。
进一步地,所述基于虚拟桌面的防泄密程序被处理器执行时还实现如下操作:
服务器接收用户终端发送的第一USB协议指令和分区表;
相应地,还实现如下操作:
根据所述分区表确定与所述USB读操作对应的数据地址,将所述数据地址发送至用户终端,以使所述用户终端从USB存储设备中读取与所述数据地址对应的第一目标数据,并将所述第一目标数据发送至所述服务器。
进一步地,所述基于虚拟桌面的防泄密程序被处理器执行时还实现如下操作:
服务器接收用户终端发送的第一USB协议指令和用户标识;
相应地,还实现如下操作:
将所述用户标识与各预设授权用户标识进行匹配;
在匹配成功时,执行所述对所述第一USB协议指令进行解析的步骤。
进一步地,所述基于虚拟桌面的防泄密程序被处理器执行时还实现如下操作:
将所述预设USB传输协议与各预设支持协议进行匹配;
在匹配成功时,执行所述对所述第一USB协议指令进行解析的步骤。
进一步地,所述基于虚拟桌面的防泄密程序被处理器执行时还实现如下操作:
所述服务器接收所述用户终端发送的第二USB协议指令和第二明文数据,所述第二USB协议指令由所述用户终端将用户输入的USB写操作通过所述预设USB传输协议进行封装获得;
对所述第二USB协议指令进行解析,获得所述USB写操作;
根据所述预设密钥对所述第二明文数据进行加密,获得加密后的第二目标数据;
将所述USB写操作和所述第二目标数据发送至所述用户终端,以使所述用户终端根据所述USB写操作在所述USB存储设备中写入所述第二目标数据。
进一步地,所述基于虚拟桌面的防泄密程序被处理器执行时还实现如下操作:
生成预设密钥并保存至本地,以实现根据所述预设密钥对所述第一目标数据进行解密。
本实施例中通过在协议层对所述第一USB协议指令进行解析并完成第一目标数据的解密操作,比之在VM中安装加密解密插件实现外设数据的加密解密,较好地克服了与第三方软件的兼容性问题,所以,克服了当前的VDI场景下存在的不能较好地保证对于外设数据的加密解密操作的兼容性的技术问题。
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。词语第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于虚拟桌面的防泄密方法,其特征在于,所述方法包括以下步骤:
服务器接收用户终端发送的第一USB协议指令,所述第一USB协议指令由所述用户终端将用户输入的USB读操作通过预设USB传输协议进行封装获得,所述用户终端通过虚拟桌面技术接入所述服务器;
对所述第一USB协议指令进行解析,获得所述USB读操作;
将所述USB读操作发送至用户终端,以使所述用户终端根据所述USB读操作从USB存储设备中读取并反馈第一目标数据至所述服务器,所述USB存储设备为与所述用户终端连接的存储设备;
根据预设密钥对所述第一目标数据进行解密,获得解密后的第一明文数据。
2.如权利要求1所述的方法,其特征在于,所述对所述第一USB协议指令进行解析,获得所述USB读操作,具体包括:
在预设虚拟机模拟器下对所述第一USB协议指令进行解析,获得所述USB读操作。
3.如权利要求1所述的方法,其特征在于,所述服务器接收用户终端发送的第一USB协议指令,具体包括:
服务器接收用户终端发送的第一USB协议指令和分区表;
相应地,所述将所述USB读操作发送至用户终端,以使所述用户终端根据所述USB读操作从USB存储设备中读取并反馈第一目标数据至所述服务器,具体包括:
根据所述分区表确定与所述USB读操作对应的数据地址,将所述数据地址发送至用户终端,以使所述用户终端从USB存储设备中读取与所述数据地址对应的第一目标数据,并将所述第一目标数据发送至所述服务器。
4.如权利要求1所述的方法,其特征在于,所述服务器接收用户终端发送的第一USB协议指令,具体包括:
服务器接收用户终端发送的第一USB协议指令和用户标识;
相应地,所述对所述第一USB协议指令进行解析,获得所述USB读操作之前,所述方法还包括:
将所述用户标识与各预设授权用户标识进行匹配;
在匹配成功时,执行所述对所述第一USB协议指令进行解析的步骤。
5.如权利要求1至4中的任一项所述的方法,其特征在于,所述对所述第一USB协议指令进行解析,获得所述USB读操作之前,所述方法还包括:
将所述预设USB传输协议与各预设支持协议进行匹配;
在匹配成功时,执行所述对所述第一USB协议指令进行解析的步骤。
6.如权利要求1至4中的任一项所述的方法,其特征在于,所述服务器接收用户终端发送的第一USB协议指令,所述第一USB协议指令由所述用户终端将用户输入的USB读操作通过预设USB传输协议进行封装获得之前,所述方法还包括:
所述服务器接收所述用户终端发送的第二USB协议指令和第二明文数据,所述第二USB协议指令由所述用户终端将用户输入的USB写操作通过所述预设USB传输协议进行封装获得;
对所述第二USB协议指令进行解析,获得所述USB写操作;
根据所述预设密钥对所述第二明文数据进行加密,获得加密后的第二目标数据;
将所述USB写操作和所述第二目标数据发送至所述用户终端,以使所述用户终端根据所述USB写操作在所述USB存储设备中写入所述第二目标数据。
7.如权利要求1至4中的任一所述的方法,其特征在于,所述根据预设密钥对所述第一目标数据进行解密,以获得解密后的第一明文数据之前,所述方法还包括:
生成预设密钥并保存至本地,以实现根据所述预设密钥对所述第一目标数据进行解密。
8.如权利要求1至4中的任一项所述的方法,其特征在于,所述预设USB传输协议包括BOT协议和USAP协议中的任一项。
9.一种服务器,其特征在于,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的基于虚拟桌面的防泄密程序,所述基于虚拟桌面的防泄密程序被所述处理器执行时实现如权利要求1至8中任一项所述的基于虚拟桌面的防泄密方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有基于虚拟桌面的防泄密程序,所述基于虚拟桌面的防泄密程序被处理器执行时实现如权利要求1至8中任一项所述的基于虚拟桌面的防泄密方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711161477.8A CN108021801B (zh) | 2017-11-20 | 2017-11-20 | 基于虚拟桌面的防泄密方法、服务器及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711161477.8A CN108021801B (zh) | 2017-11-20 | 2017-11-20 | 基于虚拟桌面的防泄密方法、服务器及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108021801A true CN108021801A (zh) | 2018-05-11 |
CN108021801B CN108021801B (zh) | 2021-07-06 |
Family
ID=62080794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711161477.8A Active CN108021801B (zh) | 2017-11-20 | 2017-11-20 | 基于虚拟桌面的防泄密方法、服务器及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108021801B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111158857A (zh) * | 2019-12-24 | 2020-05-15 | 深信服科技股份有限公司 | 数据加密方法、装置、设备及存储介质 |
US20220229914A1 (en) * | 2021-01-19 | 2022-07-21 | Assa Abloy Ab | Secure cloud processing |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080184218A1 (en) * | 2007-01-24 | 2008-07-31 | Kenneth Largman | Computer system architecture and method having isolated file system management for secure and reliable data processing |
CN101271424A (zh) * | 2007-03-19 | 2008-09-24 | 普天信息技术研究院 | 一种基于通用串行总线的缓存装置 |
CN101640702A (zh) * | 2009-08-27 | 2010-02-03 | 深圳华为通信技术有限公司 | 一种便携存储实现方法及装置 |
CN102831084A (zh) * | 2012-08-16 | 2012-12-19 | 刘伟 | 重新识别usb设备的控制器及控制方法 |
CN103020517A (zh) * | 2012-11-28 | 2013-04-03 | 福建伊时代信息科技股份有限公司 | Usb虚拟桌面设备的互访方法和*** |
CN103577771A (zh) * | 2013-11-08 | 2014-02-12 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于磁盘加密的虚拟桌面数据防泄漏保护技术 |
CN103701589A (zh) * | 2013-12-19 | 2014-04-02 | 福建星网锐捷网络有限公司 | 基于虚拟桌面***的信息传输方法、装置及相关设备 |
CN104539685A (zh) * | 2014-12-19 | 2015-04-22 | 华南理工大学 | 一种OpenStack云桌面的U盘识别***及方法 |
CN104993961A (zh) * | 2015-06-30 | 2015-10-21 | 广州华多网络科技有限公司 | 设备控制方法、装置和*** |
CN105183675A (zh) * | 2015-09-30 | 2015-12-23 | 华为技术有限公司 | 对usb设备的访问方法、装置、终端、服务器及*** |
CN105389520A (zh) * | 2015-11-11 | 2016-03-09 | 中国建设银行股份有限公司 | 一种数据访问控制方法和装置以及移动存储介质 |
US20160344745A1 (en) * | 2006-09-25 | 2016-11-24 | Weaved, Inc. | Method and protocol for secure device deployment using a partially-encrypted provisioning file |
-
2017
- 2017-11-20 CN CN201711161477.8A patent/CN108021801B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160344745A1 (en) * | 2006-09-25 | 2016-11-24 | Weaved, Inc. | Method and protocol for secure device deployment using a partially-encrypted provisioning file |
US20080184218A1 (en) * | 2007-01-24 | 2008-07-31 | Kenneth Largman | Computer system architecture and method having isolated file system management for secure and reliable data processing |
CN101271424A (zh) * | 2007-03-19 | 2008-09-24 | 普天信息技术研究院 | 一种基于通用串行总线的缓存装置 |
CN101640702A (zh) * | 2009-08-27 | 2010-02-03 | 深圳华为通信技术有限公司 | 一种便携存储实现方法及装置 |
CN102831084A (zh) * | 2012-08-16 | 2012-12-19 | 刘伟 | 重新识别usb设备的控制器及控制方法 |
CN103020517A (zh) * | 2012-11-28 | 2013-04-03 | 福建伊时代信息科技股份有限公司 | Usb虚拟桌面设备的互访方法和*** |
CN103577771A (zh) * | 2013-11-08 | 2014-02-12 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于磁盘加密的虚拟桌面数据防泄漏保护技术 |
CN103701589A (zh) * | 2013-12-19 | 2014-04-02 | 福建星网锐捷网络有限公司 | 基于虚拟桌面***的信息传输方法、装置及相关设备 |
CN104539685A (zh) * | 2014-12-19 | 2015-04-22 | 华南理工大学 | 一种OpenStack云桌面的U盘识别***及方法 |
CN104993961A (zh) * | 2015-06-30 | 2015-10-21 | 广州华多网络科技有限公司 | 设备控制方法、装置和*** |
CN105183675A (zh) * | 2015-09-30 | 2015-12-23 | 华为技术有限公司 | 对usb设备的访问方法、装置、终端、服务器及*** |
CN105389520A (zh) * | 2015-11-11 | 2016-03-09 | 中国建设银行股份有限公司 | 一种数据访问控制方法和装置以及移动存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111158857A (zh) * | 2019-12-24 | 2020-05-15 | 深信服科技股份有限公司 | 数据加密方法、装置、设备及存储介质 |
CN111158857B (zh) * | 2019-12-24 | 2024-05-24 | 深信服科技股份有限公司 | 数据加密方法、装置、设备及存储介质 |
US20220229914A1 (en) * | 2021-01-19 | 2022-07-21 | Assa Abloy Ab | Secure cloud processing |
Also Published As
Publication number | Publication date |
---|---|
CN108021801B (zh) | 2021-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102726027B (zh) | 虚拟机全盘加密下预启动时的密钥传输方法和设备 | |
US7987497B1 (en) | Systems and methods for data encryption using plugins within virtual systems and subsystems | |
US8977842B1 (en) | Hypervisor enabled secure inter-container communications | |
KR101575709B1 (ko) | 플랫폼들에 걸친 애플리케이션 사용 연속체 | |
CN101587524B (zh) | 一种基于虚拟***的数据存储设备加密方法 | |
CN111143869B (zh) | 应用程序包处理方法、装置、电子设备及存储介质 | |
US8156331B2 (en) | Information transfer | |
US10372628B2 (en) | Cross-domain security in cryptographically partitioned cloud | |
CN109635581A (zh) | 一种数据处理方法、设备、***及存储介质 | |
CN107689943B (zh) | 一种数据加密的方法、用户终端、服务器及*** | |
CN105446713A (zh) | 安全存储方法及设备 | |
CN103593246A (zh) | 虚拟机和宿主机之间的通信方法、宿主机和虚拟机*** | |
JP2011048661A (ja) | 仮想サーバ暗号化システム | |
CN107943556A (zh) | 基于kmip和加密卡的虚拟化数据安全方法 | |
CN111193725B (zh) | 一种基于配置的联合登录方法、装置和计算机设备 | |
CN114930328A (zh) | 将安全模块的安全对象绑定到安全访客 | |
CN110334531B (zh) | 虚拟机密钥的管理方法、主节点、***、存储介质及装置 | |
CN107528830A (zh) | 账号登陆方法、***及存储介质 | |
CN106682521B (zh) | 基于驱动层的文件透明加解密***及方法 | |
CN110569651A (zh) | 基于国产操作***的文件透明加解密方法及*** | |
EP4332810A1 (en) | Method for realizing virtualized trusted platform module, and secure processor and storage medium | |
CN111158857B (zh) | 数据加密方法、装置、设备及存储介质 | |
CN109376119B (zh) | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 | |
CN108021801A (zh) | 基于虚拟桌面的防泄密方法、服务器及存储介质 | |
US8972745B2 (en) | Secure data handling in a computer system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |