一種云桌面的網絡訪問控制方法
【專利摘要】本發(fā)明公開一種云桌面的網絡訪問控制方法,包括：在網絡訪問策略庫模塊進行網絡訪問策略的設置，網絡訪問策略庫模塊在云桌面管理系統(tǒng)內構建，網絡訪問策略庫模塊存儲網絡訪問策略；云桌面管理系統(tǒng)將網絡訪問策略通過局域網或互聯(lián)網發(fā)送到目標云桌面；目標云桌面安裝有網絡訪問控制代理軟件，網絡訪問控制代理軟件根據接收到的網絡訪問策略，對目標云桌面的路由表進行配置。本發(fā)明的方法適用于云桌面的網絡訪問控制，具有靈活、高效的優(yōu)點。
【專利說明】—種云桌面的網絡訪問控制方法

【技術領域】
[0001]本發(fā)明涉及云計算安全領域，更具體地，涉及一種云桌面的網絡訪問控制方法。

【背景技術】
[0002]本發(fā)明中，“云桌面”是指在數據中心通過虛擬化技術生成虛擬計算機運行操作系統(tǒng)和應用軟件等，并通過遠程控制協(xié)議將云端資源發(fā)布給各個操作終端的用戶界面?！霸谱烂婺０濉笔翘摂M計算機所運行的操作系統(tǒng)及其集合的軟件、應用等整體環(huán)境，類比于傳統(tǒng)計算機安裝操作系統(tǒng)所使用的系統(tǒng)安裝光盤。
[0003]在傳統(tǒng)計算機使用中，計算機嘗試連接網絡或在網絡上通信時，由于部分特定需求，我們會采取通過監(jiān)視計算機的網絡內容，來對計算機的網絡進行訪問控制。訪問控制策略按實施的對象分為兩類:一類針對訪問目標和內容的控制，另一類針對訪問者/機器的角色。針對訪問目標和內容的控制的實現方法一般是對計算機訪問的目標地址進行評估，放行規(guī)則允許的訪問，屏蔽規(guī)則不允許的網絡訪問。目前，有兩種較為流行的針對訪問目標的網絡訪問控制方法:防火墻和修改靜態(tài)路由表。
[0004]防火墻是一種位于內部網絡與外部網絡之間的網絡安全系統(tǒng)，是目前主流的網絡訪問控制方案。防火墻有多種存在形式。然而，防火墻在應用過程中，存在著以下問題:軟件防火墻的設置較為復雜，無法批量修改，靈活性不夠，管理難度較大；大部分防火墻需要借助硬件，且無法實現以個體計算機為單位的網絡訪問控制，只能實現批量計算機的網絡訪問控制。
[0005]修改路由器的靜態(tài)路由表，也可以達到網絡訪問控制的目的。但這種辦法也存在一些弊端:靜態(tài)路由表需要手工維護，維護難度大；路由器也如硬件防火墻一樣，不能實現以個體計算機為單位的網絡訪問控制。
[0006]針對訪問者角色的網絡控制，目前的實現主要通過網絡準入和使用控制(NetworkAccess Control)來實現。訪問者本人通過訪問機器界面，出示身份認證。NAC管理系統(tǒng)根據用戶身份決定設備網絡權限。NAC系統(tǒng)一般和防火墻等一起使用。
[0007]但是，通過NAC實現的網絡管理策略必須事先確定使用者身份和權限，靈活性不夠。不能根據使用者使用的設備和工作需求，調整網絡策略。比如一名C1的權限很高，但是如果該C1只是通過一個營業(yè)廳瀏覽器提取一般信息，系統(tǒng)本來沒有必要開放所有的網絡權限。


【發(fā)明內容】

[0008]本發(fā)明為克服上述現有技術所述的至少一種缺陷(不足)，提供一種靈活、高效的云桌面的網絡訪問控制方法。
[0009]為解決上述技術問題，本發(fā)明的技術方案如下:
一種云桌面的網絡訪問控制方法，包括:
S1:在網絡訪問策略庫模塊進行網絡訪問策略的設置，網絡訪問策略庫模塊在云桌面管理系統(tǒng)內構建，網絡訪問策略庫模塊存儲網絡訪問策略；
52:云桌面管理系統(tǒng)將網絡訪問策略通過局域網或互聯(lián)網發(fā)送到目標云桌面；
53:目標云桌面安裝有網絡訪問控制代理軟件，網絡訪問控制代理軟件根據接收到的網絡訪問策略，對目標云桌面的路由表進行配置。
[0010]在一種優(yōu)選的方案中，步驟SI中，所述在網絡訪問策略庫模塊進行網絡訪問策略的設置，包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略。
[0011]在一種優(yōu)選的方案中，步驟SI中，所述網絡訪問策略的設置包括:
1)結合云桌面模板，預先確定云桌面實例的角色，并以此為基礎配置由此模板創(chuàng)建的云桌面的網絡訪問策略；
2)管理員手動設置網絡訪問策略并關聯(lián)到相關的云桌面列表進行網絡訪問控制。
[0012]在一種優(yōu)選的方案中，所述網絡訪問策略包括白名單或黑名單，白名單為允許訪問的網絡對象地址列表，黑名單為不允許訪問的網絡對象地址列表，一個網絡訪問策略不能同時包含白名單和黑名單，只能全由相同屬性名單組成；白名單、黑名單定義的訪問網絡對象按照IP地址范圍進行設定，或者按照單個IP地址或域名進行設定。
[0013]在一種優(yōu)選的方案中，如果白或黑名單中包含了域名，則云桌面管理系統(tǒng)自動通過DNS查詢，將域名轉換成為IP地址。
[0014]在一種優(yōu)選的方案中，步驟S3中，云桌面接收到網絡訪問策略后，網絡訪問控制代理軟件調用云桌面的路由表配置指令，根據網絡訪問策略對云桌面的路由表進行配置，并返回路由表配置的操作結果。
[0015]在一種優(yōu)選的方案中，所述的網絡訪問控制代理軟件在云桌面系統(tǒng)內自啟動。
[0016]在一種優(yōu)選的方案中，一個云桌面可以對應一個網絡訪問策略，或者對應多個組成名單屬性皆相同的網絡訪問策略。
[0017]在一種優(yōu)選的方案中，一個云桌面對應一個網絡訪問策略，或者對應多個組成名單屬性皆相同的網絡訪問策略，云桌面管理系統(tǒng)自動完成網絡訪問策略的疊加，并發(fā)送疊加后的網絡訪問策略到目標云桌面。
[0018]在一種優(yōu)選的方案中，所述目標云桌面為單個云桌面或者批量云桌面。
[0019]與現有技術相比，本發(fā)明技術方案的有益效果是:
1、本發(fā)明云桌面的網絡訪問控制方法利用云桌面管理系統(tǒng)和云桌面內的網絡訪問控制代理的交互通信，把網絡訪問控制策略傳遞到目標云桌面，根據網絡訪問控制策略修改目標云桌面的路由表來完成網絡訪問控制，摒棄了外置硬件網絡控制設備，降低了網絡訪問控制成本，并將網絡訪問控制單位降到了以個體云桌面為單位，同時，提高了云桌面網絡訪問控制管理的靈活性，降低了網絡訪問控制管理難度；
2、本發(fā)明云桌面的網絡訪問控制方法，對網絡訪問策略的設置包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略，選用或者修改已有的網絡訪問策略能夠減少管理員工作量，從而提高網絡訪問控制的效率；
3、本發(fā)明云桌面的網絡訪問控制方法，能夠對批量的目標云桌面進行網絡訪問控制，而且云桌面管理系統(tǒng)能夠自動通過DNS查詢，將域名轉換成為IP地址，大大減少了云桌面網絡訪問控制的部署時間、提高了效率。

【專利附圖】

【附圖說明】
[0020]圖1為本發(fā)明的功能框架圖。
[0021]圖2為本發(fā)明云桌面的網絡訪問控制方法的流程圖。

【具體實施方式】
[0022]附圖僅用于示例性說明，不能理解為對本專利的限制；
為了更好說明本實施例，附圖某些部件會有省略、放大或縮小，并不代表實際產品的尺寸；
對于本領域技術人員來說，附圖中某些公知結構及其說明可能省略是可以理解的。
[0023]下面結合附圖和實施例對本發(fā)明的技術方案做進一步的說明。
[0024]實施例1
如圖1、圖2所示，一種云桌面的網絡訪問控制方法，包括:
51:在網絡訪問策略庫模塊進行網絡訪問策略的設置，網絡訪問策略庫模塊在云桌面管理系統(tǒng)內構建，網絡訪問策略庫模塊存儲網絡訪問策略；
52:云桌面管理系統(tǒng)將網絡訪問策略通過局域網或互聯(lián)網發(fā)送到目標云桌面；
53:目標云桌面安裝有網絡訪問控制代理軟件，網絡訪問控制代理軟件根據接收到的網絡訪問策略，對目標云桌面的路由表進行配置。
[0025]在具體實施過程中，步驟SI中，所述在網絡訪問策略庫模塊進行網絡訪問策略的設置，包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略。
[0026]在具體實施過程中，步驟SI中，所述網絡訪問策略的設置包括:
1)結合云桌面模板，預先確定云桌面實例的角色，并以此為基礎配置由此模板創(chuàng)建的云桌面的網絡訪問策略；
2)管理員手動設置網絡訪問策略并關聯(lián)到相關的云桌面列表進行網絡訪問控制。
[0027]在具體實施過程中，所述網絡訪問策略包括白名單或黑名單，白名單為允許訪問的網絡對象地址列表，黑名單為不允許訪問的網絡對象地址列表，一個網絡訪問策略不能同時包含白名單和黑名單，只能全由相同屬性名單組成；白名單、黑名單定義的訪問網絡對象按照IP地址范圍進行設定，或者按照單個IP地址或域名進行設定。
[0028]在具體實施過程中，如果白或黑名單中包含了域名，則云桌面管理系統(tǒng)自動通過DNS查詢，將域名轉換成為IP地址。
[0029]在具體實施過程中，步驟S3中，云桌面接收到網絡訪問策略后，網絡訪問控制代理軟件調用云桌面的路由表配置指令，根據網絡訪問策略對云桌面的路由表進行配置，并返回路由表配置的操作結果。
[0030]在具體實施過程中，所述的網絡訪問控制代理軟件在云桌面系統(tǒng)內自啟動。
[0031]在具體實施過程中，一個云桌面可以對應一個網絡訪問策略，或者對應多個組成名單屬性皆相同的網絡訪問策略。
[0032]在具體實施過程中，一個云桌面對應一個網絡訪問策略，或者對應多個組成名單屬性皆相同的網絡訪問策略，云桌面管理系統(tǒng)自動完成網絡訪問策略的疊加，并發(fā)送疊加后的網絡訪問策略到目標云桌面。
[0033]在具體實施過程中，所述目標云桌面為單個云桌面或者批量云桌面。
[0034]本發(fā)明云桌面的網絡訪問控制方法利用云桌面管理系統(tǒng)和云桌面內的網絡訪問控制代理的交互通信，把網絡訪問控制策略傳遞到目標云桌面，根據網絡訪問控制策略修改目標云桌面的路由表來完成網絡訪問控制，摒棄了外置硬件網絡控制設備，降低了網絡訪問控制成本，并將網絡訪問控制單位降到了以個體云桌面為單位，同時，提高了云桌面網絡訪問控制管理的靈活性，降低了網絡訪問控制管理難度；
本發(fā)明云桌面的網絡訪問控制方法，對網絡訪問策略的設置包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略，選用或者修改已有的網絡訪問策略能夠減少管理員工作量，從而提高網絡訪問控制的效率；
本發(fā)明云桌面的網絡訪問控制方法，能夠對批量的目標云桌面進行網絡訪問控制，而且云桌面管理系統(tǒng)能夠自動通過DNS查詢，將域名轉換成為IP地址，大大減少了云桌面網絡訪問控制的部署時間、提高了效率。
[0035]相同或相似的標號對應相同或相似的部件；
附圖中描述位置關系的用語僅用于示例性說明，不能理解為對本專利的限制；
顯然，本發(fā)明的上述實施例僅僅是為清楚地說明本發(fā)明所作的舉例，而并非是對本發(fā)明的實施方式的限定。對于所屬領域的普通技術人員來說，在上述說明的基礎上還可以做出其它不同形式的變化或變動。這里無需也無法對所有的實施方式予以窮舉。凡在本發(fā)明的精神和原則之內所作的任何修改、等同替換和改進等，均應包含在本發(fā)明權利要求的保護范圍之內。
【權利要求】
1.一種云桌面的網絡訪問控制方法，其特征在于，包括: S1:在網絡訪問策略庫模塊進行網絡訪問策略的設置，網絡訪問策略庫模塊在云桌面管理系統(tǒng)內構建，網絡訪問策略庫模塊存儲網絡訪問策略； 52:云桌面管理系統(tǒng)將網絡訪問策略通過局域網或互聯(lián)網發(fā)送到目標云桌面； 53:目標云桌面安裝有網絡訪問控制代理軟件，網絡訪問控制代理軟件根據接收到的網絡訪問策略，對目標云桌面的路由表進行配置。
2.根據權利要求1所述的云桌面的網絡訪問控制方法，其特征在于，步驟SI中所述，在網絡訪問策略庫模塊進行網絡訪問策略的設置，包括:選用已有網絡訪問策略、修改已有網絡訪問策略、新建網絡訪問策略。
3.根據權利要求1所述的云桌面的網絡訪問控制方法，其特征在于，步驟SI中，所述網絡訪問策略的設置包括: 1)結合云桌面模板，預先確定云桌面實例的角色，并以此為基礎配置由此模板創(chuàng)建的云桌面的網絡訪問策略； 2)管理員手動設置網絡訪問策略并關聯(lián)到相關的云桌面列表進行網絡訪問控制。
4.根據權利要求1所述的云桌面的網絡訪問控制方法，其特征在于，所述網絡訪問策略包括白名單或黑名單，白名單為允許訪問的網絡對象地址列表，黑名單為不允許訪問的網絡對象地址列表，一個網絡訪問策略不能同時包括白名單和黑名單。
5.根據權利要求5所述的云桌面的網絡訪問控制方法，其特征在于，如果白或黑名單中包含了域名，則云桌面管理系統(tǒng)自動通過DNS查詢，將域名轉換成為IP地址。
6.根據權利要求1所述的云桌面的網絡訪問控制方法，其特征在于，步驟S3中，云桌面接收到網絡訪問策略后，網絡訪問控制代理軟件調用云桌面的路由表配置指令，根據網絡訪問策略對云桌面的路由表進行配置，并返回路由表配置的操作結果。
7.根據權利要求6所述的云桌面的網絡訪問控制方法，其特征在于，所述的網絡訪問控制代理軟件在云桌面操作系統(tǒng)內自啟動。
8.根據權利要求1所述的云桌面的網絡訪問控制方法，其特征在于，一個云桌面可以對應一個網絡訪問策略，或者對應多個組成名單屬性皆相同的網絡訪問策略。
9.根據權利要求8所述的云桌面的網絡訪問控制方法，其特征在于，一個云桌面對應一個網絡訪問策略，或者對應多個組成名單屬性皆相同的網絡訪問策略，云桌面管理系統(tǒng)自動完成網絡訪問策略的疊加，并發(fā)送疊加后的網絡訪問策略到目標云桌面。
10.根據權利要求1所述的云桌面的網絡訪問控制方法，其特征在于，所述目標云桌面為單個云桌面或者批量云桌面。
【文檔編號】H04L29/08GK104283870SQ201410477270
【公開日】2015年1月14日 申請日期:2014年9月18日 優(yōu)先權日:2014年9月18日
【發(fā)明者】溫武少, 溫勁倫, 溫木奇, 秦景輝, 黃超, 梁紹祝 申請人:廣東順德中山大學卡內基梅隆大學國際聯(lián)合研究院