本發(fā)明涉及云計算，更具體的說是涉及一種跨網(wǎng)遠(yuǎn)程桌面訪問的中繼控制系統(tǒng)、方法及裝置。

背景技術(shù)：

1、隨著信息化進程加速，單位對網(wǎng)絡(luò)數(shù)據(jù)安全與便捷性要求俱增。工作內(nèi)網(wǎng)需訪互聯(lián)網(wǎng)，常借vpn技術(shù)搭橋，構(gòu)建安全私密通道，模擬局域網(wǎng)環(huán)境，保護數(shù)據(jù)免遭竊聽與篡改。vpn采用隧道加密，能夠保護數(shù)據(jù)的隱私性和完整性，防止中間人攻擊和監(jiān)聽。

2、通過配置vpn連接，內(nèi)網(wǎng)用戶輕松訪問互聯(lián)網(wǎng)資源，并進行文件傳輸、遠(yuǎn)程操作。除vpn外，遠(yuǎn)程桌面、http、ftp/sftp等協(xié)議也可實現(xiàn)遠(yuǎn)程操作，用戶可自由上傳下載文件。特別是rdp、vnc技術(shù)，結(jié)合vpn，可以實現(xiàn)遠(yuǎn)程桌面連接互聯(lián)網(wǎng)或工作內(nèi)網(wǎng)的計算機，并在遠(yuǎn)程桌面會話中復(fù)制文件到此計算機上。這些方法都為跨網(wǎng)絡(luò)的遠(yuǎn)程桌面連接提供了可行的解決方案。

3、但是，基于vpn以及基于vpn的遠(yuǎn)程桌面技術(shù)方案的潛在問題在于網(wǎng)絡(luò)層、物理鏈路層是連通的，可以雙向傳輸數(shù)據(jù)且無任何管控。假如工作內(nèi)網(wǎng)向互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)時，數(shù)據(jù)中包含了不應(yīng)外發(fā)的工作秘密數(shù)據(jù)，需要借助額外的技術(shù)手段進行數(shù)據(jù)檢測并阻斷，方可實現(xiàn)外發(fā)數(shù)據(jù)的管控，增加了終端計算機的資源開銷，并且容易存在繞過檢測的漏洞風(fēng)險。

技術(shù)實現(xiàn)思路

1、針對現(xiàn)有技術(shù)中存在的問題，本發(fā)明的目的在于提供一種跨網(wǎng)遠(yuǎn)程桌面訪問的中繼控制系統(tǒng)、方法及裝置，實現(xiàn)了物理隔離網(wǎng)絡(luò)的高安全等級網(wǎng)絡(luò)訪問低安全等級網(wǎng)絡(luò)的遠(yuǎn)程桌面服務(wù)，能夠?qū)M出網(wǎng)絡(luò)的數(shù)據(jù)進行嚴(yán)格的數(shù)據(jù)格式和內(nèi)容檢查，可以有效防止非法數(shù)據(jù)的傳輸。

2、本發(fā)明為實現(xiàn)上述目的，通過以下技術(shù)方案實現(xiàn)：

3、一種跨網(wǎng)遠(yuǎn)程桌面訪問的中繼控制系統(tǒng)，包括：設(shè)置在高安全等級網(wǎng)絡(luò)中的云桌面客戶端和云桌面代理服務(wù)端、設(shè)置在低安全等級網(wǎng)絡(luò)中的云桌面代理客戶端和云桌面服務(wù)端，以及單向?qū)С瞿K和單向?qū)肽K；

4、云桌面代理服務(wù)端分別與云桌面客戶端、單向?qū)С瞿K和單向?qū)肽K數(shù)據(jù)連接，云桌面代理客戶端分別與云桌面服務(wù)端、單向?qū)С瞿K和單向?qū)肽K數(shù)據(jù)連接；

5、云桌面客戶端，用于和云桌面代理服務(wù)端進行認(rèn)證和通信，將云桌面控制數(shù)據(jù)和鍵鼠數(shù)據(jù)發(fā)送給云桌面代理服務(wù)端，并接收來自云桌面代理服務(wù)端返回的云桌面控制數(shù)據(jù)和圖像數(shù)據(jù)；

6、云桌面代理服務(wù)端，用于提取云桌面控制數(shù)據(jù)和鍵鼠數(shù)據(jù)，進行過濾和封裝處理后發(fā)送至單向?qū)С瞿K；還用于接收單向?qū)肽K發(fā)送的封裝數(shù)據(jù)，進行解封處理后發(fā)送給云桌面客戶端；

7、單向?qū)С瞿K，用于接收云桌面代理服務(wù)端發(fā)送的封裝數(shù)據(jù)，經(jīng)過檢測后將其中的云桌面控制數(shù)據(jù)和鍵鼠數(shù)據(jù)發(fā)送至云桌面代理客戶端；

8、單向?qū)肽K，用于接收云桌面代理客戶端發(fā)送的封裝數(shù)據(jù)，經(jīng)過檢測后將其中的云桌面控制數(shù)據(jù)和圖像數(shù)據(jù)發(fā)送至云桌面代理服務(wù)端；

9、云桌面代理客戶端，用于接收單向?qū)С瞿K發(fā)送的云桌面控制數(shù)據(jù)和鍵鼠數(shù)據(jù)，將其封裝為遠(yuǎn)程協(xié)議數(shù)據(jù)發(fā)送至云桌面服務(wù)端，并接收云桌面服務(wù)端發(fā)送的云桌面控制數(shù)據(jù)的圖像數(shù)據(jù)，進行過濾和封裝處理后發(fā)送至單向?qū)肽K；

10、云桌面服務(wù)端，用于接收云桌面代理客戶端發(fā)送的云桌面控制數(shù)據(jù)和鍵鼠數(shù)據(jù)，生成云桌面控制數(shù)據(jù)和圖像數(shù)據(jù)返回給云桌面代理客戶端。

11、進一步，所述云桌面客戶端中內(nèi)置有遠(yuǎn)程訪問云桌面的工具，所述遠(yuǎn)程訪問云桌面的工具支持rdp、vnc或spice協(xié)議。

12、進一步，所述云桌面代理客戶端，具體用于：

13、接收云桌面服務(wù)端發(fā)送的云桌面控制數(shù)據(jù)和圖像數(shù)據(jù)，對其進行應(yīng)用層數(shù)據(jù)提取，對控制數(shù)據(jù)進行遠(yuǎn)程協(xié)議能力裁剪，對圖像數(shù)據(jù)進行清洗或轉(zhuǎn)碼處理，進行封裝后發(fā)送至單向?qū)肽K。

14、相應(yīng)的，本發(fā)明還公開了一種跨網(wǎng)遠(yuǎn)程桌面訪問的中繼控制方法，包括：

15、通過執(zhí)行云桌面接入認(rèn)證流程進行云桌面客戶端與云桌面服務(wù)端之間的多重認(rèn)證、協(xié)議轉(zhuǎn)換和安全性檢查，以建立雙向通信；

16、通過執(zhí)行云桌面交互操作流程將云桌面客戶端的云桌面鍵鼠數(shù)據(jù)傳輸至與云桌面服務(wù)端，并將云桌面服務(wù)端生成的云桌面圖像數(shù)據(jù)返回至云桌面客戶端。

17、進一步，云桌面接入認(rèn)證流程包括如下步驟：

18、s101：通過云桌面客戶端向云桌面代理服務(wù)端發(fā)起本地接入認(rèn)證請求；

19、s102：通過云桌面代理服務(wù)端進行本地接入認(rèn)證，認(rèn)證通過后接收云桌面客戶端發(fā)送的云桌面接入認(rèn)證協(xié)議；

20、s103：通過云桌面代理服務(wù)端處理云桌面接入認(rèn)證協(xié)議，提取其應(yīng)用層數(shù)據(jù)，過濾夾帶數(shù)據(jù)，并轉(zhuǎn)碼封裝為可導(dǎo)出格式后，生成封裝協(xié)議數(shù)據(jù)發(fā)送給單向?qū)С瞿K；

21、s104：單向?qū)С瞿K通過內(nèi)置的fpga進行封裝協(xié)議數(shù)據(jù)的格式和內(nèi)容合法性檢查，檢查通過后發(fā)送給云桌面代理客戶端；

22、s105：云桌面代理客戶端將封裝協(xié)議數(shù)據(jù)解封為封裝為云桌面接入認(rèn)證協(xié)議，并封裝為云桌面遠(yuǎn)程協(xié)議后發(fā)送給云桌面服務(wù)端；

23、s106：云桌面服務(wù)端根據(jù)云桌面遠(yuǎn)程協(xié)議進行接入認(rèn)證，返回接入認(rèn)證響應(yīng)數(shù)據(jù)；

24、s107：云桌面代理客戶端將接入認(rèn)證響應(yīng)數(shù)據(jù)封裝為可導(dǎo)入格式，生成封裝響應(yīng)數(shù)據(jù)發(fā)送給單向?qū)肽K；

25、s108：單向?qū)肽K通過內(nèi)置的fpga進行封裝返回數(shù)據(jù)的格式和內(nèi)容合法性檢查，檢查通過后發(fā)送給云桌面代理服務(wù)端；

26、s109：云桌面代理服務(wù)端將封裝返回數(shù)據(jù)還原為接入認(rèn)證響應(yīng)數(shù)據(jù)，并發(fā)送給云桌面客戶端；

27、s110：云桌面客戶端接收并處理返回的接入認(rèn)證響應(yīng)數(shù)據(jù)。

28、進一步，步驟s104具體為：

29、單向?qū)С瞿K的發(fā)送端將接收的封裝協(xié)議數(shù)據(jù)交由內(nèi)置隔離傳輸卡的fpga對數(shù)據(jù)格式和內(nèi)容進行合法性檢查；

30、如果檢查失敗，直接將數(shù)據(jù)丟棄；

31、如果檢測成功，通過隔離傳輸卡將封裝協(xié)議數(shù)據(jù)發(fā)送給單向?qū)С瞿K的接收端；

32、單向?qū)С瞿K的接收端將封裝數(shù)據(jù)轉(zhuǎn)發(fā)給云桌面代理客戶端。

33、進一步，云桌面交互操作流程包括如下步驟：

34、s201：通過云桌面客戶端向云桌面代理服務(wù)端發(fā)起本地接入認(rèn)證和云桌面接入認(rèn)證，認(rèn)證通過后向云桌面代理服務(wù)端發(fā)送云桌面鍵鼠操作數(shù)據(jù)；

35、s202：通過云桌面代理服務(wù)端處理云桌面鍵鼠操作數(shù)據(jù)，提取其應(yīng)用層數(shù)據(jù)，過濾夾帶數(shù)據(jù)，轉(zhuǎn)碼封裝為可導(dǎo)出格式后，生成第一封裝數(shù)據(jù)發(fā)送給單向?qū)С瞿K；

36、s203：單向?qū)С瞿K通過內(nèi)置的fpga進行第一封裝數(shù)據(jù)的格式和內(nèi)容合法性檢查，檢查通過后發(fā)送給云桌面代理客戶端；

37、s204：云桌面代理客戶端將第一封裝數(shù)據(jù)解封為封裝為云桌面鍵鼠操作數(shù)據(jù)，并封裝為相應(yīng)的云桌面遠(yuǎn)程協(xié)議數(shù)據(jù)后發(fā)送給云桌面服務(wù)端；

38、s205：云桌面服務(wù)端接收云桌面遠(yuǎn)程協(xié)議數(shù)據(jù)，進行處理后返回云桌面圖像數(shù)據(jù)；

39、s206：云桌面代理客戶端將云桌面圖像數(shù)據(jù)封裝為可導(dǎo)入格式，生成第二封裝數(shù)據(jù)發(fā)送給單向?qū)肽K；

40、s207：單向?qū)肽K通過內(nèi)置的fpga進行第二封裝數(shù)據(jù)的格式和內(nèi)容合法性檢查，檢查通過后發(fā)送給云桌面代理服務(wù)端；

41、s208：云桌面代理服務(wù)端將第二封裝數(shù)據(jù)還原為云桌面圖像數(shù)據(jù)，并發(fā)送給云桌面客戶端；

42、s209：云桌面客戶端接收云桌面圖像數(shù)據(jù)，將云桌面圖像數(shù)據(jù)渲染為可識別的圖像。

43、相應(yīng)的，本發(fā)明還公開了一種跨網(wǎng)遠(yuǎn)程桌面訪問的中繼控制裝置，包括：

44、存儲器，用于存儲計算機程序；

45、處理器，用于執(zhí)行所述計算機程序時實現(xiàn)如上文任一項所述的跨網(wǎng)遠(yuǎn)程桌面訪問的中繼控制方法步驟。

46、對比現(xiàn)有技術(shù)，本發(fā)明有益效果在于：本發(fā)明提供了一種跨網(wǎng)遠(yuǎn)程桌面訪問的中繼控制系統(tǒng)、方法及裝置，采用兩臺單導(dǎo)系統(tǒng)實現(xiàn)一進一出，并利用硬件分別控制不同的數(shù)據(jù)類型進出網(wǎng)絡(luò)，實現(xiàn)了物理隔離網(wǎng)絡(luò)的高安全等級網(wǎng)絡(luò)訪問低安全等級網(wǎng)絡(luò)的遠(yuǎn)程桌面服務(wù)，對進出網(wǎng)絡(luò)的數(shù)據(jù)進行嚴(yán)格的數(shù)據(jù)格式和內(nèi)容檢查，并采用白名單機制過濾數(shù)據(jù)，可以有效防止非法數(shù)據(jù)的傳輸。

47、本發(fā)明利用不可旁路的隔離傳輸卡的硬件級fpga可編程能力，控制傳輸?shù)臄?shù)據(jù)格式和內(nèi)容，可防止非法篡改軟件導(dǎo)致數(shù)據(jù)檢查失效。

48、本發(fā)明通過采用單導(dǎo)系統(tǒng)連接兩個網(wǎng)絡(luò)，實現(xiàn)兩個網(wǎng)絡(luò)的物理隔離，降低網(wǎng)絡(luò)層面的攻擊或穿透的風(fēng)險。

49、本發(fā)明通過采用提取應(yīng)用層數(shù)據(jù)，剝離4層及以下的網(wǎng)絡(luò)協(xié)議，防范了4層及以下的網(wǎng)絡(luò)攻擊風(fēng)險。

50、本發(fā)明通過視頻清洗或轉(zhuǎn)碼，有效降低通過圖像數(shù)據(jù)夾帶危害數(shù)據(jù)進入內(nèi)網(wǎng)的風(fēng)險。

51、由此可見，本發(fā)明與現(xiàn)有技術(shù)相比，具有突出的實質(zhì)性特點和顯著的進步，其實施的有益效果也是顯而易見的。