技術(shù)領(lǐng)域

?本發(fā)明屬于計算機(jī)技術(shù)領(lǐng)域，特別是操作系統(tǒng)中接入虛擬化桌面的多域切換系統(tǒng)及其多域切換方法。

背景技術(shù)

現(xiàn)有技術(shù)中，雙網(wǎng)隔離應(yīng)用通常使用三種應(yīng)用場景。其一，采用雙機(jī)一屏方式隔離內(nèi)外網(wǎng)絡(luò)。既將內(nèi)外網(wǎng)絡(luò)分別接入兩臺物理隔離的計算機(jī)，通過KVM線和KVM接換器與計算機(jī)連接，將鼠標(biāo)、鍵盤、顯示器接入KVM，實(shí)現(xiàn)切換。其中U盤和光驅(qū)可接在計算機(jī)上，也可以接在KVM的USB共享接口上，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。該方案存在的問題有，每增加一個網(wǎng)絡(luò)，每個用戶端需要增加1臺主機(jī)和若干連線，造成成本上揚(yáng)和維護(hù)不便，KVM線和網(wǎng)線如果被調(diào)整，不易發(fā)現(xiàn)，U盤等外設(shè)可以在不同網(wǎng)域間穿梭造成數(shù)據(jù)泄密，電磁輻射較大，在計算設(shè)備方面較大的浪費(fèi)電力，終端留存數(shù)據(jù)不符合涉密要求。

其二，采用雙網(wǎng)隔離機(jī)方式隔離內(nèi)外網(wǎng)絡(luò)。既在計算機(jī)中安裝多網(wǎng)口網(wǎng)卡，實(shí)現(xiàn)在網(wǎng)卡上分離出內(nèi)外密網(wǎng)。同時，根據(jù)網(wǎng)絡(luò)劃分的數(shù)量，在計算機(jī)中安裝多套組合，每套組合包括獨(dú)立的內(nèi)存和硬盤以及OS，組合間共享CPU處理器，在操作系統(tǒng)中安裝軟件，實(shí)現(xiàn)組合切換，從而達(dá)到網(wǎng)絡(luò)、內(nèi)存、硬盤和操作系統(tǒng)的內(nèi)外網(wǎng)隔離。該方案在計算設(shè)備電力方面仍然有較大的浪費(fèi)，同時無法控制通過U盤在終端進(jìn)行泄密，終端留存數(shù)據(jù)不符合涉密要求。

其三，采用虛擬化技術(shù)，在不同的網(wǎng)絡(luò)建立虛擬化系統(tǒng)，通過終端與虛擬化系統(tǒng)連接。通過服務(wù)端虛擬化操作系統(tǒng)的桌面，讓終端進(jìn)行遠(yuǎn)程桌面訪問，終端不留密，上傳鼠標(biāo)鍵盤I/O，下載視頻流。該方案在終端上沒有多網(wǎng)接入模塊，同時無法在終端實(shí)現(xiàn)多網(wǎng)切換，只有通過插拔不同網(wǎng)絡(luò)的網(wǎng)線到終端的唯一網(wǎng)口進(jìn)行網(wǎng)絡(luò)切換，應(yīng)用較麻煩。在數(shù)據(jù)泄密方面，雖然可以通過對遠(yuǎn)程桌面的只讀控制防止數(shù)據(jù)寫入，通過禁止U盤、驅(qū)動器掛接實(shí)現(xiàn)數(shù)據(jù)防泄密。但是，無法在允許掛接U盤設(shè)備時進(jìn)行讀寫控制，無法控制U盤數(shù)據(jù)寫入方向，造成用戶操作和使用的不便。

發(fā)明內(nèi)容

為了克服上述現(xiàn)有技術(shù)中存在的問題，本發(fā)明的目的是提供一種接入虛擬化桌面的多域切換系統(tǒng)及其多域切換方法。它能實(shí)現(xiàn)高性能的內(nèi)外網(wǎng)隔離，其在終端計算設(shè)備中不留密，方便用戶在內(nèi)外密網(wǎng)間的快速切換，并嚴(yán)格控制所接入設(shè)備的訪問權(quán)限防止泄密。

為了達(dá)到上述發(fā)明目的，本發(fā)明的技術(shù)方案以如下方式實(shí)現(xiàn)：

一種接入虛擬化桌面的多域切換系統(tǒng)，其結(jié)構(gòu)特點(diǎn)是，它包括依次連接的多域終端系統(tǒng)、多域切換開關(guān)、遠(yuǎn)程桌面身份認(rèn)證和遠(yuǎn)程桌面。所述多域切換開關(guān)包括依次連接的多域模塊、網(wǎng)絡(luò)認(rèn)證網(wǎng)卡接口、外設(shè)掛接控制、數(shù)據(jù)控制和登錄認(rèn)證控制。登錄認(rèn)證控制通過登錄遠(yuǎn)程桌面身份認(rèn)證訪問遠(yuǎn)程桌面。多域模塊通過三根網(wǎng)線分別連接網(wǎng)絡(luò)認(rèn)證網(wǎng)卡接口中的三個網(wǎng)卡接口網(wǎng)卡接口一、網(wǎng)卡接口二和網(wǎng)卡接口三。所述外設(shè)掛接控制包括外設(shè)掛接接口一、外設(shè)掛接接口二和外設(shè)掛接接口三。所述數(shù)據(jù)控制包括導(dǎo)出模塊和導(dǎo)入模塊。所述登錄認(rèn)證控制包括數(shù)量認(rèn)證模塊以及分別與數(shù)量認(rèn)證模塊連接的帳號密碼認(rèn)證模塊、智能卡認(rèn)證模塊。

在上述多域切換系統(tǒng)中，所述多域模塊根據(jù)網(wǎng)絡(luò)認(rèn)證網(wǎng)卡接口中網(wǎng)卡接口一、網(wǎng)卡接口二和網(wǎng)卡接口三處插入的網(wǎng)線性質(zhì)即時更新網(wǎng)卡接口一、網(wǎng)卡接口二和網(wǎng)卡接口三所連接網(wǎng)絡(luò)的定義，分別定義為外網(wǎng)、內(nèi)網(wǎng)和密網(wǎng)。

在上述多域切換系統(tǒng)中，所述網(wǎng)絡(luò)認(rèn)證網(wǎng)卡接口中的網(wǎng)卡接口一、網(wǎng)卡接口二和網(wǎng)卡接口三通過連接網(wǎng)絡(luò)獲得網(wǎng)絡(luò)中DHCP服務(wù)器自動分配的IP地址，或者對三個網(wǎng)卡接口指定固定IP地址，并將所分配到的地址記錄提交給多域模塊和外設(shè)掛接控制存儲。

在上述多域切換系統(tǒng)中，所述外設(shè)掛接接口一、外設(shè)掛接接口二和外設(shè)掛接接口三中掛接根據(jù)數(shù)據(jù)從屬和訪問的網(wǎng)絡(luò)判斷結(jié)果表明的該網(wǎng)絡(luò)和訪問可接入的硬件設(shè)備，根據(jù)預(yù)客戶環(huán)境定義的網(wǎng)絡(luò)地址分類進(jìn)行判斷行成一一對應(yīng)關(guān)系。外設(shè)掛接接口一、外設(shè)掛接接口二和外設(shè)掛接接口三用于不同設(shè)備和數(shù)量的掛接，實(shí)現(xiàn)區(qū)分不同網(wǎng)域可信接入設(shè)備的類型、數(shù)量和設(shè)備身份標(biāo)識。

如上所述的接入虛擬化桌面的多域切換系統(tǒng)的多域切換方法，它包括依次連接的多域終端系統(tǒng)、多域切換開關(guān)、遠(yuǎn)程桌面身份認(rèn)證和遠(yuǎn)程桌面。多域切換開關(guān)包括依次連接的多域模塊、網(wǎng)絡(luò)認(rèn)證網(wǎng)卡接口、外設(shè)掛接控制、數(shù)據(jù)控制和登錄認(rèn)證控制，其方法步驟為：

多域終端系統(tǒng)發(fā)出登錄遠(yuǎn)程桌面的申請；

多域切換開關(guān)接收到登錄申請，并在多域切換開關(guān)內(nèi)部傳輸流程：

接到登錄申請的多域模塊根據(jù)存儲的路徑設(shè)置判斷數(shù)據(jù)流向網(wǎng)絡(luò)認(rèn)證網(wǎng)卡接口中的哪一個網(wǎng)卡接口，同時切斷另兩個網(wǎng)卡接口通道；