专利名称:远程桌面用户身份识别的方法、装置和系统的制作方法
技术领域:
本发明涉及到网络安全领域,特别涉及到一种远程桌面用户身份识别的方法、装置和系统。
背景技术:
远程桌面包括但不限于windows下采用RDP (Remote Desktop Protocol)传输协议实现的支持多用户同时登录使用的远程桌面。当某台计算机开启了远程桌面连接功能, 就可以在网络的另一端控制这台计算机,通过远程桌面功能可以实时的操作这台计算机, 在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。上网行为管理指具有对用户的上网行为进行应用控制、应用审计、流量管理等功能的上网出口网关设备,其可以根据不同的上网用户、不同的上网行为或者上网应用进行精细化的控制和管理,其中上网的身份识别是上网行为管理控制的基础。在远程桌面下,上网行为管理存在一个很大的问题,就是多个用户同时登录远程桌面时,网关无法区分上网的具体用户,对于网关来说所有用户都使用同一个IP地址和同一个用户身份。上述问题导致远程桌面下,基于用户身份的策略将会失效,无法区分上网的具体用户。而虚拟化、远程桌面的应用越来越普及,如果无法区分用户身份,上网行为管理就无从谈起。
发明内容
本发明的主要目的为提供一种远程桌面用户身份识别的方法、装置和系统,可使网关正确识别远程桌面用户。本发明提出一种远程桌面用户身份识别的方法,包括远程桌面服务器获取登录用户对应的标记信息;将所述用户发送的数据包打上所述标记信息,并发送至网关;网关根据所述标记信息识别接收到的数据包所属的用户身份。优选地,所述将用户发送的数据包打上标记信息包括
拦截所述用户的Socket操作;修改所述Socket操作绑定的本地IP地址为所述用户对应的IP地址;或将所述 Socket连接的数据包打上指定Vlan标记;或将所述Socket连接的数据包的IP头打上指定IP头标记。优选地,所述远程桌面服务器获取登录用户对应的标记信息,包括检测远程桌面登录用户的用户名和/或IP地址;在本端查找所述用户名和/或IP地址对应的标记信息,并上报网关;或上报网关所述用户名和/或IP地址,再接收网关根据该用户名和/或IP地址下发的标记信息。优选地,在执行所述将用户的数据包打上标记信息之后,包括当所述用户从远程桌面服务器注销后,去除已打上标记信息的用户数据包的标记。本发明还提出一种远程桌面服务器,包括获取模块,用于获取远程桌面登录用户对应的标记信息;标记模块,用于将所述用户发送的数据包打上所述标记信息;发送模块,用于发送所述数据包至网关,以便网关根据所述标记信息识别接收到的数据包所属的用户身份。优选地,所述标记模块包括拦截单元,用于拦截所述用户的Socket操作;修改单元,用于修改所述Socket操作绑定的本地IP地址为所述用户对应的IP地址;或将所述Socket连接的数据包打上指定Vlan标记;或将所述Socket连接的数据包的 IP头打上指定IP头标记。优选地,所述获取模块包括检测单元,用于检测登录用户的用户名和/或IP地址;协商单元,用于在本端查找所述用户名和/或IP地址对应的标记信息,并上报网关;或上报网关所述用户名和/或IP地址,再接收网关根据该用户名和/或IP地址下发的标记信息。本发明还提出一种用于上网行为管理的网关,包括接收模块,用于接收远程桌面服务器发送的用户数据包;识别模块,用于根据所述数据包的标记信息识别该数据包所属的用户身份。本发明还提出一种远程桌面用户身份识别的系统,包括远程桌面服务器和网关, 其中,所述远程桌面服务器,用于获取登录用户对应的标记信息;以及将所述用户的数据包打上所述标记信息,并发送至网关;所述网关,用于根据所述标记信息识别接收到的数据包所属的用户身份。本发明提出的一种远程桌面用户身份识别的方法、装置和系统,通过在远程桌面服务器上安装插件,为不同的用户的数据包打上标记信息,使得网关准确识别每一个数据包所属的用户身份,以有效地进行上网行为管理。
图1为本发明远程桌面用户身份识别的方法一实施例的流程示意图;图2为本发明远程桌面服务器一实施例的结构示意图;图3为本发明远程桌面服务器一实施例中标记模块的结构示意图;图4为本发明远程桌面服务器一实施例中获取模块的结构示意图;图5为本发明网关一实施例的结构示意图;图6为本发明远程桌面用户身份识别的系统一实施例的结构示意图。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施例方式应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,提出本发明远程桌面用户身份识别的方法一实施例,包括步骤S101、远程桌面服务器安装插件。用户登录远程桌面服务器并且上网时,远程桌面服务器检测是否已经安装插件,如果未安装插件,则通过手动安装、管理员安装、重定向或域统一下发的方式进行强制安装插件。步骤S102、远程桌面服务器获取登录用户对应的标记信息。该过程可以是远程桌面服务器和网关协商的过程,也可以预先在远程桌面服务器和网关进行设置。当采用前者时,用户名和/或IP地址与标记信息的映射关系保存在网关或远程桌面服务器,远程桌面服务器通过安装的插件将登录远程桌面服务器的用户名和/或IP地址上报给网关,由网关统一下发一个空闲的指定标记信息给该用户;或者远程桌面服务器在本地查找用户名和 /或IP地址对应的指定标记信息,再将该指定标记信息上报给网关,以便网关后续的识另Ij。 当采用后者时,远程桌面服务器无须上报标记信息,网关也无须下发标记信息。在实用使用中,通常采用前者,更灵活方便。需要注意的是,多个远程桌面用户使用同一个账号登录时, 如果要区分不同用户,则需要根据windows进程的会话号或者远程登录的IP地址来区分不同的用户身份,因此,此处可将windows进程的会话号作为用户名。步骤S103、远程桌面服务器将登录用户发送的数据包打上标记信息,并发送至网关。插件获取登录用户对应的指定标记信息后,对该用户进行的数据包打上该指定标记信息。具体方法如下插件拦截所有的socket连接的connect和bind调用,修改该连接的相关信息以打上相应的标记信息。打标记信息的方法包括但不限于以下a)将socket绑定的本地IP地址修改成该进程对应的windows会话的远程桌面服务器登录用户的对应IP地址,如此网关就可以有效的通过此IP地址来区分不同的用户身份,进行上网策略的控制和管理。b)修改socket连接的数据包,打上相应的Vlan标记,不同的Vlan标记对应不同的用户身份。c)修改socket连接的数据包,在IP头部修改某个字段,打上相应的标记信息,以区分不同的用户身份。步骤S104、网关根据数据包的相关标记信息,区分不同的用户身份。网关准确识别用户的身份后,可对用户进行有效的上网行为管理。步骤S105、远程桌面用户注销时,插件可把相应的标记信息去除。本实施例中,通过在远程桌面服务器上安装插件,为不同的用户的数据包打上标记信息,使得网关准确识别每一个数据包所属的用户身份,以有效地进行上网行为管理。参照图2,提出本发明远程桌面服务器100 —实施例,包括获取模块10,用于获取远程桌面登录用户对应的标记信息;标记模块20,用于将所述用户发送的数据包打上所述标记信息;发送模块30,用于发送所述数据包至网关,以便网关根据所述标记信息识别接收到的数据包所属的用户身份。参照图3,标记模块20可包括拦截单元21,用于拦截所述用户的Socket操作;修改单元22,用于修改所述Socket操作绑定的本地IP地址为所述用户对应的IP地址;或将所述Socket连接的数据包打上指定Vlan标记;或将所述Socket连接的数据包的IP头打上指定IP头标记信息。
参照图4,获取模块10包括检测单元11,用于检测登录用户的用户名和/或IP地址;协商单元12,用于在本端查找所述用户名和/或IP地址对应的标记信息,并上报网关;或上报网关所述用户名和/或IP地址,再接收网关根据该用户名和/或IP地址下发的标记信息。本实施例的远程桌面服务器100的工作原理如下首先,远程桌面服务器100安装插件。用户登录远程桌面服务器100并且上网时, 远程桌面服务器100检测是否已经安装插件,如果未安装插件,则通过手动安装、管理员安装、重定向或域统一下发的方式进行强制安装插件。然后,获取模块10获取登录用户对应的标记信息。可以是获取模块10的协商单元12和网关进行协商,也可以预先在远程桌面服务器100和网关进行设置。当采用前者时, 用户名和/或IP地址与标记信息的映射关系保存在网关或远程桌面服务器100,协商单元 12通过安装的插件将登录远程桌面服务器100的用户名和/或IP地址上报给网关,由网关统一下发一个空闲的指定标记信息给该用户;或者获取模块10的检测单元11在本地检测用户名和/或IP地址对应的指定标记信息,再由协商单元12将该指定标记信息上报给网关,以便网关后续的识别。当采用预先在远程桌面服务器100和网关进行设置的方式时,远程桌面服务器100无须上报标记信息,网关也无须下发标记信息。在实际使用中,通常采用远程桌面服务器100和网关进行协商的方式,更灵活方便。需要注意的是,多个远程桌面用户使用同一个账号登录时,如果要区分不同用户,则需要根据Windows进程的会话号或者远程登录的IP地址来区分不同的用户身份,因此,此处可将windows进程的会话号作为用户名来识别用户身份。其次、标记模块20将登录用户的数据包打上标记信息,并发送至网关。插件获取登录用户对应的指定标记信息后,对该用户进行的数据包打上该指定标记信息。具体方法如下拦截单元21 (本实施例中为插件)拦截所有的socket连接的connect和bind调用,修改单元22修改该连接的相关信息以打上相应的标记信息,打标记信息的方法包括但不限于以下a)修改单元22将socket绑定的本地IP地址修改成该进程对应的windows会话的远程桌面服务器100登录用户的对应IP地址,如此网关就可以有效的通过此IP地址来区分不同的用户身份,进行上网策略的控制和管理。b)修改单元22修改socket连接的数据包,打上相应的Vlan标记,不同的Vlan标记对应不同的用户身份。c)修改单元22修改socket连接的数据包,在IP头部修改某个字段,打上相应的标记信息,以区分不同的用户身份。最后,网关根据数据包的相关标记信息,区分不同的用户身份。网关准确识别用户的身份后,可对用户进行有效的上网行为管理。当远程桌面用户注销时,插件即可把相应的标记信息去除。
本实施例中,通过在远程桌面服务器上安装插件,为不同的用户的数据包打上标记信息,使得网关准确识别每一个数据包所属的用户身份,以有效地进行上网行为管理。参照图5,提出本发明一种用于上网行为管理的网关200,包括接收模块40,用于接收远程桌面服务器发送的用户数据包;识别模块50,用于根据所述数据包的标记信息识别该数据包所属的用户身份。本实施例的网关200的工作原理如下首先,远程桌面服务器安装插件。然后,远程桌面服务器获取登录用户对应的标记信息。可以是远程桌面服务器和网关200进行协商,也可以预先在远程桌面服务器和网关200进行设置。当采用前者时,用户名和/或IP地址与标记信息的映射关系保存在网关200或远程桌面服务器,远程桌面服务器通过安装的插件将登录远程桌面服务器的用户名和/或IP地址上报给网关200,由网关200统一下发一个空闲的指定标记信息给该用户;或者远程桌面服务器在本地检测用户名和/或IP地址对应的指定标记信息,再由远程桌面服务器将该指定标记信息上报给网关 200,以便网关200后续的识别。需要注意的是,多个远程桌面用户使用同一个账号登录时, 如果要区分不同用户,则需要根据windows进程的会话号或者远程登录的IP地址来区分不同的用户身份,因此,此处可将windows进程的会话号作为用户名来识别用户身份。其次、远程桌面服务器将登录用户的数据包打上标记信息,并发送至网关200。插件获取登录用户对应的指定标记信息后,对该用户进行的数据包打上该指定标记信息。具体方法如下插件拦截所有的socket连接的connect和bind调用,修改该连接的相关信息以打上相应的标记信息,打标记信息的方法包括但不限于以下a)将socket绑定的本地IP地址修改成该进程对应的windows会话的远程桌面服务器登录用户的对应IP地址。b)修改socket连接的数据包,打上相应的Vlan标记,不同的Vlan标记对应不同的用户身份。c)修改socket连接的数据包,在IP头部修改某个字段,打上相应的标记信息,以区分不同的用户身份。最后,网关200的接收模块40接收socket连接的数据包,识别模块50根据数据包的相关标记信息,区分不同的用户身份。网关200准确识别用户的身份后,可对用户进行有效的上网行为管理。本实施例中,通过在远程桌面服务器上安装插件,为不同的用户的数据包打上标记信息,使得网关200准确识别每一个数据包所属的用户身份,以有效地进行上网行为管理。参照图6,提出本发明远程桌面用户身份识别的系统一实施例,包括远程桌面服务器100和网关200。远程桌面服务器100,用于获取登录用户对应的标记信息;以及将所述用户的数据包打上所述标记信息,并发送至网关200 ;网关200,用于根据所述标记信息识别接收到的数据包所属的用户身份。本实施例的远程桌面服务器100,其结构和工作原理与图2至图4中任一个所示的远程桌面服务器100相同,此处不再赘述。本实施例的网关200,其结构和工作原理与图5
8所示的网关200相同,此处不再赘述。 以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种远程桌面用户身份识别的方法,其特征在于,包括 远程桌面服务器获取登录用户对应的标记信息;将所述用户发送的数据包打上所述标记信息,并发送至网关; 网关根据所述标记信息识别接收到的数据包所属的用户身份。
2.如权利要求1所述的方法,其特征在于,所述将用户发送的数据包打上标记信息包括拦截所述用户的Socket操作;修改所述Socket操作绑定的本地IP地址为所述用户对应的IP地址;或将所述Socket 连接的数据包打上指定Vlan标记;或将所述Socket连接的数据包的IP头打上指定IP头标记。
3.如权利要求1或2所述的方法,其特征在于,所述远程桌面服务器获取登录用户对应的标记信息,包括检测远程桌面登录用户的用户名和/或IP地址;在本端查找所述用户名和/或IP地址对应的标记信息,并上报网关;或上报网关所述用户名和/或IP地址,再接收网关根据该用户名和/或IP地址下发的标记信息。
4.如权利要求1或2所述的方法,其特征在于,在执行所述将用户的数据包打上标记信息之后,包括当所述用户从远程桌面服务器注销后,去除已打上标记信息的用户数据包的标记。
5.一种远程桌面服务器,其特征在于,包括获取模块,用于获取远程桌面登录用户对应的标记信息; 标记模块,用于将所述用户发送的数据包打上所述标记信息; 发送模块,用于发送所述数据包至网关,以便网关根据所述标记信息识别接收到的数据包所属的用户身份。
6.如权利要求5所述的远程桌面服务器,其特征在于,所述标记模块包括 拦截单元,用于拦截所述用户的Socket操作;修改单元,用于修改所述Socket操作绑定的本地IP地址为所述用户对应的IP地址; 或将所述Socket连接的数据包打上指定Vlan标记;或将所述Socket连接的数据包的IP 头打上指定IP头标记。
7.如权利要求5或6所述的远程桌面服务器,其特征在于,所述获取模块包括 检测单元,用于检测登录用户的用户名和/或IP地址;协商单元,用于在本端查找所述用户名和/或IP地址对应的标记信息,并上报网关;或上报网关所述用户名和/或IP地址,再接收网关根据该用户名和/或IP地址下发的标记信息。
8.一种用于上网行为管理的网关,其特征在于,包括 接收模块,用于接收远程桌面服务器发送的用户数据包;识别模块,用于根据所述数据包的标记信息识别该数据包所属的用户身份。
9.一种远程桌面用户身份识别的系统,其特征在于,包括远程桌面服务器和网关,其中,所述远程桌面服务器,用于获取登录用户对应的标记信息;以及将所述用户的数据包打上所述标记信息,并发送至网关;所述网关,用于根据所述标记信息识别接收到的数据包所属的用户身份。
10.如权利要求9所述的系统,其特征在于,所述远程桌面服务器为权利要求6或7所述的远程桌面服务器。
全文摘要
本发明揭示了一种远程桌面身份识别的方法,包括远程桌面服务器获取登录用户对应的标记;将所述用户的操作打上所述标记,并发送至网关;网关根据所述标记识别接收到的操作所属的用户身份。本发明还提出了对应的装置和系统。本发明提出的一种远程桌面身份识别的方法、装置和系统,通过在远程桌面服务器上安装插件,为不同的用户的操作打上标记,使得网关准确识别每一操作所属的用户身份,以有效地进行上网行为管理。
文档编号H04L29/06GK102340504SQ201110296828
公开日2012年2月1日 申请日期2011年9月27日 优先权日2011年9月27日
发明者陈钊毅 申请人:深圳市深信服电子科技有限公司