基于客户端/服务器模式的虚拟交互系统及方法与流程

本发明涉及应用虚拟化技术领域，具体涉及一种基于客户端/服务器模式的虚拟交互系统及方法。

背景技术：
随着计算机网络的发展与普及，人们已经不局限于固定的客户端访问计算机网络，可以在许多地方随时随地连接到计算机网络。当代的计算机网络由物理通信链路与其它多个互相通讯的计算机系统组成。一般来说，这些计算机系统中有一部分是客户端，这些客户端不只是固定的计算机系统，也包括手机，笔记本电脑，小型智能设备等。另一部分是服务器，为客户端提供可以访问的数据、资源、应用程序等多种服务。各种各样的客户端设备的请求，导致服务器数据访问量增加，服务器反应变慢，使系统整体性能降低；并且，随着客户端设备的多样化，现有的计算机系统不能很好地兼容和处理新的用户需求，对不同操作系统和平台之间的兼容性要求也影响了服务器端的功能和服务。虚拟服务器和客户端之间的数据交互，由于在网络上进行的，数据安全不一定能保证，并且存在数据被截取的可能性，个人信息的安全也受到的威胁。且内外网资源有一定的访问要求，需要过滤其中非法的访问请求，按照权限转发用户请求或者本地的资源及应用程序。当一个用户请求到来时，虚拟服务器不能有效地识别用户的访问权限及限制访问的内容。申请号为CN101008903A的专利公开了一种虚拟机系统及其设备访问方法，该专利对服务器的性能进行了提升，但是服务器端的访问功能以及对客户端请求的服务的可扩展性仍然有一定的局限。

技术实现要素：
本发明的目的就是为了解决上述问题，提出了一种基于客户端/服务器模式的虚拟交互系统及方法。该系统及方法兼容多种平台，能够识别控制用户权限，支持用户的需求，采用了虚拟化的技术实现了服务器端，整合了远程桌面协议的数据通信，增加了数据安全中心，实现了客户端对网络的需求。为了实现上述目的，本发明采用如下技术方案：一种基于客户端/服务器模式的虚拟交互系统，包括：客户端和服务器；所述客户端和服务器基于远程桌面协议进行数据通信。所述服务器采用虚拟化技术，包括：用于配置应用程序列表、数据加密的算法和密钥的控制中心，用于配置安全策略和安全级别的安全中心，以及用于安装相关应用、加载本地资源、部署http转发服务的若干代理服务器。控制中心实现客户端用户连接的控制，安全中心实现客户端用户的识别与安全验证，客户端使用RDP协议与代理服务器建立连接，并创建RDP会话及虚拟数据通道，代理服务器接收用户的数据请求，并对数据请求进行过滤和转发，把内外网的资源和服务器资源加密返回给客户端，客户端接收代理服务器返回的数据解密并显示所接收的数据内容。所述客户端的操作系统包含且不限于windows，android，ios，并能支持RDP协议。所述服务器端通过虚拟化安装windowsserver2003，windowsserver2008或windowsserver2012操作系统，并提供RDP服务。所述代理服务器发给客户端的数据，其中的加密算法及密钥是可控并变化的。所述客户端接收虚拟数据通道发送的加密数据并解析，能正常处理服务器端的数据及文件。一种基于客户端/服务器模式的虚拟交互系统的实现方法，包括以下步骤：（1）客户端用户通过网络将数据请求发送到控制中心，控制中心将用户信息发送到安全中心进行验证。（2）安全中心验证用户是否合法，若合法，读取用户的信息给控制中心；若不合法，通知控制中心拒绝用户登陆。（3）控制中心根据安全中心返回的的信息加载并展示用户的个性化桌面；客户端用户通过控制中心获取代理服务器的地址，与代理服务器建立远程连接。（4）代理服务器接收并解析客户端发送的数据请求类型，如果请求的资源是服务器本地的资源，则查找本地资源，并生成返回的数据结果；如果请求的资源是网络资源，则将数据请求转发给部署在代理服务器的代理程序进行处理。（5）代理服务器的代理程序根据安全中心的安全配置和用户的权限，对客户端的请求进行过滤，若为合法请求，则允许访问网络；若为非法请求，则给客户端发送访问不允许的通知。（6）代理服务器整理返回数据的格式并使用安全中心的加密算法进行加密，将加密后的数据包返回给客户端。（7）客户端展示请求的结果。所述步骤（3）中客户端用户通过控制中心获取代理服务器的地址的方法为：客户端将用户登录请求发送给控制中心；控制中心在安全中心验证通过之后查询用户上次登陆的服务器，同时查询用户上次登陆的服务器目前的在线用户数量。如果服务器用户数量允许，则与客户端建立新连接；如果服务器存有用户上次的信息，则直接恢复到上次登陆的状态；如果服务器繁忙，则寻找新的服务器与当前客户端建立连接。所述步骤（4）和步骤（5）中代理服务器处理客户端数据请求的具体方法为：客户端向代理服务器发送数据请求，代理服务器判断客户端数据请求类型：（1）如果是网络请求，则判断是否为内网络请求，如果是内网请求，则代理服务器转发客户端http请求，并将返回的数据压缩加密后发送给客户端；如果是外网请求，则代理服务器验证客户端http请求是否合法并不受限制，验证通过之后转发到internet访问网络资源，并将返回的数据打包、压缩加密后发送给客户端。（2）如果是服务器本地资源请求，则判断本地资源请求的类型，如果是本地应用程序请求，则根据控制中心用户的可执行应用的配置列表提供用户可以执行的应用程序；如果是本地资源文件请求，则根据用户资源管理的内容返回用户数据文件。所述安全中心包含了由受信任的合法的账户、密码以及计算机信息构成的数据库。当客户端登陆时，安全中心首先要鉴别客户端要登陆的这台代理服务器是否是受信任并且合法的，客户端使用的用户是否存在以及密码是否正确；如果以上信息有一样不正确，则拒绝这个用户登陆。通过远程桌面协议将代理服务器执行的应用程序传输到客户端并显示远程桌面。客户端加载代理服务器通过虚拟数据通道发送过来的资源文件，并调用客户端自己的相关联程序打开并操作该文件。客户端将http请求发送给代理服务器并且把代理服务器返回的html和资源文件在客户端的浏览器中显示出来。本发明的有益效果是：本发明针对跨平台的客户端访问代理服务器资源控制，整合服务器空闲资源虚拟代理服务器，验证合法用户，验证用户安全级别的限制，返回请求数据的安全性加密，过滤用户的http请求，提供服务器应用程序服务。本发明实现了固定终端及移动设备在互联网上的远程访问控制，对用户进行验证，通讯过程中采用了严格的认证方式，通信双方使用了加密技术，防止数据泄漏，有很好的安全性。本发明采取了统一的数据请求标准，整合了不同平台之间的差异，对数据结果进行了特殊处理，支持多种格式的数据文件，具备良好的兼容性。本发明可以对不同用户的请求进行处理，过滤非法的用户请求，根据权限来设置用户的访问级别，提供应用程序及网络服务。具备良好的实用性。附图说明图1为本发明数据交互系统结构示意图；图2为本发明数据交互方法的流程图；图3为本发明客户端登陆选择代理服务器的流程图；图4为本发明代理服务器处理客户端请求的流程图。具体实施方式：下面结合附图与实施例对本发明做进一步说明：如图1所示，一种基于客户端/服务器模式的虚拟交互系统，包括：客户端和服务器；所述客户端和服务器基于远程桌面协议进行数据通信。服务器端采用最新的kvm虚拟化技术，提供不同功能的虚拟服务器端。其中一台虚拟服务器搭建控制中心，配置用户可以使用的应用程序列表，配置数据加密的算法和密钥。其中一台虚拟服务器搭建安全中心，配置用的安全策略和安全级别。其中一台或多台虚拟服务器搭建代理服务器，安装相关应用，加载本地的资源，部署http转发服务（HttpProxyServer）。使用客户端发送请求并接收虚拟通道发送的加密数据并解析，能正常显示网络内容。服务器虚拟化包括控制中心，安全中心，代理服务器。控制中心管理客户端登陆及连接状态的信息。安全中心接收用户信息，验证合法用户，并加载该用户的个性化设置及资源文件。代理服务器执行用户的请求并分类处理。KVM虚拟化技术是kernel-basedVirtualMachine的简称，是一个开源的系统虚拟化模块，自Linux2.6.20之后集成在Linux的各个主要发行版本中。它使用Linux自身的调度器进行管理，其核心源码很少，KVM的虚拟化需要硬件支持（如IntelVT技术或者AMDV技术)。是基于硬件的完全虚拟化。HttpProxyServer程序是本公司开发的针对网络资源的安全性和部分内容的http代理程序，能控制转发用户的请求，接收下载网络服务器的资源。客户端的操作系统包含并不仅限于windows，android，ios并安装能支持RDP协议的程序。服务器端通过虚拟化安装windowsserver2003，windowsserver2008，windowsserver2012等操作系统，并提供RDP服务。客户端与服务器端访问控制中心，经过安全中心验证通过，使用RDP协议与代理服务器建立连接，并创建或重连RDP会话及虚拟数据通道。服务器端部署数据代理程序处理客户端的发送的数据请求。服务器端代理程序能处理转发网络请求并对数据加密，维护客户端和Internet之间的通信。客户端接收虚拟通道发送的加密数据并解析，能正常显示网络内容，并能正常处理服务器端的数据及文件。服务器端代理程序发给客户端的数据，其中的加密的方法及密钥是可控并可变化的。服务器端根据接收到的客户端的请求内容，返回服务器端本地的资源数据或文件。安全中心包含了由受信任的合法的账户、密码以及计算机等信息构成的数据库。当客户端登陆时，安全中心首先要鉴别客户端要登陆的这台代理服务器是否是合法的，客户端使用的用户是否存在以及密码是否正确。如果以上信息有一样不正确，则拒绝这个用户登陆。控制中心在服务端运行，安全中心和代理服务器提供服务，用户的信息在控制中心和代理服务器中驻留。另一方面，用于批准对资源访问的方法由安全中心提供，控制中心提供的应用程序列表保存在数据库中共代理服务器获取用户能执行的应用。如图2所示，服务器虚拟化包括控制中心，安全中心，代理服务器。控制中心管理客户端登陆及连接状态的信息。安全服务器接收用户信息，验证合法用户，并加载该用户的个性化设置及资源文件。代理服务器执行用户的请求并分类处理。其步骤为：1.用户使用客户端登陆，请求通过网络发送到控制中心。2.控制中心把用户名密码等用户信息发送到安全中心进行验证。3.安全中心验证用户是否合法，合法用户读取用户的信息给控制中心，非法用户通知控制中心拒绝用户登陆。4.控制中心根据安全中心返回的的信息加载用户的个性化桌面，并展示桌面给用户使用。5.用户通过控制中心获取代理服务器地址，建立远程连接。6.代理服务器和客户端建立连接之后，接收并处理用户的请求。7.解析客户端发送的请求类型，如果请求的资源是服务器本地的资源，查找本地资源，并生成返回的数据结果。8.解析客户端发送的请求类型，如果请求的资源是网络资源，转发给部署在代理服务器的代理程序进行处理。9.服务端代理程序根据安全中心的系统安全配置和用户的权限，对客户单的请求进行过滤，是合法请求的允许访问网络，非法请求的给客户端发送访问不允许的通知。10.整理返回数据的格式并使用安全中心的加密方法进行加密，把数据包返回给客户端。11.客户端程序展示请求的结果。如图3所示，根据接收到的客户机用户的标识识别出用户经常使用的代理服务器。在另一实施例中，根据代理服务器中用户的数量来选择新用户登陆时使用的代理服务器。其步骤为：1.用户登陆，发送请求给控制中心。2.控制中心在安全中心验证通过之后查询用户上次登陆的服务器。3.控制中心查到用户上次登陆的信息，查询上次登陆服务器目前的在线用户数量。4.服务器用户数量允许，状态空闲的时，与客户端建立新连接。如果存有上次用户信息，直接恢复到上次登陆的状态。客户端请求http展示的网页中，点击网页中的连接等，发送新的请求到代理服务器，代理服务器继续验证请求是否合法，转发并过滤网页内容，返回给客户端。如图4所示，安全服务器提供用户的访问策略的控制，并提供域用户的文件目录，用户的个人信息及密码都在这里保存，根据用户的安全级别提供不同的代理服务功能，控制代理服务器对用户的请求限制部分功能及拦截非法http请求及内容。其步骤为：(a)根据客户端访问是提交的请求类型，分为本地资源请求，内网访问请求，外网访问请求。(b)访问本地应用时，根据控制中心用户的可执行应用的配置列表提供用户可以执行的应用程序。(c)访问本地资源文件时，根据用户的资源管理的内容返回用户数据文件。(d)访问内部网络时，代理转发客户端http请求，并把数据转发给客户端。(e)访问外部网络时，代理转验证http请求是否合法并不受限制，通过之后转发到internet访问网络资源，并把数据打包发送给客户端。上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。