一种基于云桌面的远程办公实现系统及方法与流程

1.本发明涉及远程办公技术领域，尤其涉及一种基于云桌面的远程办公实现系统及方法。


背景技术：

2.随着互联网技术的发展，远程办公日益普及。然而，传统的远程办公方式中，数据的安全问题一直是一项十分严峻的工作，在互联网技术不断发展的现代，互联网技术中各种数据信息的获取也存在着一些安全威胁，如部分恶意网站的攻击或是网络干扰活动都有可能会使数据安全受到侵犯。《中国互联网络发展状况统计报告》显示，截至2017年12月，中国网民规模达8.31亿，互联网普及率为63.2％，手机网民规模达6.95亿，占比提升至95.07％，增长连续3年超过10％。这一数据意味着全民互联网时代早已到来，手机、电脑的普及将我们的生活与工作完全暴露在互联网之中，一些掌握着互联网技术的人可能会因此进行违法侵入数据的活动，这就使得数据安全得到的保障大大降低，不仅对于个人产生威胁，对办公室乃至整个企业内部都是十分有危害的。
3.在现有的远程办公实现方式中，假如企业某个员工的vpn账户被不法分子获取，对方就有可能通过vpn接入到办公网，从而访问所有的服务器资源。尤其是最近几年各种无授权访问企业资源的时间频繁发生，给企业带来巨大的损失。对于此类问题，黑客惯常采用暴力破解、撞库或者通过社交工程获取用户名密码，突破访问权限实现核心资源的访问。
4.因此，传统的远程办公方式容易出现本地电脑被随意泄漏，造成数据不安全，网络的应用安全存在审计精细程度不足的问题，然而，目前还没有有效的防范方法可以避免上述问题。


技术实现要素：

5.为解决上述现有技术的不足，本发明提供了一种基于云桌面的远程办公实现系统及方法，解决了现有技术中存在传统数据办公不安全的问题，实现远程办公过程中数据不落地，提高数据的安全性和体验效果。
6.第一方面，本公开提供了一种基于云桌面的远程办公实现系统，包括客户终端和办公网云数据中心；
7.所述客户终端通过vpn连接到办公网，所述办公网云数据中心部署有多台服务器，每台所述服务器均接入所述办公网，每台所述服务器上分别虚拟出多台桌面虚拟机，所述客户终端上设置有云桌面连接软件，所述客户终端通过所述云桌面连接软件传输桌面图像以及将所述客户终端上的本地设备映射到云桌面虚拟机中。
8.进一步的技术方案，所述vpn连接采用的是ssl vpn连接。
9.进一步的技术方案，所述ssl vpn工作在nat模式的防火墙下，且所述ssl vpn提供的工作模式包括web模式和隧道模式。
10.进一步的技术方案，所述服务器上部署有云桌面管理平台，所述云桌面虚拟机上
部署有云桌面代理程序，所述云桌面代理程序为所述云桌面管理平台管理所述云桌面虚拟机时使用的代理程序，所述云桌面管理平台用于管理与云桌面业务相关的虚拟化平台、桌面池和云桌面用户。
11.进一步的技术方案，所述服务器上部署有所述虚拟化平台，所述虚拟化平台包括云资源管理服务器及云资源计算服务器。
12.进一步的技术方案，在部署新软件或更新软件时，通过构建软件库，并将所述软件库分发给各个所述云桌面虚拟机上，所述云桌面虚拟机在接收到所述软件库后重启即可使用所述新软件或更新软件。
13.进一步的技术方案，通过所述云桌面管理平台通过所述云桌面代理程序对本地用户、域用户和用户组进行批量授权，并基于所述桌面池进行所述云桌面虚拟机虚拟桌面的统一管理和集中控制。
14.进一步的技术方案，所述云桌面虚拟机上还部署有云桌面监控程序，所述云桌面监控程序用于监控用户对于云桌面的使用情况，并根据使用情况确定客户终端是否安全。
15.进一步的技术方案，当连接办公网的客户终端当次连接文件下载次数高于设定次数时，所述云桌面监控程序限制客户终端的连接。
16.第二方面，本公开提供了一种基于云桌面的远程办公实现方法，包括以下步骤：
17.步骤s01：在防火墙的两个端口分别连接互联网和办公网，并将ip地址配置成互联网公网ip和办公网固定ip，完成线路连接；
18.步骤s02：防火墙配置默认路由和静态路由；
19.步骤s03：配置vpn接口地址和vpn地址池；
20.步骤s04：创建ssl vpn；
21.步骤s05：创建安全域和策略；
22.步骤s06：给用户添加帐号密码，每一个帐号仅供一名用户使用；
23.步骤s07：启用主机检测和绑定，完成远程办公的安装配置。
24.一种计算机可读存储介质，其中存储有多条指令，所述指令适于由终端设备的处理器加载并实现如上所述的一种基于云桌面的远程办公实现系统。
25.一种计算机可读存储介质，其特征是：其中存储有多条指令，所述指令适于由终端设备的处理器加载并执行如上所述的一种基于云桌面的远程办公实现系统。
26.以上一个或多个技术方案存在以下有益效果：
27.本发明提出了一种基于云桌面的远程办公实现系统及方法，该系统包括客户终端和办公网云数据中心，客户终端通过ssl vpn连接到办公网，办公网云数据中心中部署有多台服务器，每台服务器虚拟出多台云桌面虚拟机，客户终端上部署有云桌面连接软件，客户终端连上ssl vpn后，通过云桌面连接软件连到办公网的云桌面虚拟机，基于ssl vpn建立与办公网的连接，再通过本地电脑上的云桌面连接软件连接企业数据中心内的云桌面虚拟机，实现远程办公；
28.本发明提出的一种基于云桌面的远程办公实现系统及方法，使用云桌面虚拟机与办公网云数据中心，解决传统数据办公不安全的问题，实现在这种模式下数据不落地，都在企业内，提高数据的安全性和体验效果，提高网络的应用安全审计精细程度。
附图说明
29.构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。
30.图1为本发明实施例一所述ssl vpn网络拓扑图；
31.图2为本发明实施例一所述基于云桌面的远程办公实现系统的结构示意图；
32.图3为本发明实施例二所述基于云桌面的远程办公实现方法的流程图。
具体实施方式
33.应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
34.需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
35.实施例一
36.本实施例提供了一种基于云桌面的远程办公实现系统，远程办公实现系统包括客户终端和办公网云数据中心，客户终端通过vpn连接到办公网，办公网云数据中心中部署有多台服务器，每台服务器均接入办公网，每台服务器虚拟出多台云桌面虚拟机。
37.在实施例中，每台服务器最多可以虚拟出30台云桌面虚拟机。
38.vpn即虚拟私人专用网络，是企业网在因特网等公共网络上的延伸。vpn通过私有通道创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等与企业网连接起来，形成一个扩展的公司企业网。
39.常用的vpn模型有access vpn、ipsec vpn和ssl vpn等几种，其中，accessvpn属于二层网络隧道技术，其安全性和功能不能满足公司业务的需要；ipsec vpn是网络层的vpn技术，其安全性高，但难点在于客户端需要安装复杂的软件，而且使用者需接受培训才能够掌握相应的技术；ssl vpn协议在功能和安全性上能满足业务的需要，同时具有网络结构简单、易于维护、客户端不需要安装特殊软件、性价比高等优点，因此，本发明选用的是ssl vpn，ssl vpn网络拓扑图如图1所示。
40.ssl vpn是一种既简单又安全的远程隧道访问技术，使用非常简单。ssl vpn采用公匙加密的方式来保障数据在传输的过程中的安全性，它采用浏览器和服务器直接沟通的方式，既方便了用户的使用，又可以通过ssl协议来保证数据的安全。ssl协议采用ssl/tls综合加密的方式来保障数据安全。ssl协议从其使用上来说可以分为两层：第一层是ssl记录协议，这种协议可以为数据的传输提供基本的数据压缩、加密等功能；第二层是ssl握手协议，主要用于检测用户的账号密码是否正确，进行身份验证登录。ssl vpn具有架构简单、运营成本低、处理速度快、安全性能高的特点，所以在企业用户中得到大规模的使用。
41.客户终端可以是终端设备、pc、瘦终端或者其他任何可以连接到网络的设备，客户终端上部署有云桌面连接软件，客户终端连上vpn后，通过云桌面连接软件连到办公网的云桌面虚拟机。当sslvpn连接建立后，客户终端上网使用本地网络连接，当涉及到办公网应用
时，客户终端上网使用的是本地网络和办公网连接，并占用办公网的带宽。
42.桌面虚拟化即vdi(virtual desktop infrastructure)是一种基于服务器的计算模型，其利用服务器虚拟化技术，并结合传统的瘦客户端技术，将桌面组件(包括应用、操作系统和用户设置等)转移到办公网云数据中心进行集中管理，通过桌面连接协议生成独立的桌面操作系统，发送给客户终端，供用户在客户终端上使用。
43.本发明使用云桌面虚拟机与办公网云数据中心的资源，解决传统数据办公不安全的问题，也实现了在这种模式下数据不落地，都在企业内，提高数据的安全性和体验效果，因此本发明能提高数据的安全性和体验效果、提高网络的应用安全审计精细程度。
44.本实施例中，如图2所示，服务器上部署有云桌面管理平台，管理员通过云桌面管理平台管理与云桌面业务相关的虚拟化平台、桌面池和云桌面用户等。管理员可以通过虚拟桌面管理平台将所有虚拟化的桌面在办公网云数据中心进行托管，并进行统一管理和集中控制。用户可以在使用虚拟化桌面时获得pc机类似的使用体验，可以利用终端设备、pc、瘦终端或者其他任何可以连接到网络的设备通过应用程序或者浏览器访问驻留在服务器端的桌面操作系统。
45.云桌面连接软件是连接云桌面的客户端程序，用户的客户终端通过云桌面连接软件可以高效的传输桌面图像以及将客户终端上的本地设备映射到云桌面中。
46.本实施例中，云桌面虚拟机上部署有云桌面代理程序，云桌面代理程序是云桌面管理平台管理云桌面虚拟机时使用的代理程序，可以为云桌面管理平台提供多种虚拟机管理能力。
47.服务器上部署有虚拟化平台，虚拟化平台包括云资源管理服务器cvm及云资源计算服务器cvk，可以为云桌面管理平台提供高效、安全和稳定的虚拟机资源。
48.服务器上部署有域控制器(即microsoft active directory域控制器)，该域控制器为可选组件，提供基于ldap的目录服务，为云桌面管理平台提供对用户的创建、管理、验证以及云桌面虚拟机的域管理功能。
49.该基于云桌面的远程办公实现系统具有管理简便、数据安全和部署高效等优势。管理简便通过如下几个方面体现：分权分域管理，集中管理资源访问权限；批量软件分发管理；自带免费的桌面备份功能；桌面远程协助运维；管理前置，用户自助备份桌面；用户自助申请开户。数据安全通过如下几个方面体现：终端/用户/外设黑白名单，u盘只读控制；桌面水印，防偷拍防泄密；录屏审计，记录违规操作；基于ip地址段和mac的终端准入控制；互联网流量与业务网访问流量控制和隔离，vlan、acl和qos策略控制。部署高效通过如下几个方面体现：模板批量派生，3分钟快速生成上百虚拟桌面；新员工入职，用户自助申请、自动开户；桌面租约，桌面到期后自动回收。
50.该基于云桌面的远程办公实现系统具有高体验、强安全、简管理和智运维的特点。
51.其中，高体验通过如下方面体现：
52.类pc体验：不改变用户的登陆、开机和关机习惯。云桌面连接协议vdp针对桌面图像传输进行深度优化，大幅提升桌面访问体验，可实现桌面秒级登陆，可与ukey、指纹认证系统对接。
53.完美的软件兼容性：完整的软件兼容性列表，兼容主流的应用和杀毒软件。政府行业软件兼容性齐备，c/s和b/s类应用兼容性好，可针对行业性应用做定制化适配。
54.办公外设广泛支持：自主研发的外设重定向核心技术，保持和pc一样的总线通道，员工可以像pc一样使用打印机、扫描仪和ukey等外设。
55.流畅的视频体验：视频重定向技术大幅提升用户的视频体验，并且有效降低视频解码对服务器的资源开销，支持高密度的视频并发场景。
56.其中，强安全通过如下方面体现：
57.云桌面产品支持终端准入：绑定接入终端mac或ip地址等特性；外设的黑白名单控制、软件黑名单控制、桌面水印、录屏审计和存储设备只读等安全特性。
58.云桌面产品支持与亚信安全等第三方杀毒软件或安全软件融合，在虚拟化环境下提供完善的安全防护解决方案，无需在虚拟桌面内安装代理即可保护云桌面虚拟机，实现虚拟化环境下的安全保障。
59.其中，简管理通过如下方面体现：
60.(1)软件分发：在部署软件或更新软件的时候，管理员可以单独创建一个软件库，然后直接把软件库分发给云桌面虚拟机，而不再需要更新模板。软件分发功能部署软件的速度是秒级，更新软件的时候，只需要将不同的软件库分发给云桌面虚拟机，云桌面虚拟机重启后既可以使用。
61.(2)桌面池管理：通过云桌面管理平台，管理员可以基于桌面池进行虚拟桌面的统一管理和集中控制。对于桌面池中的虚拟桌面可以进行批量部署，对本地用户、域用户和用户组进行批量授权。通过静态桌面池，可以实现用户对虚拟桌面的独享，用户可以进行虚拟桌面个性化设置。
62.通过手工桌面池，管理员可以根据需要手工进行桌面池还原点设置，并在需要的时候手工进行还原操作。
63.在浮动桌面池中，可以进行虚拟桌面动态授权，用户登录时，随机从动态池中分配虚拟桌面，在用户关闭虚拟桌面后自动还原到桌面初始化状态。
64.在静态桌面池中，管理员可以导入已有的云桌面虚拟机，并且可以手工从池中移除云桌面虚拟机。对于手工桌面池或者动态桌面池，支持云桌面虚拟机断开后超时释放，即虚拟桌面断开后超过一定时间，授权关系自动释放，虚桌面可以被池中授权的其他用户申请使用。
65.(3)用户管理：管理员通过云桌面管理平台的用户管理模块，可以进行本地用户、域用户以及用户分组的维护，包括增加、修改、删除和查询等操作，并且可以查看用户及用户分组所授权的虚拟桌面信息。可以手工或周期进行ldap域用户的同步，对在线用户信息进行监控。除此之外，还支持本地认证，用户登陆时只需要在云桌面管理平台中认证即可，登陆速度更快，管理更加便捷。
66.其中，智运维通过如下方面体现：
67.(1)运维监控：云桌面管理平台通过统一的web管理控制台，实现了对物理及虚拟资源的集中管理和统一监控，通过dashboard界面，可以进行云资源的概览，实现对数据中心集群、主机、存储、云桌面虚拟机及网络等资源的统一监控。目前包括主机cpu、内存等top5监控、云桌面虚拟机cpu、内存等资源的top5监控。
68.(2)用户自助服务：用户可以通过自助页面申请云桌面资源，可自主选择os类型、vcpu、内存和磁盘资源。也可以按照管理员预先定义好的虚拟桌面规格直接申请。且用户通
过自助页面申请云桌面资源时，可以设置虚拟桌面使用时长，桌面超期时即回收用户使用权限，用户也可申请延期。
69.(3)高可靠架构：h3c cloud云桌面集群基于cas服务器虚拟化平台，可以为用户提供ha、drs、dpm等多重系统可靠性保障，有效保证云桌面的稳定性。基于集群进行集中管理的好处在于：利用集中化管理功能，管理员能够通过统一的界面对整个it环境进行组织、监控和配置，从而降低管理成本。
70.由多台独立服务器主机聚合形成的一个具有共享资源池的集群不仅降低了桌面池管理的复杂度，而且具有内在的高可用性，通过监控集群下所有的主机，一旦某台主机发生故障，h3c cas虚拟化平台就会立即响应并在集群内另一台主机上重启受影响的虚拟桌面，也可以进行手动在线虚拟桌面迁移，提供存储在线迁移功能，支持虚拟桌面跨不同存储类型以及不同厂商存储产品之间进行在线迁移，无需中断或停机即可将正在运行的虚拟桌面从一个存储位置实时迁移到另一个存储位置，为用户提供一个经济有效的云桌面高可用性解决方案。
71.(4)协议支持自适应传输：借助自适应传输，虚拟通道可以自动响应不断变化的网络条件，实现在tcp、udp之间自动切换，无需人工干预，可以保证用户的最佳体验。
72.自适应传输是云桌面的新数据传输机制，此传输速度更快，更具有扩展性，改进了应用程序的交互性，并且在具有挑战性远距离wan和internet连接中互动性更强。自适应传输传输维持高服务器可扩展性，并有效利用带宽。借助自适应传输，虚拟通道可以自动响应不断变化的网络条件。它们可以在协议与tcp之间智能地切换底层协议，已提供最佳性能。这提高了所有虚拟通道的数据吞吐量。相同的设置适用于lan与wan条件。
73.设置为首选时，需要首先使用局域edt的数据传输，并回退到tcp。默认情况下，禁用自适应传输(关)，并始终用tcp。处于测试目的，可以设置诊断模式，在这种情况下，仅适用edt，并禁用退到tcp。
74.(5)提供应用交付容器类技术：实现应用的分层管理，通过applayering提供应用交付容器类技术，管理员在不修改桌面母镜像的情况下可以将应用程序、系统补丁、杀毒软件和驱动程序等作为一个个应用层，组合成不同镜像发配给不同用户。管理员在不修改桌面母镜像的情况下可以将应用程序、系统补丁、杀毒软件和驱动程序等作为一个个应用层，组合成不同镜像发配给不同用户。
75.优选的，所述静态桌面池上设置有桌面锁，所述桌面锁密码为独享用户设立，当用户输入密码连续错误设定次数时自动断开与办公网的连接。
76.优选的，所述云桌面虚拟机上还部署有云桌面监控程序，所述云桌面监控程序用于监控用户对于云桌面的使用情况，并根据使用情况确定客户终端是否安全。
77.优选的，当连接办公网的客户终端为首次连接的陌生地址时，所述云桌面监控程序限制客户终端的连接，并将所述客户终端信息上传到管理员处，由管理员手动确认解除对所述客户终端的限制。
78.优选的，当连接办公网的客户终端当次连接文件下载次数高于设定次数时，所述云桌面监控程序限制客户终端的连接，并将所述客户终端信息上传到管理员处，由管理员手动确认解除对所述客户终端的限制，所述设定次数由管理员手动设置。
79.综上所述，本发明使用云桌面虚拟机与办公网云数据中心的资源，这解决传统数
据办公不安全的问题，也实现了在这种模式下数据不落地，都在企业内，提高数据的安全性和体验效果，因此本发明能提高数据的安全性和体验效果、提高网络的应用安全审计精细程度。
80.实施例二
81.本实施例提供了一种基于云桌面的远程办公实现方法：
82.如图3所示，一种基于云桌面的远程办公实现方法，该方法基于上述系统得以实施。本实施例提供的基于云桌面的远程办公实现方法，包括：
83.步骤s01：在防火墙的两个端口分别连接互联网和办公网，并将ip地址配置成互联网公网ip和办公网固定ip，完成线路连接。
84.步骤s02：防火墙配置默认路由和静态路由。
85.在本实施例中，默认路由为互联网网关，即0.0.0.0/0.0.0.0的下一跳为互联网固定ip对应的网关；静态路由为办公网需要访问的地址段，其下一跳为办公网网关；
86.步骤s03：配置vpn接口地址和vpn地址池。
87.在本实施例中，配置vpn接口地址为“172.16.1.1”，该接口地址也是vpn用户获取vpn地址时的网关；
88.配置vpn地址池，地址池为vpn用户分配的新的ip地址，必须和网络中现有的地址不冲突，在本实施例中，配置vpn地址池为“172.16.1.10-172.16.1.100”。
89.步骤s04：创建ssl vpn。
90.在创建ssl vpn时，即在创建隧道接口时，需要输入一个端口号，端口号由用户自己定义，如4433；该端口号也是用户登录vpn时的ip地址端口。
91.步骤s05：创建安全域和策略。
92.将ssl vpn及接口定义为三层的安全域(trust)，办公网定义为缓冲域(dmz)，互联网定义为非安全域(untrust)，制定相对的策略，只允许符合规定的访问通过。
93.步骤s06：给用户添加帐号密码，每一个帐号仅供一名用户使用。
94.步骤s07：启用主机检测和绑定，完成远程办公的安装配置。
95.通过步骤s07检测和绑定主的机功能，在用户首次登录时自动把用户名和主机id的应用关系加入绑定表，锁定用户的电脑硬件、网卡mac地址、操作系统等多项参数，降低非法侵入的可能。
96.上述系统的具体工作过程采用实施例一中的方式实现，在此不再赘述。
97.本领域技术人员应该明白，上述本发明的各模块或各步骤可以用通用的计算机装置来实现，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。本发明不限制于任何特定的硬件和软件的结合。
98.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
99.上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不
需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。