一种云桌面安全检测方法、系统、计算设备和存储介质与流程

1.本发明属于云桌面领域，尤其涉及一种云桌面安全检测方法、系统、计算设备和存储介质。


背景技术：

2.云桌面又称桌面虚拟化、云电脑，是替代传统电脑的一种新模式；采用云桌面后，用户无需再购买电脑主机，主机所包含的cpu、内存、硬盘等组件全部在后端的服务器中虚拟出来，用户安装客户端后通过特有的通信协议访问后端服务器上的虚拟机主机来实现交互式操作，达到与电脑一致的体验效果；同时，云桌面不仅支持用于替换传统电脑，还支持手机、平板等其他智能设备在互联网上访问，也是移动办公的最新解决方案。
3.云桌面是通过桌面虚拟化技术，将桌面与数据集中在服务器端，这就导致云桌面的安全受到云服务器端、连接终端与用户三个方面的威胁，如果不能保证这三个方面的安全，则会容易导致企业在云端的关键数据遭到非法泄露或更改。


技术实现要素：

4.本发明实施例的目的在于提供一种云桌面安全检测方法、系统、计算设备和存储介质，旨在解决背景技术中提出的问题。
5.为实现上述目的，本发明实施例提供如下技术方案：
6.一种云桌面安全检测方法，适用于云服务器端，具体包括以下步骤：
7.接收终端的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端建立连接；
8.获取登入用户的身份信息，根据所述身份信息进行身份验证，并在验证通过之后，创建虚拟机；
9.根据所述身份信息，设置所述虚拟机的资源访问权限，并在用户访问超过所述资源访问权限时，进行警告与记录。
10.作为本发明实施例技术方案进一步的限定，所述接收终端的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端建立连接具体包括以下步骤：
11.接收终端的连接请求；
12.根据所述连接请求进行云桌面安全自检，得到安全自检结果；
13.获取所述终端的安全检测报告；
14.在所述安全自检结果和所述安全检测报告都达标时，与所述终端建立连接。
15.作为本发明实施例技术方案进一步的限定，所述根据所述连接请求进行云桌面安全自检，得到安全自检结果具体包括以下步骤：
16.根据所述连接请求启动安全自检程序；
17.按照所述安全自检程序获取进程信息和关键注册表信息；
18.通过安全检测模型对所述进程信息和所述关键注册表信息进行分析；
19.根据分析结果，得到安全自检结果。
20.作为本发明实施例技术方案进一步的限定，所述获取所述终端的安全检测报告具体包括以下步骤：
21.向所述终端发送安全检测指令；
22.获取终端根据所述安全检测指令生成的安全检测报告。
23.作为本发明实施例技术方案进一步的限定，所述获取登入用户的身份信息，根据所述身份信息进行身份验证，并在验证通过之后，创建虚拟机具体包括以下步骤：
24.获取登入用户的身份信息；
25.对所述身份信息进行身份验证，判断身份验证是否通过；
26.若身份验证通过，则创建虚拟机；
27.若身份验证不通过，则断开与所述终端的连接。
28.作为本发明实施例技术方案进一步的限定，所述根据所述身份信息，设置所述虚拟机的资源访问权限，并在用户访问超过所述资源访问权限时，进行警告与记录具体包括以下步骤：
29.根据所述身份信息，确定访问等级；
30.根据所述访问等级，设置所述虚拟机的资源访问权限；
31.基于所述资源访问权限，限制该用户的资源访问，并在用户访问超过所述资源访问权限时，进行警告与记录。
32.本发明实施例的另一目的在于提供一种云桌面安全检测系统，所述系统包括连接检测单元、身份验证单元和访问限制单元，其中：
33.连接检测单元，用于接收终端的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端建立连接；
34.身份验证单元，用于获取登入用户的身份信息，根据所述身份信息进行身份验证，并在验证通过之后，创建虚拟机；
35.访问限制单元，用于根据所述身份信息，设置所述虚拟机的资源访问权限，并在用户访问超过所述资源访问权限时，进行警告与记录。
36.本发明实施例的另一目的在于提供一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如上所述云桌面安全检测方法的步骤。
37.本发明实施例的另一目的在于提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如上所述云桌面安全检测方法的步骤。
38.与现有技术相比，本发明的有益效果是：
39.本发明实施例通过接收终端的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端建立连接；获取登入用户的身份信息，根据所述身份信息进行身份验证，并在验证通过之后，创建虚拟机；根据所述身份信息，设置所述虚拟机的资源访问权限，并在用户访问超过所述资源访问权限时，进行警告与记录。能够对云服务器端和终端进行安全连接环境检测，对用户进行身份验证和根据用户身份设置资源访问权
限，有效保障云服务器端、连接终端与用户三方面的安全，能够避免企业在云端的关键数据遭到非法泄露或更改。
附图说明
40.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。
41.图1示出了本发明实施例提供的方法的网络实施环境图。
42.图2示出了本发明实施例提供的方法的流程图。
43.图3示出了本发明实施例提供的方法中连接安全检测的流程图。
44.图4示出了本发明实施例提供的方法中安全自检的流程图。
45.图5示出了本发明实施例提供的方法中获取安全检测报告的流程图。
46.图6示出了本发明实施例提供的方法中用户身份验证的流程图。
47.图7示出了本发明实施例提供的方法中设置访问权限的流程图。
48.图8示出了本发明实施例提供的方法中访问权限判断的流程图。
49.图9示出了本发明实施例提供的系统的应用架构图。
具体实施方式
50.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
51.可以理解的是，在现有技术中，云桌面的安全受到云服务器端、连接终端与用户三个方面的威胁，如果不能保证这三个方面的安全，则会容易导致企业在云端的关键数据遭到非法泄露或更改。
52.为解决上述问题，本发明实施例能够对云服务器端和终端进行安全连接环境检测，对用户进行身份验证和根据用户身份设置资源访问权限，有效保障云服务器端、终端与用户三方面的安全，能够避免企业在云端的关键数据遭到非法泄露或更改。
53.如图1所示，为本发明实施例提供的方法的网络实施环境图。
54.在该网络实时环境图中，云服务器端101可以同时与两个或两个以上的终端102、终端103连接，为两个或两个以上的终端102、终端103提供云桌面、云储存和云计算等。云服务器端101是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务端，其管理方式比物理服务器更简单高效，企业和用户无需提前购买硬件，即可迅速创建或释放任意多台云服务器，云服务器端101是云计算服务的重要组成部分，是面向各类互联网用户提供综合业务能力的服务平台，整合了传统意义上的互联网应用三大核心要素：计算、存储与网络，面向企业和用户提供公用化的互联网基础设施服务。终端102可以是能够进行内容输入与内容输出的显示器、移动平板等。
55.图2示出了本发明实施例提供的方法的流程图。
56.具体的，一种云桌面安全检测方法，适用于云服务器端101，所述方法具体包括以下步骤：
57.步骤s101，接收终端102的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端102建立连接。
58.在本发明实施例中，用户在将终端102与云服务器端101连接时，通过终端102向云服务器端101发送连接请求，云服务器端101接收连接请求之后，对连接环境进行安全检测，在保证云服务器端101与终端102的连接环境为安全时，与终端102建立连接。
59.具体的，图3示出了本发明实施例提供的方法中连接安全检测的流程图。
60.其中，在本发明提供的优选实施方式中，所述接收终端的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端建立连接具体包括以下步骤：
61.步骤s1011，接收终端102的连接请求。
62.在本发明实施例中，用户在将终端102与云服务器端101连接时，云服务器端101接收终端102发送的连接请求。
63.步骤s1012，根据所述连接请求进行云桌面安全自检，得到安全自检结果。
64.在本发明实施例中，接收连接请求之后，云服务器端101对云桌面进行安全自检，并获取安全自检结果。
65.具体的，图4示出了本发明实施例提供的方法中安全自检的流程图。
66.其中，在本发明提供的优选实施方式中，所述根据所述连接请求进行云桌面安全自检，得到安全自检结果具体包括以下步骤：
67.步骤s10121，根据所述连接请求启动安全自检程序。
68.在本发明实施例中，在接收到连接请求之后，触发启动安全自检程序。
69.步骤s10122，按照所述安全自检程序获取进程信息和关键注册表信息。
70.在本发明实施例中，通过安全自检程序，对云服务器端101中的此时的进程信息和关键注册表进行扫描获取。
71.步骤s10123，通过安全检测模型对所述进程信息和所述关键注册表信息进行分析。
72.在本发明实施例中，将扫描获取的进程信息和关键注册表信息输入至安全检测模型中，根据安全检测模型的分析，导出进程信息和关键注册表的分析结果，判断是否存在恶意进程和关键注册表。
73.可以理解的是，安全检测模型是根据进程信息和关键注册表信息训练的检测模型，能够根据输入的进程信息和关键注册表信息，判断是否为恶意进程和关键注册表。
74.步骤s10124，根据分析结果，得到安全自检结果。
75.在本发明实施例中，根据分析结果中是否存在恶意进程和关键注册表，判断对于云服务器端101的自检结果是否为安全。
76.进一步的，所述接收终端的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端建立连接还包括以下步骤：
77.步骤s1013，获取所述终端102的安全检测报告。
78.在本发明实施例中，终端102进行安全检测，得到安全检测报告，并将安全检测报告发送至云服务器端101。
79.具体的，图5示出了本发明实施例提供的方法中获取安全检测报告的流程图。
80.其中，在本发明提供的优选实施方式中，所述获取所述终端的安全检测报告具体
包括以下步骤：
81.步骤s10131，向所述终端102发送安全检测指令。
82.在本发明实施例中，接收连接请求之后，云服务器端101生成安全检测指令，并将安全检测指令发送至终端102。
83.步骤s10132，获取终端102根据所述安全检测指令生成的安全检测报告。
84.在本发明实施例中，终端102在接收云服务器端101发送的安全检测指令之后，进行安全检测，生成安全检测报告，并将安全检测报告发送至云服务器端101。
85.进一步的，所述接收终端的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端建立连接还包括以下步骤：
86.步骤s1014，在所述安全自检结果和所述安全检测报告都达标时，与所述终端102建立连接。
87.在本发明实施例中，在满足安全自检结果和安全检测报告都达标时，说明连接环境为安全的，此时云服务器端101与终端102建立连接；如果安全自检结果和安全检测报告有任意一个不能达标，说明连接环境不安全，此时云服务器端101不与终端102建立连接。
88.进一步的，所述云桌面安全检测方法还包括以下步骤：
89.步骤s102，获取登入用户的身份信息，根据所述身份信息进行身份验证，并在验证通过之后，创建虚拟机。
90.在本发明实施例中，获取用户在终端102上输入的身份信息，并对用户的身份信息进行身份验证，判断该用户是否有登入权限，如果用户验证通过，则创建虚拟机与终端102进行数据传输。
91.可以理解的是，虚拟机是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在实体计算机中能够完成的工作在虚拟机中都能够实现。在云服务器端101中创建虚拟机时，需要将云服务器端101的部分内存作为虚拟机的硬盘和内存容量。每个虚拟机都有独立的cmos、硬盘和操作系统，可以像使用实体机一样对进行数据处理、数据存储和数据传输。
92.具体的，图6示出了本发明实施例提供的方法中用户身份验证的流程图。
93.其中，在本发明提供的优选实施方式中，所述获取登入用户的身份信息，根据所述身份信息进行身份验证，并在验证通过之后，创建虚拟机具体包括以下步骤：
94.步骤s1021，获取登入用户的身份信息。
95.在本发明实施例中，用户在终端102上输入用户的身份信息，终端102将身份信息发送至云服务器端101。
96.步骤s1022，对所述身份信息进行身份验证，判断身份验证是否通过。
97.在本发明实施例中，根据用户的身份信息，与身份信息库进行信息匹配，从而对用户的登入权限进行验证，判断身份验证是否通过，进而判断用户是否可以登入。
98.步骤s1023，若身份验证通过，则创建虚拟机。
99.在本发明实施例中，如果身份验证通过，则说明用户具有登入权限，此时创建虚拟机与终端102进行数据传输。
100.步骤s1024，若身份验证不通过，则断开与所述终端102的连接。
101.在本发明实施例中，如果身份验证不通过，则说明用户不具有登入权限，此时与对
应的终端102断开连接，防止数据泄露至登入权限的用户，避免企业或个人的重要数据被窃取。
102.进一步的，所述云桌面安全检测方法还包括以下步骤：
103.步骤s103，根据所述身份信息，设置所述虚拟机的资源访问权限，并在用户访问超过所述资源访问权限时，进行警告与记录。
104.在本发明实施例中，根据用户的身份信息，对虚拟机的资源访问权限进行设置，使得用户只能通过终端102和虚拟机进行部分资源的访问，如果用户进行超出资源访问权限的资源访问时，则会进行警告，并记录这次超过资源访问权限的访问操作。
105.具体的，图7示出了本发明实施例提供的方法中设置访问权限的流程图。
106.其中，在本发明提供的优选实施方式中，所述根据所述身份信息，设置所述虚拟机的资源访问权限，并在用户访问超过所述资源访问权限时，进行警告与记录具体包括以下步骤：
107.步骤s1031，根据所述身份信息，确定访问等级。
108.在本发明实施例中，按照用户的身份信息，匹配与用户身份信息相对应的访问等级。
109.步骤s1032，根据所述访问等级，设置所述虚拟机的资源访问权限。
110.在本发明实施例中，根据匹配的访问等级，设置该用户通过终端102连接的虚拟机的资源访问权限。
111.可以理解的是，在企业中，为了防止公司的数据泄露，保障公司技术的机密性，通常对于不同的员工，设置的公司的数据访问权限不同。通过设置虚拟机的资源访问权限，使得根据用户身份信息建立的虚拟机根据身份信息的不同，资源访问的范围不同。比如：员工职级越高，资源访问权限越大；设计部的员工，没有项目部的资源访问权限等。从而避免公司的商业秘密、技术研究等泄露，避免公司的技术被竞争对手随意盗取，保障企业的竞争力优势。
112.步骤s1033，基于所述资源访问权限，限制该用户的资源访问，并在用户访问超过所述资源访问权限时，进行警告与记录。
113.在本发明实施例中，用户只能依据资源访问权限，通过虚拟机进行资源访问，同时，为了避免用户进行超资源访问权限的访问，对超资源访问权限的访问行为进行警告与记录。
114.可以理解的是，对用户进行资源访问权限设定是为了更好地保护企业的技术资料等核心数据，如果用户进行超资源访问权限的访问，则会在该用户的终端102上进行警告，具体的警告方式可以是弹窗警告，并记录此次超资源访问权限的访问，便于企业进行超资源访问权限的访问的调查。
115.具体的，图8示出了本发明实施例提供的方法中访问权限判断的流程图。
116.其中，在本发明提供的优选实施方式中，所述基于所述资源访问权限，限制该用户的资源访问，并在用户访问超过所述资源访问权限时，进行警告与记录具体包括以下步骤：
117.步骤s10331，在用户进行资源访问时，获取资源访问类型。
118.在本发明实施例中，在用户进行资源访问时，对资源访问类型进行获取。资源访问类型可以是按照访问资源的从属部门、秘密等级等进行的资源分类。
119.步骤s10332，判断所述资源访问类型是否超出所述资源访问权限。
120.在本发明实施例中，将资源访问类型与虚拟机设置的资源访问权限进行对比，判断该资源访问类型是否在资源访问权限内。
121.步骤s10333，若所述资源访问类型不超出所述资源访问权限，则允许用户访问。
122.在本发明实施例中，如果资源访问类型在虚拟机设置的资源访问权限之中，则判定用户为正常访问，此时允许用户访问。
123.步骤s10334，若所述资源访问类型超出所述资源访问权限，则限制用户访问，并进行警告与记录。
124.在本发明实施例中，如果资源访问类型超出了虚拟机设置的资源访问权限，则判定用户为非正常访问，此时拒绝用户访问，并生成弹窗警告，并记录此次超资源访问权限的访问操作。
125.进一步的，图9示出了本发明实施例提供的系统的应用架构图。
126.具体的，一种云桌面安全检测系统，其特征在于，所述系统包括连接检测单元1011、身份验证单元1012和访问限制单元1013，其中：
127.连接检测单元1011，用于接收终端102的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端102建立连接。
128.在本发明实施例中，用户在将终端102与云服务器端101连接时，通过终端102向云服务器端101发送连接请求，云服务器端101通过连接检测单元1011接收连接请求之后，对连接环境进行安全检测，在保证云服务器端101与终端102的连接环境为安全时，与终端102建立连接。
129.身份验证单元1012，用于获取登入用户的身份信息，根据所述身份信息进行身份验证，并在验证通过之后，创建虚拟机。
130.在本发明实施例中，身份验证单元1012获取用户在终端102上输入的身份信息，并对用户的身份信息进行身份验证，判断该用户是否有登入权限，如果用户验证通过，则创建虚拟机与终端102进行数据传输。
131.访问限制单元1013，用于根据所述身份信息，设置所述虚拟机的资源访问权限，并在用户访问超过所述资源访问权限时，进行警告与记录。
132.在本发明实施例中，访问限制单元1013根据用户的身份信息，对虚拟机的资源访问权限进行设置，使得用户只能通过终端102和虚拟机进行部分资源的访问，如果用户进行超出资源访问权限的资源访问时，则会进行警告，并记录这次超过资源访问权限的访问操作。
133.在一个实施例中，提出了一种计算机设备，所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
134.接收终端的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端建立连接；
135.获取登入用户的身份信息，根据所述身份信息进行身份验证，并在验证通过之后，创建虚拟机；
136.根据所述身份信息，设置所述虚拟机的资源访问权限，并在用户访问超过所述资
源访问权限时，进行警告与记录。
137.在一个实施例中，提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，使得处理器执行以下步骤：
138.接收终端的连接请求，根据所述连接请求进行安全连接环境检测，并在检测通过之后，与所述终端建立连接；
139.获取登入用户的身份信息，根据所述身份信息进行身份验证，并在验证通过之后，创建虚拟机；
140.根据所述身份信息，设置所述虚拟机的资源访问权限，并在用户访问超过所述资源访问权限时，进行警告与记录。
141.应该理解的是，虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
142.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
143.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
144.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
145.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。