实现远程虚拟桌面访问统一管理和监控的系统及方法

摘要

本发明包括RDP虚拟服务器端模块、RDP虚拟客户端模块、VNC虚拟客户端模块和X11虚拟客户端模块，协议转化处理模块将非加密非压缩数据流复制一份交给RDP协议数据流格式化模块，RDP协议数据流格式化模块将非加密非压缩数据流中包含的图形信息解析出来并复制两份，一份交由实时监控视频流输出，另一份保存于追溯回放数据库。本发明极大地减轻了维护人员的日常工作量，维护人员不用安装各种各样的工具来满足对RDP、VNC和X11的不同访问，不必记录繁多服务器地址，不必记录各个服务器上使用的维护账号和密码。本发明在统一管理三种远程虚拟桌面访问方式前提下，还实现了实时监控维护人员操作的功能。

说明书

技术领域

本发明属于远程虚拟桌面访问协议技术领域，具体是涉及一种实现远程虚拟桌面访问统一管理和监控的系统及方法。

背景技术

远程虚拟桌面是各种图形化操作系统向网络管理人员提供的一种图形化的远程访问方式，通过远程虚拟桌面网络管理人员可以像操作本地计算机一样操作远程服务器，为人们维护服务器提供了极大的便利。主流的远程虚拟桌面访问协议包括微软公司提供的远程桌面传输协议（Remote Desktop Protocol，RDP）、VNC协议和X11协议，它们都属于网络协议组的应用层。

如果要使用这三种协议进行远程虚拟桌面访问，必须在服务器安装和启动相应的服务例程，同时维护人员需要在自己的工作站上安装三种相应的客户端（例如，要访问启动了VNC服务的服务器，就需要安装VNC的客户端）。并且在一个大型网络中，一个维护人员往往需要维护几十甚至上百台服务器，那么他还需要记录这些服务器的网络地址和它们的用户名密码，对于维护人员而言这是一项繁重的工作。

如果要对远程虚拟桌面进行统一访问管理，首先应该统一它们的访问工具，统一管理和监控系统可以把VNC和X11在网络协议上转换为RDP协议来进行传输。这样做是因为往往个人电脑上安装的windows系统自带了支持RDP协议的windows远程桌面客户端，不需要再单独安装其他工具。维护人员只需要利用windows远程桌面客户端登录统一管理和监控系统并进行身份认证，系统即可通过RDP协议将一个可视化的菜单输出给维护人员，接下来维护人员就可以在可视化的菜单中选择自己需要访问的服务器进行直接访问，无论服务器上启动的是RDP服务例程、VNC服务例程或者是X11服务例程。同时考虑到选择的便利性和服务器的安全性，服务器不使用IP地址显示而是用预定义的服务器名称来显示，并且该维护无权限访问的服务器也无法看到，这样维护人员可以更直观地看到自己有权限访问的服务器。

发明内容

本发明主要是解决上述现有技术所存在的技术问题，提供了一种实现远程虚拟桌面访问统一管理和监控的系统及方法。

本发明所说的监控包含了两个层次，一个是实时地以视频流的方式查看并可以及时地阻断正在进行的远程图形化操作，另外一个是在事后可以同样以视频流的方式对已经操作的行为进行追溯。由于三种远程虚拟桌面访问协议都是图形化的操作协议，因此为了保证在有限带宽的情况下流畅地使用，均采用了压缩传输的方式来节省带宽，例如RDP协议通过只传输图形变化部分和对传输数据包进行mppc压缩两种压缩的方法；同时为了保障远程操作的安全性，三种远程虚拟桌面访问协议都对传输数据进行了加密，并且三种协议对数据的压缩和加密处理都采用不同的方法。这样在需要对远程访问操作进行监控时，通过常用的旁路抓取数据包的方式是无法从中获得有效数据的，为了达到监控的目的，必须对协议的数据包进行解压缩和反解密，正因为有了上面的统一管理，只需要对面向客户端的RDP协议数据流进行监控即可；实时监控模块除了向监控客户端发送实时监控数据外，同时还可以接收监控客户端发送来的阻断指令，当需要阻断正在进行的远程图形化操作时，由实时监控模块接收监控客户端发送来的阻断指令，实时监控模块向对应的协议转化处理线程发送信号结束该线程，以达到阻断远程访问的目的。

本发明的上述技术问题主要是通过下述技术方案得以解决的：一种实现远程虚拟桌面访问统一管理和监控的系统，所述系统包括RDP虚拟服务器端模块、RDP虚拟客户端模块、VNC虚拟客户端模块和X11虚拟客户端模块，RDP虚拟服务器端模块与RDP客户端模块交互加密压缩数据，RDP虚拟客户端模块与RDP服务器端模块交互加密压缩数据，VNC虚拟客户端模块与VNC服务器端模块交互数据，X11虚拟客户端模块与X11服务器端模块交互数据，RDP虚拟服务器端模块与RDP虚拟客户端模块、VNC虚拟客户端模块和X11虚拟客户端模块之间建立协议转化处理模块，协议转化处理模块将非加密非压缩数据流复制一份交给RDP协议数据流格式化模块做进一步处理。RDP协议数据流格式化模块将非加密非压缩数据流中包含的图形信息解析出来并复制两份，一份交由实时监控视频流输出，另一份保存于追溯回放数据库。

远程虚拟桌面访问统一管理和监控系统的实现方法为：RDP虚拟服务器端解密解压来自RDP客户端的加密压缩数据，交由协议转化处理模块转化为RDP协议、VNC协议或X11协议的非加密非压缩数据，并由协议转化处理模块将该非加密非压缩数据传输给相应的RDP虚拟客户端模块、VNC虚拟客户端模块或X11虚拟客户端模块，RDP虚拟客户端模块、VNC虚拟客户端模块和X11虚拟客户端模块根据自身协议的特点，将该非加密非压缩数据进行压缩和加密再交互给相应的RDP服务器端模块、VNC服务器端模块和X11服务器端模块，反之则是RDP虚拟客户端解密解压来自RDP服务器端的加密压缩数据，或VNC虚拟客户端解密解压来自VNC服务器端的加密压缩数据，或X11虚拟客户端解密解压来自X11服务器端的加密压缩数据，交由协议转化处理模块转化为RDP协议的非加密非压缩数据，并由协议转化处理模块将该非加密非压缩数据传输给RDP虚拟服务器端模块，RDP虚拟服务器端模块根据自身协议的特点，将该非加密非压缩数据进行压缩和加密再交互给RDP客户端模块；同时协议转化处理模块将该非加密非压缩数据流复制一份交给RDP协议数据流格式化模块，RDP协议数据流格式化模块将该非加密非压缩数据流中包含的图形信息解析出来并复制两份，一份交由实时监控视频流输出，另一份保存于追溯回放数据库；实时监控视频流输出模块首先以每个远程虚拟桌面会话为节点建立一个二叉搜索树，并为每一个远程虚拟桌面会话开启一个内存中的虚拟屏幕；实时监控视频流输出模块一旦接收到图形信息，就在二叉搜索树中查找到相应的会话节点，并把图形信息绘制到会话的内存虚拟屏幕上，即更新内存虚拟屏幕，然后将更新的屏幕传输给监控界面，监控界面也自动更新，这样就实现了实时监控维护人员操作的功能；依据记录在追溯回放数据库中的数据流，利用RDP协议数据流格式化模块存储下来的图形信息，将内存虚拟屏幕绘制前推至前端回放界面就实现了追溯和回放维护人员操作的功能。

对三种远程虚拟桌面访问方式进行统一管理的目的在于极大地减轻维护人员的日常工作量，首先维护人员可以不用安装各种各样的工具来满足对RDP、VNC和X11的不同访问，其次维护人员可以不必记录繁多服务器地址，第三维护人员可以完全不必记录各个服务器上使用的维护账号和密码。本发明在统一管理三种远程虚拟桌面访问方式前提下，还实现了实时监控维护人员操作的功能，整个系统操作简单易行。

附图说明

图1是本发明的一种原理结构示意图。

具体实施方式

下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。

实施例：参看图1，本发明包括RDP虚拟服务器端模块、RDP虚拟客户端模块、VNC虚拟客户端模块和X11虚拟客户端模块，RDP虚拟服务器端模块与RDP客户端模块交互加密压缩数据，RDP虚拟客户端模块与RDP服务器端模块交互加密压缩数据，VNC虚拟客户端模块与VNC服务器端模块交互数据，X11虚拟客户端模块与X11服务器端模块交互数据，RDP虚拟服务器端模块与RDP虚拟客户端模块、VNC虚拟客户端模块和X11虚拟客户端模块之间建立协议转化处理模块。其中RDP虚拟服务器端解密解压来自RDP客户端的加密压缩数据，交由协议转化处理模块转化为RDP协议、VNC协议或X11协议的非加密非压缩数据，并由协议转化处理模块将该非加密非压缩数据传输给相应的RDP虚拟客户端模块、VNC虚拟客户端模块或X11虚拟客户端模块，RDP虚拟客户端模块、VNC虚拟客户端模块和X11虚拟客户端模块根据自身协议的特点，将该非加密非压缩数据进行压缩和加密再交互给相应的RDP服务器端模块、VNC服务器端模块和X11服务器端模块，反之则是RDP虚拟客户端解密解压来自RDP服务器端的加密压缩数据，或VNC虚拟客户端解密解压来自VNC服务器端的加密压缩数据，或X11虚拟客户端解密解压来自X11服务器端的加密压缩数据，交由协议转化处理模块转化为RDP协议的非加密非压缩数据，并由协议转化处理模块将该非加密非压缩数据传输给RDP虚拟服务器端模块，RDP虚拟服务器端模块根据自身协议的特点，将该非加密非压缩数据进行压缩和加密再交互给RDP客户端模块；同时协议转化处理模块将该非加密非压缩数据流复制一份交给RDP协议数据流格式化模块，RDP协议数据流格式化模块将该非加密非压缩数据流中包含的图形信息解析出来并复制两份，一份交由实时监控视频流输出，另一份保存于追溯回放数据库；实时监控视频流输出模块首先以每个远程虚拟桌面会话为节点建立一个二叉搜索树，并为每一个远程虚拟桌面会话开启一个内存中的虚拟屏幕；实时监控视频流输出模块一旦接收到图形信息，就在二叉搜索树中查找到相应的会话节点，并把图形信息绘制到会话的内存虚拟屏幕上，即更新内存虚拟屏幕，然后将更新的屏幕传输给监控界面，监控界面也自动更新，这样就实现了实时监控维护人员操作的功能；依据记录在追溯回放数据库中的数据流，利用RDP协议数据流格式化模块存储下来的图形信息，将内存虚拟屏幕绘制前推至前端回放界面就实现了追溯和回放维护人员操作的功能。

本发明远程虚拟桌面实时监控实现的基础是来自于RDP协议数据流格式化模块递交来的图形信息，由于同时可能多个会话在连接，因此实时监控视频流输出模块首先会以每个远程虚拟桌面会话为节点建立一个二叉搜索树（目的是当接收到图形信息后快速地查找到相应的会话），并为每一个远程虚拟桌面会话开启一个内存中的虚拟屏幕。由于远程虚拟桌面的屏幕分辨率是在连接时以交互模式定义好，并在连接的整个过程中不会变化，因此在连接时首先确定屏幕的分辨率，然后再建立好内存虚拟屏幕。当实时监控视频流输出模块接收到图形信息时，实时监控视频流输出模块可以在二叉搜索树中查找到相应的会话节点，并把图形信息绘制到会话的内存虚拟屏幕上。当监控人员需要对某个会话进行实时监控时，只需要通过系统的界面向实时监控视频流输出模块发出请求，模块即可将当前内存虚拟屏幕中的画面传输给监控界面，此后只需要在图形信息接收到的时候，首先更新内存虚拟屏幕，然后将更新的屏幕传输给监控界面，监控界面也进行自动更新，这样就完成了实时监控的功能。

远程虚拟桌面的追溯和回放是依靠记录在追溯回放数据库中的数据流来实现的，实现的基础是来自于RDP协议数据流格式化模块存储下来的图形信息。根据上面实时监控的实现原理可知，只需要把内存虚拟屏幕绘制的功能前推至前端回放界面就可以实现追溯和回放了。这里所说的数据库并不是一般意义上的关系型数据库，而是一个有组织存放的由多个二进制文件组成的数据库，且每个二进制文件对应着一个已经完成访问的会话。文件记录的方法是文件头包含了连接时交互的屏幕分辨率，后面紧跟着所有传输过程中的图形信息数据包。为了保证回放的真实性，每个数据包之间记录下了当时数据包出现的间隔时间，这样在回放时就可以根据这个间隔时间来进行回放，达到完全还原呈现现场的效果，当然审计人员也可以根据需要来进行快进和慢放的操作。在回放界面端，回放界面首先打开选择要回放的会话文件，并读出文件头，根据文件头中的屏幕分辨率信息建立并准备好本地（即请求回放的客户端）前台真实屏幕和内存虚拟屏幕；然后不断从追溯回放数据库中将图形信息读出，并先在内存虚拟屏幕中进行内存虚拟屏幕绘制，每一次绘制操作完成后，将内存虚拟屏幕交换到前台真实屏幕中。这样就实现了追溯回放功能，并且由于采用了两个屏幕交换的手段，不会让查看回放的人员有屏幕闪烁感。

最后，应当指出，以上实施例仅是本发明较有代表性的例子。显然，本发明的技术方案并不限于上述实施例，还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形，均应认为是本发明的保护范围。