云端虚拟桌面应用的网络服务等级与功能的管控系统与方法

摘要

本发明目的是提供虚拟桌面服务上的IP路由管控等级与功能方法，此路由管控方法功能包括IP配发、路由管控、使用者服务分群授权等功能。这套路由管控方法可以弥补现有虚拟桌面服务上路由管控功能不足情形，也提供公司企业信息管理人员一套方便、有效率的虚拟桌面服务安全使用管理方法。

说明书

技术领域

本发明涉及一种应用于虚拟桌面环境的网络服务管控系统与方法，特别是涉及针对不同使用者提供不同的网络服务存取权限管理功能的云端虚拟桌面应用的网络服务等级与功能的管控系统与方法。

背景技术

企业为了达到高度信息安全与个资保密议题，会建立集中式的信息系统与数据库工作环境；企业员工则通过远程虚拟桌面存取的方式联机至中央服务器系统上运行个人工作。在现有架构下会产生两个问题，首先是当企业员工位于公司外部时，须利用虚拟私人网络(Virtual Private Network,VPN)技术透通因特网及公司防火墙连回公司内部网络，此时若该企业员工利用远程虚拟桌面技术存取公司内部信息系统，现有技术与方法将无法限制员工的信息系统存取权限，亦即在外员工可利用VPN以及远程虚拟桌面技术存取公司内部任一个信息系统。其次，现有远程虚拟桌面技术让每位登入同一服务器的使用者，皆共享一个相同的网络IP地址；若有一个软件或信息系统须利用IP地址来区分不同使用者时，将会造成服务无法顺利提供的状况发生；企业亦无法针对不同使用者身分来达成不同网络存取管控的功能。先前有专利技术(公开号200841652经由网关器而安全应用连接政策的策略)讨论类似安全存取权限议题，其技术是在客户端与远程桌面服务器间提供网关器来保障服务器的存取安全性，降低客户端恶意攻击远程桌面服务器的风险，但此方法并未提出如何区隔使用者的网络联机，因此尚未解决公司内部信息网络的存取权限与路由管控议题。

发明内容

基于此，本发明提供一种云端虚拟桌面应用的网络服务等级与功能的管控系统与方法，可以达到让不同使用者在登入中央桌面服务器系统时，自动让不同使用者各自拥有一个暂时性但彼此独立的IP地址，本发明的管理系统并可自动针对每一个使用者所取得的暂时但独立IP地址产生对应的网络服务管控功能，限制每一个使用者隶属于一个特定的服务群组，并且针对该服务群组设定可存取的网络服务，提供企业一套有效率、弹性且具安全性的桌面服务方法。

一种云端虚拟桌面应用的网络服务等级与功能的管控系统，包括：

服务接收器，该服务接收器安装于桌面工作阶段服务器上，且该桌面工作阶段服务器用于远程桌面或虚拟桌面连网的工作阶段服务器，用于当使用者通过该服务接收器对该桌面工作阶段服务器发出登入服务请求时进行讯息沟通传递。

服务管理服务器，该服务管理服务器连接该服务接收器，并提供管理者设定使用者服务群组，和提供使用者服务群组的信息设定，该服务管理服务器只接受该服务接收器查询使用者服务群组的信息；以及

网络服务管控系统，该网络管控系统用于连接该服务接收器，并接收该服务接收器对使用者的网络服务设定。

在本发明中，其中该服务接收器通过网络通讯协议连接该服务管理服务器，用于执行服务列表的数据查询，且该服务管理服务器只接收该服务接收器提出的查询工作。

在本发明中，其中该服务接收器还包括标准动态主机设定协议服务器，该标准动态主机设定协议协助使用者请求虚拟桌面服务IP地址的分配。

在本发明中，其中该网络服务管控系统更包括从开放式通讯系统互连模型第3层级至开放式通讯系统互连模型第7层级的服务管控，该服务接收器通过网络通讯协议向该网络服务管控系统提出或解除该服务管控，当提出该服务管控时，提供该网络服务管控系统管控使用者存取的虚拟桌面服务IP地址与服务列表，并于解除该服务管控时，提供该网络服务管控系统解除管控使用者的虚拟桌面服务IP路由。

在本发明中，还至少包括下列步骤：

通过服务接收器接收到登入者的登入服务请求时，向标准动态主机设定协议服务器请求使用者的虚拟桌面服务IP地址的分配，并将使用者认证数据与其设备来源IP地址、设备相关信息传送至服务管理服务器，达成使用者相关授权服务列表的查询工作；

利用该服务接收器获取标准动态主机设定协议服务器的虚拟桌面服务IP地址分配和该服务管理服务器的该使用者相关授权服务列表讯息后，该服务接收器将该使用者相关授权服务列表信息转换成适当的管控信息格式，并传送至网络服务管控系统以执行服务管控；

通过该网络服务管控系统接收到该管控服务时，会将相关接收使用者服务管控信息加入其系统的管控功能，并通知该服务接收器完成管控使用者的管控；以及

利用该服务接收器接收到该网络服务管控系统的回传信息，并通过桌面工作阶段服务器将分配的服务IP地址发给使用者联机，用于完成使用者登入联机工作。

在本发明中，还包含下列步骤：

通过该服务接收器将使用者桌面联机信息传送至该网络服务管控系统，并且提出结束服务管控请求；

当该网络服务管控系统结束使用者联机IP地址的服务管控后，通知该服务接收器完成工作；以及

通过该服务接收器通知该标准动态主机设定协议服务器处理IP地址回收事项，并且通知该桌面工作阶段服务器结束使用者联机，以完成使用者离线工作。

该服务接收器提供的功能有三部分：

依照使用者客户端联机的来源IP地址与设备类别，提供给该服务管理服务器来取得对应的使用者服务存取列表，再分配一虚拟桌面服务IP，其功能有助于企业能依照其IP地址来提供使用者不同的服务存取，提升资料安全管控功能。

协助使用者在登入桌面工作阶段服务器时，代理向一标准动态主机设定协议(DHCP)服务器获取虚拟桌面服务IP地址的配置。

使其虚拟桌面工作阶段服务器能够与该网络服务管控系统通信信息、提出管控服务。当桌面环境服务器接受使用者连线时，必需通过此接收器与该网络服务管控系统请求使用者的服务授权。

该服务管理服务器可以提供管理者设定使用者存取服务的功能，达成依照客户端连线的来源虚拟桌面服务IP地址和使用者身份的分群服务功能。该服务接收器会向服务管理服务器读取相关服务列表信息，并做为使用者存取网络服务的管控参考。该网络服务管控系统主要在使用者登入工作环境后，由该服务接收器提供此使用者的分群服务列表，再加以控管使用者获取该虚拟桌面服务IP地址的相关网络存取服务。

根据本发明实施例，结合虚拟桌面网络服务环境功能包含以下步骤：

客户端设备向桌面工作阶段服务器请求提供登入工作环境，并且进行身份认证。

桌面工作阶段服务器将使用者认证信息送交给认证服务器认证其认证信息是否正确。

认证服务器确认使用者认证信息过后，认证服务器认证回传通过认证的信息给允许登入桌面工作阶段服务器。

桌面工作阶段服务器通过服务接取器向DHCP服务器提出虚拟桌面服务IP地址分配申请动作，将分配动态IP地址信息回传给予服务接收器。

服务接取器将使用者认证信息与其客户端设备联机IP地址信息，传送给服务管理服务器查询其使用者的分群服务列表，服务接取器将取得的服务列表与分配虚拟桌面服务IP地址信息向IP路由管控系统提出管控请求。

服务接取器收到分配动态虚拟桌面服务IP地址信息后，通过桌面工作阶段服务器将IP地址分配信息设定到使用者对应的上，并开始允许使用者登入工作环境；使用者在连线时，皆会使用此分配的虚拟桌面服务IP地址，并且使用者的连线会受到IP路由管控系统的管控。

当使用者提出结束工作环境连线后，服务接收器将结束信息传给IP路由管控系统，提出取消虚拟桌面服务IP地址相关系统管控功能，并且向DHCP服务器提出回收虚拟桌面服务IP地址分配工作。

通过本发明，管理者可以通过网络服务管控接收器设定不同的使用者服务群组，并且针对每一使用者群组设定可存取的网络服务以及IP路由存取权限功能。此接收器会依照不同使用者被事先赋与的权限，处理使用者联机相关服务授权设定。本发明让每位使用者取得独立而非共享的IP分配，因此使用者的路由与网络服务设定会是个别独立的，不会造成使用者间互相干扰的情形发生，有助于系统的使用弹性与其扩充性。

附图说明

图1为本发明云端虚拟桌面应用的网络服务等级与功能的管控系统与方法的示意图。

图2为使用者登入桌面环境并结合本发明云端虚拟桌面应用的网络服务等级与功能的管控系统与方法的流程图。

图3为使用者结束工作联机并结合本发明云端虚拟桌面应用的网络服务等级与功能的管控系统与方法的流程图。

附图标记说明：

101客户端设备

102桌面工作阶段服务器

1033G网络、有线连接网络或无线局域网络

104认证服务器

105服务接收器

106有线网络

107标准动态主机设定协议(DHCP)服务器

108服务管理服务器

109网络服务管控系统

110企业内部网络或外部因特网

201客户端设备提出登入工作环境服务申请

202桌面工作阶段服务器要求身份认证

203客户端设备提出认证

204桌面工作阶段服务器要求认证服务器认证

205认证服务器确认此账号是否已通过身份认证

206服务接取器向DHCP服务器请求虚拟桌面服务IP地址的分配工作

207服务接取器向服务管理服务器查询使用者相关服务列表信息

208服务管理服务器回传使用者授权列表给服务接取器

209服务接取器将要分配的虚拟桌面服务IP地址与授权列表信息提供给网络服务管控系统

210网络服务管控系统将接收到的虚拟桌面IP地址与授权列表信息添加至管控列表中

211服务接取器将分配的虚拟桌面服务IP地址发给桌面服务服务器，并对应给使用者对应登入连线，完成使用者登入工作

301客户端设备提出注销桌面服务申请

302服务接取器向虚拟桌面服务IP地址分配信息管理系统提出终止使用者管控列表

303服务接取器请求DHCP服务器回收分配的虚拟桌面服务IP地址

304桌面服务服务器停止客户端设备的连线

具体实施方式

下面结合实施例及附图对本发明作进一步详细说明，但本发明的实施方式不限于此。

请参阅图1所示，为本发明云端虚拟桌面应用的网络服务等级与功能的管控系统与方法的示意图。在图1的网络架构中，客户端设备101具备连网能力，可通过3G网络、有线连接网络或无线局域网络103，登入桌面工作阶段服务器102存取个人桌面连线服务。桌面工作阶段服务器102与认证服务器104的间通过有线网络106相连接，并且通过有线网络106传递认证信息。桌面工作阶段服务器102设定网络网关为网络服务管控系统109的IP地址，并且网络服务管控系统109利用有线网络106和服务接收器105通信。服务接收器105通过有线网络106，来协助客户端设备101的桌面环境连线，从标准动态主机设定协议(DHCP)服务器107获取虚拟桌面服务IP地址的分配信息，并将其虚拟桌面服务IP地址分配信息发给桌面工作阶段服务器102，用于提供使用者连接桌面环境的网络服务。服务接收器105可以通过有线网络106和服务管理服务器108实现服务列表的信息传递；服务管理员可以在服务管理服务器108设定使用者存取权限等功能。网络服务管控系统109通过有线或无线网络(无标示)连接企业内部网络或外部因特网110。

本实施例中的客户端设备101可以包括：桌上型计算机、笔记型计算机、PDA、智能型手机、精简型终端(Thin Client)等具备IP地址连网功能的设备。有线网络106的环境可以是因特网或是企业内部的私有网络。桌面工作阶段服务器102提供的工作环境服务可包含远程桌面服务、虚拟桌面服务等使用者常用工作环境。认证服务器104认证方法可为轻型目录访问协议(LDAP/LDAPs)服务器，或是一台远程用户拨入验证服务(RADIUS)服务器，桌面工作阶段服务器102再通过适当的通讯协议与认证服务器104完成认证工作。服务接收器105负责接受工作阶段服务器102登入使用者的服务请求、协助讯息沟通传递、辨别使用者客户端的来源IP地址、向服务管理服务器108查询服务列表功能、协助使用者请求工作环境的虚拟桌面服务IP地址的分配功能、向网络服务管控系统109提出服务管控功能。服务管理服务器108提供企业管理者设定相关使用者服务群组、使用者相关服务和服务群组信息的功能设定；并且限制服务管理服务器108只可以接受服务接收器105查询使用者服务信息的功能。

请参阅图2所示，为客户端设备101请求联机本发明云端虚拟桌面应用的网络服务等级与功能的管控系统与方法的流程图，其运作方法包含以下步骤：

步骤201：客户端设备101连接桌面工作阶段服务器102提出登入服务申请。

步骤202：桌面工作阶段服务器102要求客户端设备101进行使用者的身份认证步骤。

步骤203：客户端设备101依照其系统通信认证方式，发送使用认证数据。

步骤204：桌面工作阶段服务器102在收到客户端设备101发送的使用者认证数据后，将数据转送给认证服务器104执行认证工作。

步骤205：在认证服务器104确认接收到使用者的认证数据。如果认证结果正确会继续步骤206的工作；如果认证错误情况下，桌面工作阶段服务器102提示客户端设备101回到步骤202，重新提出认证信息。

步骤206：桌面工作阶段服务器102在接收认证服务器104的认证确认过后，桌面工作阶段服务器102会通过服务接收器105向DHCP服务器107请求虚拟桌面服务IP地址的分配工作，并且获取分配的虚拟桌面服务IP地址信息。

步骤207：服务接收器105将使用者认证数据与客户端来源IP地址与设备信息发送给服务管理服务器108查询使用者的相关授权数据。

步骤208：服务管理服务器108在取得使用者认证数据与客户端来源IP地址和其设备信息后，按照管理者预先设定的分群方式，将使用者查询服务数据回传给服务接收器105处理。

步骤209：服务接收器105在获取到分配的虚拟桌面服务IP地址信息和使用者相关的授权服务列表讯息后，转换成适当的管控信息格式后，传送给网络服务管控系统109要求处理使用者的相关管控功能。

步骤210：网络服务管控系统109收到服务接收器105请求管控服务时，将设定相关服务管控功能，并在完成后，通知服务接收器105完成管控授权功能。

步骤211：服务接收器105取得网络服务管控系统109回传信息后，通知桌面工作阶段服务器102的使用者分配到服务虚拟桌面服务IP地址。桌面工作阶段服务器102将分配的虚拟桌面服务IP地址设定给使用者对应登入的联机，并且允许客户端设备101使用者登入其工作环境。

请参阅图3所示，为客户端设备101结束连接本发明的云端虚拟桌面应用的网络服务等级与功能的管控系统与方法的流程图，其运作方法包含以下步骤：

步骤301：客户端设备101的使用者完成其工作需求后，提出离线申请。

步骤302：服务接收器105请求网络服务管控系统109在管控系统发送虚拟桌面服务IP地址相关的管控数据；并且停止配发虚拟桌面服务IP地址的连线与服务管控工作。之后将完成信息回传给服务接收器105，以结束相关连线。

步骤303：桌面工作环境服务器102通过服务接收器105将客户端设备101分配的虚拟桌面服务IP地址发送给DHCP服务器107处理其IP地址回收事项。

步骤304：服务接收器105在接收DHCP服务器107回传完成信息后，储存客户端设备101使用者的工作结果，并且删除其联机虚拟桌面服务IP地址对应关系后，中断客户端设备101的连线请求。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。