[发明专利]一种云计算环境下的虚拟机VNC控制台优化方案

说明书

技术领域

本发明涉及云数据中心应用系统领域，具体涉及一种跨网络、低带宽、高安全性的虚拟机VNC控制台优化方案。

技术背景

随着信息科技的发展，云计算逐步成为业界的发展热点，国内外各大厂商的云计算服务平台也开始纷纷投入到科学、教育、文化、卫生、政府、高性能计算、电子商务、物联网等多个领域进行使用。

云计算环境下服务器中的虚拟机，无法直接使用显示器来连接桌面，大多使用VNC进行远程连接。VNC（Virtual Network Computing），为一种使用RFB协定的屏幕画面分享及远程操作软件。VNC软件通过网络与服务器的特定VNC端口相连，传送键盘与鼠标的动作及实时的屏幕画面。

一方面，VNC并非安全的协定，虽然VNC伺服程序需设置密码才可接受外来连接，且VNC客户端与VNC伺服程序之间的密码传输经过加密，但仍可被轻易的拦截到并使用暴力搜索法破解。另一方面，鉴于云数据中心网络部署环境的复杂性与管理网络的安全性，大多数云管理员将管理网服务器与业务网进行物理隔离。

为了适用于多网络环境，提高VNC的安全性，进一步优化VNC控制台桌面的使用特性，丰富虚拟机桌面监控功能，本方案对现有的VNC开源代码进行了优化，将其更好地应用在云计算环境下。

发明内容

本发明要解决的技术问题是：本发明针对VNC开源软件安全性差、网络依赖性强、双鼠标问题严重等弊端，提出一种通过利用VNC控制台代理、SSH隧道、数据加密解密等技术手段，适用于云计算环境下的VNC控制台优化方案。

传统的VNC开源程序，通过直接连接服务器VNC端口，获取虚拟机桌面，具有如下缺点：

1）无法穿越多网络环境；

2）无法实现VNC数据分流，导致网络带宽占用率很大；

3）对于VMware、Xen等虚拟化底层，有不同程度的双鼠标现象出现，无法做到双鼠标的根本消除。

本发明所采用的技术方案为：

一种云计算环境下的虚拟机VNC控制台优化方案，包括：VNC控制台代理，SSH隧道加密，消除双鼠标，虚拟机桌面监控，其中，

VNC控制台代理，是本方案的实现基础，部署专门负责虚拟机VNC控制台数据包转发的中间代理，连接业务网与数据网，实现多网环境下的控制台数据转发与分流；

SSH隧道加密，是本方案的数据安全保护措施，通过建立安全的SSH隧道并加密用户名密码，保护虚拟机VNC数据、后台服务器不受非法连接，降低虚拟机VNC控制台数据被非法获取的风险，将多网环境连接，达到多网络下的VNC互联；

注：Secure Shell（缩写为SSH，安全壳协议），为一项创建在应用层和传输层基础上的安全协议，为计算机上的Shell（壳层）提供安全的传输和使用环境；

双鼠标消除，是本方案对开源VNC客户端的优化，通过编写Applet程序消除双鼠标现象，提高虚拟机桌面的易用性；

虚拟机桌面监控，利用图形学算法，将VNC桌面横纵向缩放，在监控视图统一管理。在同一视图中同时监控多台虚拟机的桌面，帮助云数据中心管理员监管用户的虚拟机使用情况。

所述VNC控制台代理，一端连接管理网，一端连接业务网。（注：管理网为机房服务器所在的网络环境，业务网为虚拟机租户所在的网络环境，业务网与管理网可以根据客户需求，选择互通或物理隔离两种方式）一方面，控制台代理全权负责VNC数据包流量转发，缓解网络带宽的占用；另一方面，通过数据转发，实现对单网、多网环境的支持。

所述SSH隧道加密具体步骤如下：

1） 选择加密算法。目前业界主流的安全性比较高的加密算法包括DES、AES、RSA、MD5等。如图2、图3的加密解密流程示意图，本方案选择AES算法。

2） 建立加密SSH隧道。SSH（Secure Shell，安全外壳）的目的在于通过对主机间的网络远程访问数据进行加密，实现对通信的保护。它通过提供更好的身份验证工具和 Secure Copy (SCP)、Secure File Transfer Protocol (SFTP)、X会话转发和端口转发等功能来加密网络交换，从而增加其他非安全协议的安全性。为防止SSH隧道的用户名密码被盗而导致黑客利用该隧道作为SSH跳板，连接到管理网服务器，SSH的用户名与密码使用不同的密钥加密。

3） 为了加强管理网服务器的安全性，打开服务器的防火墙，只开放个别安全端口（如443，8080、VNC端口等）对外提供服务。