CN107566329A - 一种访问控制方法及装置 - Google Patents

一种访问控制方法及装置 Download PDF

Info

Publication number
CN107566329A
CN107566329A CN201710331060.5A CN201710331060A CN107566329A CN 107566329 A CN107566329 A CN 107566329A CN 201710331060 A CN201710331060 A CN 201710331060A CN 107566329 A CN107566329 A CN 107566329A
Authority
CN
China
Prior art keywords
target
virtual desktop
virtual machine
dynamic authentication
keyword
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710331060.5A
Other languages
English (en)
Inventor
王俊杰
赵晓
李鹏飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Cloud Technologies Co Ltd
Original Assignee
New H3C Cloud Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Cloud Technologies Co Ltd filed Critical New H3C Cloud Technologies Co Ltd
Priority to CN201710331060.5A priority Critical patent/CN107566329A/zh
Publication of CN107566329A publication Critical patent/CN107566329A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

本发明提供一种访问控制方法及装置,所述方法包括:接收并保存云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息;当接收到虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求时,根据所述目标动态认证关键字对该访问连接请求进行认证;若认证通过,则允许该虚拟桌面客户端访问所述目标虚拟机;若认证失败,则禁止该虚拟桌面客户端访问所述目标虚拟机。应用本发明实施例可以提高虚拟桌面资源访问的安全性。

Description

一种访问控制方法及装置
技术领域
本发明涉及网络通信技术领域,尤其涉及一种访问控制方法及装置。
背景技术
随着信息技术及计算机的发展,大力推动了云计算技术的日新月异,虚拟化作为云计算主要业务模块也越来越得到市场的认可。虚拟化桌面能减少企业的信息管理成本,提高数据访问的安全性。
目前,在桌面虚拟化方案中,终端上的客户端(本文中称为虚拟桌面客户端)需要与服务器(本文中成为虚拟桌面服务器)中创建的虚拟机建立连接,进而对虚拟桌面资源进行访问。
然而,考虑到互联网环境的复杂性,如何保证虚拟桌面访问过程中的安全性成为一个亟待解决的技术问题。
发明内容
本发明提供一种访问控制方法及装置,以提高虚拟桌面资源访问的安全性。
根据本发明的第一方面,提供一种访问控制方法,应用于虚拟桌面服务器,该方法包括:
接收并保存云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息;其中,所述目标动态认证关键字由所述云管理平台在接收到虚拟桌面客户端发送的针对所述目标虚拟机的连接请求,且对该虚拟桌面客户端身份校验通过时生成并发送给所述虚拟桌面服务器以及该虚拟桌面客户端;
当接收到虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求时,根据所述目标动态认证关键字对该访问连接请求进行认证;
若认证通过,则允许该虚拟桌面客户端访问所述目标虚拟机;
若认证失败,则禁止该虚拟桌面客户端访问所述目标虚拟机。
根据本发明的第二方面,提供一种访问控制方法,应用于云管理平台,该方法包括:
当接收到目标虚拟桌面客户端发送的针对目标虚拟机的连接请求,并对所述目标虚拟机桌面客户端身份校验通过时,生成目标动态认证关键字;
将所述目标动态认证关键字发送给所述目标虚拟桌面客户端,并将所述目标动态认证关键字和所述目标虚拟机的标识信息发送给虚拟桌面服务器,以使所述目标虚拟桌面客户端在向所述虚拟桌面服务器发送的针对所述目标虚拟机的访问连接请求中携带所述目标动态认证关键字,并使所述虚拟桌面服务器根据所述目标动态认证关键字对虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求进行认证。
根据本发明的第三方面,提供一种访问控制方法,应用于虚拟桌面客户端,该方法包括:
当需要访问目标虚拟机时,向云管理平台发送携带有所述目标虚拟机的标识信息的连接请求,以使所述云管理平台对所述虚拟桌面客户端身份校验通过时,生成目标动态关键字,并将所述目标动态关键字发送给所述虚拟桌面客户端,将所述目标动态关键字以及所述目标虚拟机的标识信息发送给虚拟桌面服务器;
当接收到所述云管理平台发送的目标动态认证关键字时,向虚拟桌面服务器发送携带有所述目标动态认证关键字的针对所述目标虚拟机的访问连接请求,以使所述虚拟桌面服务器根据自身保存的与所述目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证。
根据本发明的第四方面,提供一种访问控制装置,应用于虚拟桌面服务器,该装置包括:
接收单元,用于接收云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息;其中,所述目标动态认证关键字由所述云管理平台在接收到虚拟桌面客户端发送的针对所述目标虚拟机的连接请求,且对该虚拟桌面客户端身份校验通过时生成并发送给所述虚拟桌面服务器以及该虚拟桌面客户端;
保存单元,用于保存所述接收单元接收到的目标动态认证关键字以及目标虚拟机的标识信息;
认证单元,用于当接收单元接收到虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求时,根据所述目标动态认证关键字对该访问连接请求进行认证;
控制单元,用于当所述认证单元认证通过时,允许该虚拟桌面客户端访问所述目标虚拟机;当所述认证单元认证失败时,禁止该虚拟桌面客户端访问所述目标虚拟机。
根据本发明的第五方面,提供一种访问控制装置,应用于云管理平台,该装置包括:
接收单元,用于接收虚拟桌面客户端发送的连接请求;
生成单元,用于当所述接收单元接收到目标虚拟桌面客户端发送的针对目标虚拟机的连接请求,并对所述目标虚拟机桌面客户端身份校验通过时,生成目标动态认证关键字;
发送单元,用于将所述目标动态认证关键字发送给所述目标虚拟桌面客户端,并将所述目标动态认证关键字和所述目标虚拟机的标识信息发送给虚拟桌面服务器,以使所述目标虚拟桌面客户端在向所述虚拟桌面服务器发送的针对所述目标虚拟机的访问连接请求中携带所述目标动态认证关键字,并使所述虚拟桌面服务器根据所述目标动态认证关键字对虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求进行认证。
根据本发明的第六方面,提供一种访问控制装置,应用于虚拟桌面客户端,该装置包括:
发送单元,用于当需要访问目标虚拟机时,向云管理平台发送携带有所述目标虚拟机的标识信息的连接请求,以使所述云管理平台对所述虚拟桌面客户端身份校验通过时,生成目标动态关键字,并将所述目标动态关键字发送给所述虚拟桌面客户端,将所述目标动态关键字以及所述目标虚拟机的标识信息发送给虚拟桌面服务器;
接收单元,用于接收所述云管理平台发送的目标动态认证关键字;
所述发送单元,还用于当所述接收单元接收到所述云管理平台发送的目标动态认证关键字时,向虚拟桌面服务器发送携带有所述目标动态认证关键字的针对所述目标虚拟机的访问连接请求,以使所述虚拟桌面服务器根据自身保存的与所述目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证。
应用本发明公开的技术方案,当虚拟桌面客户端需要访问目标虚拟机时,可以向云管理平台发送针对目标虚拟机的连接请求;云管理平台接收到该连接请求,并对虚拟桌面客户端身份校验通过时,生成动态认证关键字,并将动态认证关键字发送给虚拟桌面客户端,将动态认证关键字以及目标虚拟机的标识信息发送给虚拟桌面服务器;当虚拟桌面服务器接收到虚拟桌面客户端发送的针对目标虚拟机的访问连接请求时,根据自身保存的与目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证,并当认证通过时,允许该虚拟桌面客户端访问目标虚拟机;当认证失败时,禁止该虚拟桌面客户端访问目标虚拟机,提高了虚拟桌面资源访问的安全性。
附图说明
图1是本发明实施例提供的一种远程桌面系统的架构示意图;
图2是本发明实施例提供的一种访问控制方法的流程示意图;
图3是本发明实施例提供的一种访问控制方法的流程示意图;
图4是本发明实施例提供的一种访问控制方法的流程示意图;
图5是本发明实施例提供的一种具体应用场景的架构示意图;
图6是本发明实施例提供的一种访问控制装置的结构示意图;
图7是本发明实施例提供的另一种访问控制装置的结构示意图;
图8是本发明实施例提供的一种访问控制装置的结构示意图;
图9是本发明实施例提供的一种访问控制装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,下面先对本发明实施例适用的网络架构进行简单描述。
请参见图1,为本发明实施例提供的一种远程桌面系统的网络架构示意图,如图1所示,该远程桌面系统除了包括虚拟桌面客户端和虚拟桌面服务器之外,还可以包括云管理平台。
在图1所示的网络架构中,当虚拟桌面客户端需要访问虚拟桌面服务器中的虚拟机时,虚拟桌面客户端需要先向云管理平台发送针对该虚拟机的连接请求;云管理平台接收到该连接请求时,可以对该虚拟桌面客户端进行身份校验,并在校验通过后,生成动态认证关键字。
云管理平台一方面可以将该动态认证关键字发送给虚拟桌面客户端,另一方面,可以将该动态认证关键字以及该虚拟机的标识信息发送给虚拟桌面服务器。
进而,虚拟桌面客户端可以向虚拟桌面服务器发送针对该虚拟机的访问连接请求,该访问连接请求中携带有上述动态认证关键字;虚拟桌面服务器接收到该访问连接请求时,可以根据自身保存的与该虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证,并当认证通过时,允许该虚拟桌面客户端访问目标虚拟机;当认证失败时,禁止该虚拟桌面客户端访问该虚拟机。
为了使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
基于图1所示的网络架构,本发明实施例提供了一种访问控制方法,请参见图2,为本发明实施例提供的一种访问控制方法的流程示意图,其中,该访问控制方法可以应用于图1所示网络架构中的虚拟桌面客户端,如图2所示,该访问控制方法可以包括以下步骤:
步骤201、当需要访问目标虚拟机时,向云管理平台发送携带有目标虚拟机的标识信息的连接请求,以使云管理平台对虚拟桌面客户端身份校验通过时,生成目标动态关键字,并将目标动态关键字发送给虚拟桌面客户端,将目标动态关键字以及目标虚拟机的标识信息发送给虚拟桌面服务器。
本发明实施例中,目标虚拟机并不特指某一固定的虚拟机,而是可以指代桌面虚拟服务器中创建的任一虚拟机,本发明实施例后续不再复述。
本发明实施例中,当虚拟桌面客户端需要访问目标虚拟机时,虚拟桌面客户端需要先向云管理平台发送连接请求,其中,该连接请求中携带有目标虚拟机的标识信息,如目标虚拟机的MAC(Media Access Control,媒体访问控制)地址等能够唯一标识目标虚拟机的标识信息。
云管理平台接收到虚拟桌面客户端发送的连接请求之后,可以对该虚拟桌面客户端进行身份校验,并当身份校验通过时,生成随机的动态认证关键字(本文中称为目标动态关键字),该目标动态认证关键字用于虚拟桌面客户端与目标虚拟机建立访问连接时对虚拟桌面客户端进行安全认证。
云管理平台生成目标动态认证关键字之后,一方面,可以将该目标动态认证关键字发送给虚拟桌面客户端,以便虚拟桌面客户端在向虚拟桌面服务器发起的针对目标虚拟机的访问连接请求中携带该目标动态认证关键字进行安全认证;另一方面,可以将该目标动态认证关键字以及目标虚拟机的标识信息发送给虚拟桌面服务器,以便虚拟桌面服务器可以根据该目标动态认证关键字对请求访问目标虚拟机的虚拟桌面客户端进行安全认证。
步骤202、当接收到云管理平台发送的目标动态认证关键字时,向虚拟桌面服务器发送携带有目标动态认证关键字的针对目标虚拟机的访问连接请求,以使虚拟桌面服务器根据自身保存的与目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证。
本发明实施例中,当虚拟桌面客户端接收到云管理平台发送的目标动态认证关键字时,虚拟桌面客户端可以向虚拟桌面服务器发送针对目标虚拟机的访问连接请求,该访问连接请求中携带有该目标动态认证关键字。
虚拟桌面服务器接收到虚拟桌面客户端发送的针对目标虚拟机的访问连接请求时,可以根据自身保存的与目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证,其具体实现可以参见图4所示的方法流程,本发明实施例在此不做赘述。
基于图1所示的网络架构,本发明实施例还提供了一种访问控制方法,请参见图3,为本发明实施例提供的一种访问控制方法的流程示意图,其中,该访问控制方法可以应用于图1所示网络架构中的云管理平台,如图3所示,该访问控制方法可以包括以下步骤:
步骤301、当接收到目标虚拟桌面客户端发送的针对目标虚拟机的连接请求,并对目标虚拟桌面客户端身份校验通过时,生成目标动态认证关键字。
本发明实施例中,目标虚拟桌面客户端并不特指某一固定的虚拟桌面客户端,而是可以指代远程桌面系统中任一虚拟桌面客户端,本发明实施例后续不再复述。
本发明实施例中,当云管理平台接收到目标虚拟桌面客户端发送的针对目标虚拟机的连接请求时,云管理平台可以对目标虚拟桌面客户端进行身份校验,并当身份校验通过时,生成随机的动态认证关键字。
其中,该动态认证关键字的长度、复杂度以及加密方式等可以自定义,从而能够从多个维度增强认证关键字的安全性。
值得说明的是,在本发明实施例中,当云管理平台对目标虚拟桌面客户端身份校验不通过时,云管理平台可以不对该连接请求进行响应,例如,云管理平台可以直接丢弃该连接请求。
步骤302、将目标动态认证关键字发送给目标虚拟桌面客户端,并将目标动态认证关键字和目标虚拟机的标识信息发送给虚拟桌面服务器,以使目标虚拟桌面客户端在向目标虚拟桌面服务器发送的针对目标虚拟机的访问连接请求中携带该目标动态认证关键字,并使虚拟桌面服务器根据该目标动态关键字对虚拟桌面客户端发送的针对目标虚拟机的访问连接请求进行认证。
本发明实施例中,云管理平台生成目标动态认证关键字之后,一方面,可以将该目标动态认证关键字发送给目标虚拟桌面客户端,目标虚拟桌面客户端接收到该动态认证关键字之后的处理流程可以参见图2所示方法流程中的相关描述,本发明实施例在此不再赘述;另一方面,可以将该目标动态认证关键字发送给虚拟桌面服务器,虚拟桌面服务器接收到该目标认证关键字以及目标虚拟机的标识信息之后的处理流程可以参见图4所示方法流程中的相关描述,本发明实施例在此不再赘述。
基于图1所示的网络架构,本发明实施例还提供了一种访问控制方法,请参见图4,为本发明实施例提供的一种访问控制方法的流程示意图,其中,该访问控制方法可以应用于图1所示网络架构中的虚拟桌面服务器,如图4所示,该访问控制方法可以包括以下步骤:
步骤401、接收并保存云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息。
本发明实施例中,云管理平台向虚拟桌面服务器发送目标动态认证关键字以及目标虚拟机的标识信息的具体实现可以参见图2和图3所示方法流程中的相关描述,本发明实施例在此不再赘述。
本发明实施例中,当虚拟桌面服务器接收到云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息时,虚拟桌面服务器可以对应该目标虚拟机的标识信息保存该目标动态认证关键字。
其中,虚拟桌面服务器可以将该目标动态认证关键字以及目标虚拟机的标识信息保存到内存或数据库中。
步骤402、当接收到虚拟桌面客户端发送的针对目标虚拟机的访问连接请求时,根据目标动态认证关键字对该访问连接请求进行认证。若认证通过,则转至步骤403;若认证失败,转至步骤404。
本发明实施例中,当虚拟桌面服务器接收到虚拟桌面客户端发送的针对目标虚拟机的访问连接请求时,虚拟桌面服务器可以根据该访问连接请求中携带的目标虚拟机的标识信息查询自身保存的与该目标虚拟机的标识信息对应的动态认证关键字(即上述目标动态认证关键字),并根据查询到的动态认证关键字对该访问请求进行认证。
作为一种可选的实施方式,在本发明实施例中,根据目标动态认证关键字对该访问连接请求进行认证,可以包括:
当该访问连接请求中携带有动态认证关键字,且该动态认证关键字与目标动态认证关键字一致时,确定认证通过;
当该访问连接请求中未携带有动态认证关键字,或该访问连接请求中携带有动态认证关键字,但该动态认证关键字与目标动态认证关键字不一致时,确定认证失败。
在该实施方式中,虚拟桌面服务器接收到针对目标虚拟机的访问连接请求,并查询到目标虚拟机的标识信息对应的动态认证关键字(即目标动态认证关键字)之后,虚拟桌面服务器可以获取该访问连接请求中携带的动态认证关键字。
若虚拟桌面服务器从该访问连接请求中获取到动态认证关键字,则虚拟桌面服务器可以进一步比较该动态认证关键字与目标动态认证关键字,并当二者一致时,确定认证通过;否则,确定认证不通过。
若虚拟桌面服务器从该访问连接请求中未获取到动态认证关键字,即该访问连接请求中未携带有动态认证关键字,则虚拟桌面服务器直接确定认证不通过。
值得说明的是,在本发明实施例中,当虚拟桌面服务器自身保存的与目标虚拟机的标识信息对应的动态认证关键字存在多个时(即目标动态认证关键字存在多个时),访问连接请求中携带的动态认证关键字与任一目标动态认证关键字相同,即可认为访问连接请求中携带的动态认证关键字与目标动态关键字一致,该访问连接请求认证通过。
此外,当虚拟桌面服务器接收到针对目标虚拟机的访问连接请求时,若虚拟桌面服务器未保存与目标虚拟机的标识信息对应的动态认证关键字,则虚拟桌面服务器可以直接确定该访问连接请求认证不通过。
进一步地,在本发明实施例中,为了避免由于虚拟桌面服务器未能及时接收到云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息而导致的虚拟桌面客户端发送的携带目标动态认证关键字的针对目标虚拟机的访问连接请求认证不通过,虚拟桌面服务器接收到云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息,并保存接收到的目标动态认证关键字以及目标虚拟机的标识信息之后,可以向云管理平台返回第一通知消息,该第一通知消息用于表明虚拟桌面服务器侧针对目标虚拟机的访问准备已就绪;云管理平台接收到该第一通知消息时,可以向目标虚拟桌面客户端发送第二通知消息,该第二通知消息用于通知目标虚拟桌面客户端可以发起针对目标虚拟机的访问;目标虚拟桌面客户端接收到该第二通知消息时,可以向虚拟桌面服务器发送携带有目标动态认证关键字的针对目标虚拟机的访问连接请求。
步骤403、允许该虚拟桌面客户端访问目标虚拟机。
步骤404、禁止该虚拟桌面客户端访问目标虚拟机。
本发明实施例中,当虚拟桌面服务器对虚拟桌面客户端发送的针对目标虚拟机的访问连接请求认证通过时,虚拟桌面服务器可以允许该虚拟桌面客户端与目标虚拟机建立访问连接并访问目标虚拟机。
当虚拟桌面服务器对虚拟桌面客户端发送的针对目标虚拟机的访问连接请求认证失败时,虚拟桌面服务器可以禁止该虚拟桌面客户端与目标虚拟机建立访问连接并访问目标虚拟机。
进一步地,在本发明实施例中,考虑到虚拟桌面服务器生成的动态认证关键字仍然存在泄漏的可能性,因此,为了进一步提高虚拟桌面资源的安全性,可以预先为动态认证关键字设置有效期或者虚拟桌面服务器可以在针对目标虚拟机的访问连接过程中,在认证结束后,立即删除自身保存的目标虚拟机的标识信息对应的动态认证关键字。
相应地,作为一种可选的实施方式,在本发明实施例中,上述根据目标动态认证关键字对该访问连接请求进行认证之后,还可以包括:
删除自身保存的目标动态关键字以及目标虚拟机的标识信息。
在该实施方式中,虚拟桌面服务器接收并保存目标动态认证关键字以及目标虚拟机的标识信息之后,当虚拟桌面服务器接收到针对目标虚拟机的访问连接请求时,虚拟桌面服务器可以根据自身保存的与目标虚拟机的标识信息对应的动态认证关键字(即目标动态认证关键字)对该访问连接进行认证,并在认证结束之后,不论认证结果是认证通过,还是认证失败,虚拟桌面服务器删除自身保存的目标动态认证关键字以及目标虚拟机的标识信息。
其中,若认证通过,虚拟桌面客户端可以在与目标虚拟机的访问连接断开之前,正常访问目标虚拟机;当虚拟桌面客户端与目标虚拟机的访问连接断开之后,或者,认证失败时,若虚拟桌面客户端仍需要访问目标虚拟机,则虚拟桌面客户端需要重新向云管理平台申请新的动态认证关键字,其具体实现可以参见上述方法流程中的相关描述。
作为一种可选的实施方式,在本发明实施例中,上述接收并保存云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息之后,还可以包括:
在预设时间后删除自身保存的所述目标动态认证关键字以及目标虚拟机的标识信息。
在该实施方式中,可以预先为动态认证关键字设置有效时间,其中,该有效时间可以由云管理平台在生成动态认证关键字时随机设置(即不同的动态认证关键字的有效时间可以不同),也可以统一默认配置(即不同的动态认证关键字的有效时间相同)。
相应地,虚拟桌面服务器接收并保存目标动态认证关键字以及目标虚拟机的标识信息之后,可以记录该目标动态认证关键字的使用时长,当其达到预设的有效时间时,虚拟桌面服务器可以删除自身保存的目标动态认证关键字以及目标虚拟机的标识信息。
例如,虚拟桌面服务器接收并保存目标动态认证关键字以及目标虚拟机的标识信息之后,可以启动一个对应的计时器,当该计时器的计时时间达到预设有效时间时,虚拟桌面服务器可以删除自身保存的目标动态认证关键字以及目标虚拟机的标识信息。
值得说明的是,在本发明实施例中,上述描述的认证结束后删除自身保存的目标动态认证关键字或者在有效时间后删除自身保存的目标动态认证关键字的实现仅仅是本发明实施例中提高动态认证关键字的安全性的具体示例,而并不是对本发明保护范围的限定,即在本发明实施例中,还可以通过其它方式提高动态认证关键字的安全性,例如,预先设置动态认证关键字的有效次数,当虚拟桌面服务器接收到针对目标虚拟机的访问连接请求的次数达到自身保存的目标动态认证关键次数的有效次数时,虚拟桌面服务器可以删除自身保存的目标动态认证关键字以及目标虚拟机的标识信息,其具体实现在此不做赘述。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面结合具体应用场景对本发明实施例提供的技术方案进行描述。
请参见图5,为本发明实施例提供的一种具体应用场景的架构示意图,如图5所示,在该实施例中,以基于SPICE(Simple Protocol for Independent ComputingEnvironments,独立计算环境简单协议)协议的远程桌面系统(以下简称为SPICE远程桌面系统)为例,其中,图5所示的SPICE远程桌面系统除了可以包括SPICE客户端(即上述虚拟桌面客户端)以及SPICE服务器(即上述虚拟桌面服务器)之外,还可以包括云管理平台。
基于图5所示的应用场景,本发明实施例提供的访问控制方案实现流程如下:
1、当SPICE客户端需要访问目标虚拟机时,SPICE客户端向云管理平台发起连接请求,该连接请求中携带有目标虚拟机的MAC地址;
2、云管理平台接收到该连接请求后,对SPICE客户端进行身份校验,并在校验通过后,生成随机的动态认证关键字,并将该动态认证关键字发送给SPICE客户端,将该动态认证关键字以及目标虚拟机的MAC地址发送给SPICE服务器;
3、SPICE服务器接收到云管理平台发送的动态认证关键字以及目标虚拟机的MAC地址,将其保存到内存或数据库中,之后向云管理平台返回已经准备就绪,等待登陆请求(即发送上述第一通知消息);
4、云管理平台接收到SPICE服务器发送的第一通知消息时,向SPICE客户端发送第二通知消息,通知SPICE客户端可以发起针对目标虚拟机的访问;
5、SPICE客户端接收到云管理平台发送的第二通知消息时,可以向SIPCE服务器发送针对目标虚拟机的访问连接请求,该访问连接请求中携带上述动态认证关键字;
6、SPICE服务器接收到该访问连接请求之后,根据目标虚拟机的MAC地址查询自身保存的与目标虚拟机的MAC地址对应的动态认证关键字,并比较该动态认证关键字与访问连接请求中携带的动态认证关键字,若二者一致,则允许SPICE客户端访问目标虚拟机,并删除自身保存的目标虚拟机的MAC地址以及对应的动态认证关键字;若二者不一致,则禁止SPICE客户端访问目标虚拟机,并删除自身保存的目标虚拟机的MAC地址以及对应的动态认证关键字。
通过以上描述可以看出,在本发明实施例提供的技术方案中,当虚拟桌面客户端需要访问目标虚拟机时,可以向云管理平台发送针对目标虚拟机的连接请求;云管理平台接收到该连接请求,并对虚拟桌面客户端身份校验通过时,生成动态认证关键字,并将动态认证关键字发送给虚拟桌面客户端,将动态认证关键字以及目标虚拟机的标识信息发送给虚拟桌面服务器;当虚拟桌面服务器接收到虚拟桌面客户端发送的针对目标虚拟机的访问连接请求时,根据自身保存的与目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证,并当认证通过时,允许该虚拟桌面客户端访问目标虚拟机;当认证失败时,禁止该虚拟桌面客户端访问目标虚拟机,提高了虚拟桌面资源访问的安全性。
请参见图6,为本发明实施例提供一种访问控制装置的结构示意图,其中,该装置可以应用于上述方法实施例中的虚拟桌面服务器,如图6所示,该装置可以包括:
接收单元610,用于接收云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息;其中,所述目标动态认证关键字由所述云管理平台在接收到虚拟桌面客户端发送的针对所述目标虚拟机的连接请求,且对该虚拟桌面客户端身份校验通过时生成并发送给所述虚拟桌面服务器以及该虚拟桌面客户端;
保存单元620,用于保存所述接收单元610接收到的目标动态认证关键字以及目标虚拟机的标识信息;
认证单元630,用于当接收单元610接收到虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求时,根据所述目标动态认证关键字对该访问连接请求进行认证;
控制单元640,用于当所述认证单元630认证通过时,允许该虚拟桌面客户端访问所述目标虚拟机;当所述认证单元630认证失败时,禁止该虚拟桌面客户端访问所述目标虚拟机。
在可选实施例中,所述认证单元630,具体用于当所述访问连接请求中携带有动态认证关键字,且该动态认证关键字与所述目标动态认证关键字一致时,确定认证通过;当所述访问连接请求中未携带有动态认证关键字,或所述访问连接请求中携带有动态认证关键字,但该动态认证关键字与所述目标动态认证关键字不一致时,确定认证失败。
请一并参见图7,为本发明实施例提供的另一种访问控制装置的结构示意图,如图7所示,在图6所示的访问控制装置的基础上,图7所示的访问控制装置还包括:
删除单元650,用于在所述认证单元630根据所述目标动态认证关键字对该访问连接请求进行认证之后,删除自身保存的所述目标动态关键字以及所述目标虚拟机的标识信息;或,当所述接收单元610接收到云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息时,在预设时间后删除自身保存的所述目标动态认证关键字以及目标虚拟机的标识信息。
请参见图8,为本发明实施例提供一种访问控制装置的结构示意图,其中,该装置可以应用于上述方法实施例中的云管理平台,如图8所示,该装置可以包括:
接收单元810,用于接收虚拟桌面客户端发送的连接请求;
生成单元820,用于当所述接收单元810接收到目标虚拟桌面客户端发送的针对目标虚拟机的连接请求,并对所述目标虚拟机桌面客户端身份校验通过时,生成目标动态认证关键字;
发送单元830,用于将所述目标动态认证关键字发送给所述目标虚拟桌面客户端,并将所述目标动态认证关键字和所述目标虚拟机的标识信息发送给虚拟桌面服务器,以使所述目标虚拟桌面客户端在向所述虚拟桌面服务器发送的针对所述目标虚拟机的访问连接请求中携带所述目标动态认证关键字,并使所述虚拟桌面服务器根据所述目标动态认证关键字对虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求进行认证。
请参见图9,为本发明实施例提供一种访问控制装置的结构示意图,其中,该装置可以应用于上述方法实施例中的虚拟桌面客户端,如图9所示,该装置可以包括:
发送单元910,用于当需要访问目标虚拟机时,向云管理平台发送携带有所述目标虚拟机的标识信息的连接请求,以使所述云管理平台对所述虚拟桌面客户端身份校验通过时,生成目标动态关键字,并将所述目标动态关键字发送给所述虚拟桌面客户端,将所述目标动态关键字以及所述目标虚拟机的标识信息发送给虚拟桌面服务器;
接收单元920,用于接收所述云管理平台发送的目标动态认证关键字;
所述发送单元910,还用于当所述接收单元920接收到所述云管理平台发送的目标动态认证关键字时,向虚拟桌面服务器发送携带有所述目标动态认证关键字的针对所述目标虚拟机的访问连接请求,以使所述虚拟桌面服务器根据自身保存的与所述目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,当虚拟桌面客户端需要访问目标虚拟机时,可以向云管理平台发送针对目标虚拟机的连接请求;云管理平台接收到该连接请求,并对虚拟桌面客户端身份校验通过时,生成动态认证关键字,并将动态认证关键字发送给虚拟桌面客户端,将动态认证关键字以及目标虚拟机的标识信息发送给虚拟桌面服务器;当虚拟桌面服务器接收到虚拟桌面客户端发送的针对目标虚拟机的访问连接请求时,根据自身保存的与目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证,并当认证通过时,允许该虚拟桌面客户端访问目标虚拟机;当认证失败时,禁止该虚拟桌面客户端访问目标虚拟机,提高了虚拟桌面资源访问;的安全性。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims (10)

1.一种访问控制方法,其特征在于,应用于虚拟桌面服务器,该方法包括:
接收并保存云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息;其中,所述目标动态认证关键字由所述云管理平台在接收到虚拟桌面客户端发送的针对所述目标虚拟机的连接请求,且对该虚拟桌面客户端身份校验通过时生成并发送给所述虚拟桌面服务器以及该虚拟桌面客户端;
当接收到虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求时,根据所述目标动态认证关键字对该访问连接请求进行认证;
若认证通过,则允许该虚拟桌面客户端访问所述目标虚拟机;
若认证失败,则禁止该虚拟桌面客户端访问所述目标虚拟机。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标动态认证关键字对该访问连接请求进行认证,包括:
当所述访问连接请求中携带有动态认证关键字,且该动态认证关键字与所述目标动态认证关键字一致时,确定认证通过;
当所述访问连接请求中未携带有动态认证关键字,或所述访问连接请求中携带有动态认证关键字,但该动态认证关键字与所述目标动态认证关键字不一致时,确定认证失败。
3.根据权利要求1所述的方法,其特征在于,
所述根据所述目标动态认证关键字对该访问连接请求进行认证之后,还包括:
删除自身保存的所述目标动态关键字以及所述目标虚拟机的标识信息;
或者,
所述接收并保存云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息之后,还包括:
在预设时间后删除自身保存的所述目标动态认证关键字以及目标虚拟机的标识信息。
4.一种访问控制方法,其特征在于,应用于云管理平台,该方法包括:
当接收到目标虚拟桌面客户端发送的针对目标虚拟机的连接请求,并对所述目标虚拟机桌面客户端身份校验通过时,生成目标动态认证关键字;
将所述目标动态认证关键字发送给所述目标虚拟桌面客户端,并将所述目标动态认证关键字和所述目标虚拟机的标识信息发送给虚拟桌面服务器,以使所述目标虚拟桌面客户端在向所述虚拟桌面服务器发送的针对所述目标虚拟机的访问连接请求中携带所述目标动态认证关键字,并使所述虚拟桌面服务器根据所述目标动态认证关键字对虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求进行认证。
5.一种访问控制方法,其特征在于,应用于虚拟桌面客户端,该方法包括:
当需要访问目标虚拟机时,向云管理平台发送携带有所述目标虚拟机的标识信息的连接请求,以使所述云管理平台对所述虚拟桌面客户端身份校验通过时,生成目标动态关键字,并将所述目标动态关键字发送给所述虚拟桌面客户端,将所述目标动态关键字以及所述目标虚拟机的标识信息发送给虚拟桌面服务器;
当接收到所述云管理平台发送的目标动态认证关键字时,向虚拟桌面服务器发送携带有所述目标动态认证关键字的针对所述目标虚拟机的访问连接请求,以使所述虚拟桌面服务器根据自身保存的与所述目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证。
6.一种访问控制装置,其特征在于,应用于虚拟桌面服务器,该装置包括:
接收单元,用于接收云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息;其中,所述目标动态认证关键字由所述云管理平台在接收到虚拟桌面客户端发送的针对所述目标虚拟机的连接请求,且对该虚拟桌面客户端身份校验通过时生成并发送给所述虚拟桌面服务器以及该虚拟桌面客户端;
保存单元,用于保存所述接收单元接收到的目标动态认证关键字以及目标虚拟机的标识信息;
认证单元,用于当接收单元接收到虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求时,根据所述目标动态认证关键字对该访问连接请求进行认证;
控制单元,用于当所述认证单元认证通过时,允许该虚拟桌面客户端访问所述目标虚拟机;当所述认证单元认证失败时,禁止该虚拟桌面客户端访问所述目标虚拟机。
7.根据权利要求6所述的装置,其特征在于,
所述认证单元,具体用于当所述访问连接请求中携带有动态认证关键字,且该动态认证关键字与所述目标动态认证关键字一致时,确定认证通过;当所述访问连接请求中未携带有动态认证关键字,或所述访问连接请求中携带有动态认证关键字,但该动态认证关键字与所述目标动态认证关键字不一致时,确定认证失败。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
删除单元,用于在所述认证单元根据所述目标动态认证关键字对该访问连接请求进行认证之后,删除自身保存的所述目标动态关键字以及所述目标虚拟机的标识信息;或,当所述接收单元接收到云管理平台发送的目标动态认证关键字以及目标虚拟机的标识信息时,在预设时间后删除自身保存的所述目标动态认证关键字以及目标虚拟机的标识信息。
9.一种访问控制装置,其特征在于,应用于云管理平台,该装置包括:
接收单元,用于接收虚拟桌面客户端发送的连接请求;
生成单元,用于当所述接收单元接收到目标虚拟桌面客户端发送的针对目标虚拟机的连接请求,并对所述目标虚拟机桌面客户端身份校验通过时,生成目标动态认证关键字;
发送单元,用于将所述目标动态认证关键字发送给所述目标虚拟桌面客户端,并将所述目标动态认证关键字和所述目标虚拟机的标识信息发送给虚拟桌面服务器,以使所述目标虚拟桌面客户端在向所述虚拟桌面服务器发送的针对所述目标虚拟机的访问连接请求中携带所述目标动态认证关键字,并使所述虚拟桌面服务器根据所述目标动态认证关键字对虚拟桌面客户端发送的针对所述目标虚拟机的访问连接请求进行认证。
10.一种访问控制装置,其特征在于,应用于虚拟桌面客户端,该装置包括:
发送单元,用于当需要访问目标虚拟机时,向云管理平台发送携带有所述目标虚拟机的标识信息的连接请求,以使所述云管理平台对所述虚拟桌面客户端身份校验通过时,生成目标动态关键字,并将所述目标动态关键字发送给所述虚拟桌面客户端,将所述目标动态关键字以及所述目标虚拟机的标识信息发送给虚拟桌面服务器;
接收单元,用于接收所述云管理平台发送的目标动态认证关键字;
所述发送单元,还用于当所述接收单元接收到所述云管理平台发送的目标动态认证关键字时,向虚拟桌面服务器发送携带有所述目标动态认证关键字的针对所述目标虚拟机的访问连接请求,以使所述虚拟桌面服务器根据自身保存的与所述目标虚拟机的标识信息对应的动态认证关键字对该访问连接请求进行认证。
CN201710331060.5A 2017-05-11 2017-05-11 一种访问控制方法及装置 Pending CN107566329A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710331060.5A CN107566329A (zh) 2017-05-11 2017-05-11 一种访问控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710331060.5A CN107566329A (zh) 2017-05-11 2017-05-11 一种访问控制方法及装置

Publications (1)

Publication Number Publication Date
CN107566329A true CN107566329A (zh) 2018-01-09

Family

ID=60972653

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710331060.5A Pending CN107566329A (zh) 2017-05-11 2017-05-11 一种访问控制方法及装置

Country Status (1)

Country Link
CN (1) CN107566329A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194742A (zh) * 2018-09-04 2019-01-11 郑州云海信息技术有限公司 一种虚拟机控制台的连接方法、装置及存储介质
CN109460274A (zh) * 2018-10-09 2019-03-12 安徽继远软件有限公司 一种基于云桌面的移动安全办公平台及方法
CN112822165A (zh) * 2020-12-30 2021-05-18 支付宝(杭州)信息技术有限公司 与物联网设备进行通信的方法、装置、设备和可读介质
CN114374524A (zh) * 2020-10-14 2022-04-19 北京金山云网络技术有限公司 对象存储的访问控制方法和装置、存储介质和电子装置
CN114900332A (zh) * 2022-04-12 2022-08-12 深圳市乐凡信息科技有限公司 虚拟环境的数据传输方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102143230A (zh) * 2011-04-01 2011-08-03 广州杰赛科技股份有限公司 云终端认证及登录云计算系统中虚拟机的方法及登录系统
CN102546672A (zh) * 2012-03-09 2012-07-04 浪潮通信信息系统有限公司 一种云计算平台带外授权安全加固方法
CN103618752A (zh) * 2013-12-18 2014-03-05 广东中科遥感技术有限公司 一种虚拟机远程桌面安全访问系统及方法
US9178698B1 (en) * 2011-12-21 2015-11-03 Google Inc. Dynamic key management
CN105187362A (zh) * 2014-06-23 2015-12-23 中兴通讯股份有限公司 一种桌面云客户端和服务端之间连接认证的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102143230A (zh) * 2011-04-01 2011-08-03 广州杰赛科技股份有限公司 云终端认证及登录云计算系统中虚拟机的方法及登录系统
US9178698B1 (en) * 2011-12-21 2015-11-03 Google Inc. Dynamic key management
CN102546672A (zh) * 2012-03-09 2012-07-04 浪潮通信信息系统有限公司 一种云计算平台带外授权安全加固方法
CN103618752A (zh) * 2013-12-18 2014-03-05 广东中科遥感技术有限公司 一种虚拟机远程桌面安全访问系统及方法
CN105187362A (zh) * 2014-06-23 2015-12-23 中兴通讯股份有限公司 一种桌面云客户端和服务端之间连接认证的方法及装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194742A (zh) * 2018-09-04 2019-01-11 郑州云海信息技术有限公司 一种虚拟机控制台的连接方法、装置及存储介质
CN109460274A (zh) * 2018-10-09 2019-03-12 安徽继远软件有限公司 一种基于云桌面的移动安全办公平台及方法
CN114374524A (zh) * 2020-10-14 2022-04-19 北京金山云网络技术有限公司 对象存储的访问控制方法和装置、存储介质和电子装置
CN112822165A (zh) * 2020-12-30 2021-05-18 支付宝(杭州)信息技术有限公司 与物联网设备进行通信的方法、装置、设备和可读介质
CN112822165B (zh) * 2020-12-30 2022-04-29 支付宝(杭州)信息技术有限公司 与物联网设备进行通信的方法、装置、设备和可读介质
CN114900332A (zh) * 2022-04-12 2022-08-12 深圳市乐凡信息科技有限公司 虚拟环境的数据传输方法、装置、设备及存储介质
CN114900332B (zh) * 2022-04-12 2024-05-31 深圳市乐凡信息科技有限公司 虚拟环境的数据传输方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
US11962593B2 (en) Identity management connecting principal identities to alias identities having authorization scopes
CN110381031B (zh) 单点登录方法、装置、设备及计算机可读存储介质
WO2018145605A1 (zh) 鉴权方法及服务器、访问控制装置
CN112597472B (zh) 单点登录方法、装置及存储介质
EP3044987B1 (en) Method and system for verifying an account operation
US10135824B2 (en) Method and system for determining whether a terminal logging into a website is a mobile terminal
WO2018036314A1 (zh) 一种单点登录认证方法及装置、存储介质
CN105991614B (zh) 一种开放授权、资源访问的方法及装置、服务器
CN107566329A (zh) 一种访问控制方法及装置
CN111556006A (zh) 第三方应用系统登录方法、装置、终端及sso服务平台
WO2015143855A1 (zh) 一种对数据资源进行访问的方法、装置和系统
CN110069909B (zh) 一种免密登录第三方系统的方法及装置
US11611551B2 (en) Authenticate a first device based on a push message to a second device
CN110447033B (zh) 基于客户访问限制的认证
WO2017088677A1 (zh) 一种用户密钥存储方法及服务器
CN101764808A (zh) 自动登录的认证处理方法、服务器和系统
CN108289074B (zh) 用户账号登录方法及装置
CN104836777B (zh) 身份验证方法和系统
CN111241523B (zh) 认证处理方法、装置、设备和存储介质
CN107707550B (zh) 访问虚拟机的方法、装置及系统
WO2022042504A1 (zh) 云桌面访问认证方法、电子设备和计算机可读存储介质
JP6848275B2 (ja) プログラム、認証システム及び認証連携システム
CN109302446B (zh) 跨平台访问方法、装置、电子设备及存储介质
TW201824887A (zh) 以認證伺服器在伺服群組中實現免登入之系統及其方法
CN118869289A (zh) 基于堡垒机对Windows资产的访问管理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180109

RJ01 Rejection of invention patent application after publication