[发明专利]一种访问控制方法及装置

权利要求书

1.一种访问控制方法，其特征在于，所述方法应用于第一认证服务器，所述方法包括：

接收第一网关设备发送的认证请求，所述认证请求为所述第一网关设备在接收到用户通过终端设备上的虚拟桌面基础架构VDI客户端发送的访问虚拟桌面的第一访问请求时生成的，所述认证请求中包括有所述第一访问请求中携带的所述用户的用户信息、所述终端设备的终端类型和所述VDI客户端的IP地址，所述IP地址为所述第一认证服务器或者所述第一网关设备根据所述VDI客户端的接入方式分配的，不同的接入方式分配的IP地址所属的IP网段不同；

在根据所述用户信息确定出所述用户的第一接入权限为允许所述用户接入所述第一网关设备时，生成所述第一接入权限对应的第一访问控制策略并发送给所述第一网关设备；

在接收到VDI控制器发送的查询所述用户对应的虚拟桌面的第一访问权限的查询请求时，生成携带有根据所述用户信息对应的用户组、所述终端类型和所述IP地址确定出的所述第一访问权限的查询响应，并发送给所述VDI控制器，以使所述VDI控制器在接收到所述查询响应且所述第一访问权限为允许所述用户访问虚拟桌面时，根据所述用户组、所述终端类型和所述IP地址，确定所述用户可访问的虚拟桌面，并通过所述第一网关设备向所述VDI客户端发送携带有确定出的虚拟桌面的标识信息的第一访问响应，由所述用户根据所述标识信息选择对应的待访问的虚拟桌面，并通过所述VDI客户端访问选择出的虚拟桌面，其中，所述查询请求为所述VDI控制器在接收到所述第一网关设备发送的所述第一访问请求时生成的，所述第一访问请求为所述第一网关设备在接收到所述第一访问控制策略时转发给所述VDI控制器的。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在根据所述认证请求确定出所述用户的第二接入权限为不允许接入所述第一网关设备时，生成所述第二接入权限对应的第二访问控制策略并发送给所述第一网关设备，以使所述第一网关设备根据所述第二访问控制策略，丢弃所述第一访问请求。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据所述用户组、所述终端类型、所述IP地址和接收的VDI控制器发送的所述标识信息，确定所述用户在所述标识信息对应的虚拟桌面上访问网络的第二访问权限；

生成所述第二访问权限对应的第二访问控制策略，并将所述第二访问控制策略发送给第二网关设备，以使所述第二网关设备根据所述第二访问控制策略，对接收到的所述用户通过所述VDI客户端发送的访问网络的访问报文进行处理。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在接收到所述VDI控制器发送的所述标识信息后，将所述用户信息、所述用户组、所述终端类型、所述IP地址和所述标识信息同步给第二认证服务器，以使所述第二认证服务器根据所述用户组、所述终端类型、所述IP地址和所述标识信息，确定所述用户在所述标识信息对应的虚拟桌面上访问网络的第三访问权限，生成所述第三访问权限对应的第三访问控制策略，并将所述第三访问控制策略发送给第三网关设备，由所述第三网关设备根据所述第三访问控制策略，对接收到的所述用户通过所述VDI客户端发送的访问网络的访问报文进行处理。

5.根据权利要求1所述的方法，其特征在于，所述确定出的虚拟桌面的标识信息为提供所述确定出的虚拟桌面的虚拟主机的IP地址或者端口号信息。