[发明专利]一种访问控制方法及装置

说明书

本申请提供一种访问控制方法及装置，该方法应用于第一认证服务器，该方法包括：接收第一网关设备发送的认证请求；在根据用户信息确定出用户的第一接入权限为允许用户接入第一网关设备时，生成第一接入权限对应的第一访问控制策略并发送给第一网关设备；在接收到VDI控制器发送的查询用户对应的虚拟桌面的访问权限的查询请求时，生成携带有第一访问权限的查询响应，并发送给VDI控制器，以使VDI控制器在接收到查询响应后，确定用户可访问的虚拟桌面，并通过第一网关设备向VDI客户端发送携带有确定出的虚拟桌面的标识信息的第一访问响应，由用户根据标识信息选择对应的待访问的虚拟桌面。本申请可提高访问安全性。

技术领域

本申请涉及虚拟化技术领域，尤其涉及一种访问控制方法及装置。

背景技术

在桌面虚拟化方案中，用户通过终端设备上的虚拟桌面基础架构(VirtualDesktop Infrastructure，VDI)客户端与VDI服务器中创建的虚拟机(Virtual Machine)建立连接，进而实现对VM提供的虚拟桌面的访问。

目前，在访问虚拟桌面的访问流程中，认证服务器通常使用用户名和密码这一单一因素区分用户访问虚拟桌面的访问权限，容易导致用户访问虚拟桌面的访问安全性较低。

发明内容

为克服相关技术中存在的问题，本申请提供了一种访问控制方法及装置。

根据本申请实施例的第一方面，提供一种访问控制方法，所述方法应用于第一认证服务器，所述方法包括：

接收第一网关设备发送的认证请求，所述认证请求为所述第一网关设备在接收到用户通过终端设备上的VDI客户端发送的访问虚拟桌面的第一访问请求时生成的，所述认证请求中包括有所述第一访问请求中携带的所述用户的用户信息、所述终端设备的终端类型和所述VDI客户端的互联网协议(Internet Protocol，IP)地址，所述IP地址为所述第一认证服务器或者所述第一网关设备根据所述VDI客户端的接入方式分配的；

在根据所述用户信息确定出所述用户的第一接入权限为允许所述用户接入所述第一网关设备时，生成所述第一接入权限对应的第一访问控制策略并发送给所述第一网关设备；

在接收到VDI控制器发送的查询所述用户对应的虚拟桌面的访问权限的查询请求时，生成携带有根据所述用户信息对应的用户组、所述终端类型和所述IP地址确定出的所述第一访问权限的查询响应，并发送给所述VDI控制器，以使所述VDI控制器在接收到所述查询响应且所述第一访问权限为允许所述用户访问虚拟桌面时，根据所述用户组、所述终端类型和所述IP地址，确定所述用户可访问的虚拟桌面，并通过所述第一网关设备向所述VDI客户端发送携带有确定出的虚拟桌面的标识信息的第一访问响应，由所述用户根据所述标识信息选择对应的待访问的虚拟桌面，并通过所述VDI客户端访问选择出的虚拟桌面，其中，所述查询请求为所述VDI控制器在接收到所述第一网关设备发送的所述第一访问请求时生成的，所述第一访问请求为所述第一网关设备在接收到所述第一访问控制策略时转发给所述VDI控制器的。

根据本申请实施例的第二方面，提供访问控制装置，所述装置应用于第一认证服务器，所述装置包括：

接收模块，用于接收第一网关设备发送的认证请求，所述认证请求为所述第一网关设备在接收到用户通过终端设备上的虚拟桌面基础架构VDI客户端发送的访问虚拟桌面的第一访问请求时生成的，所述认证请求中包括有所述第一访问请求中携带的所述用户的用户信息、所述终端设备的终端类型和所述VDI客户端的IP地址，所述IP地址为所述第一认证服务器或者所述第一网关设备根据所述VDI客户端的接入方式分配的；

生成模块，用于在根据所述用户信息确定出所述用户的第一接入权限为允许所述用户接入所述第一网关设备时，生成所述第一接入权限对应的第一访问控制策略并发送给所述第一网关设备；