[发明专利]一种应用虚拟化的接入控制方法及装置

说明书

技术领域

本发明涉及虚拟化技术，尤其涉及一种应用虚拟化的接入控制方法及装置。

背景技术

随着网络技术以及软件技术的发展，计算机的应用程序不再局限于本地，远程应用虚拟化技术已经迅速发展起来。应用虚拟化的主要工作原理是：用户终端通过应用虚拟化协议远程连接到服务器端，在服务器端启动应用（可是为虚拟的本地应用），然后服务器把应用的界面显示图像远程端的到用户终端，用户终端的键盘和鼠标输入通过协议远程传递到服务器端。应用虚拟化达到的效果是：本地无需安装应用程序，应用程序在服务器端运行，但用户体验和本地使用应用程序基本相同。

用户终端的桌面其同样可以进行虚拟化。桌面虚拟化的主要工作原理是：在服务器上通过虚拟化技术虚拟出多台桌面虚拟机，用户终端和桌面虚拟机之间经过访问网关（vAccess）建立通信通道，把虚拟机上的操作系统桌面显示传送到用户终端，把终端的键盘和鼠标以及其他外围设备（如USB）远程携带到桌面虚拟机操作系统之中。应用虚拟化和桌面虚拟化都需要对终端用户做虚拟化接入控制，需要一个接入控制软件或者网关设备来控制虚拟应用和虚拟桌面访问，一方面做访问验证和授权，另一方面做虚拟化通讯协议。但目前的接入控制的解决方案效果不佳，容易受到攻击且部署成本高昂。

发明内容

有鉴于此，本发明提供一种虚拟化接入控制装置，该装置应用于虚拟化网关设备上，所述虚拟化网关位于服务器前端，所述服务器用于提供虚拟化服务，其中该装置通过自带操作系统的软件实现，该装置包括：

嵌入式操作系统，用于负责上层软件和底层硬件的通信；其中所述嵌入式操作系统为Linux操作系统；

接入控制模块，用于按照预设的规则对用户终端通过网络使用虚拟化服务的行为进行接入控制；其中所述虚拟化服务至少包括桌面虚拟化；所述接入控制至少包括认证、授权、策略控制、流量监控以及操作审计中的一种或者多种。

优选地，其中所述虚拟化网关设备包括转发模块，用于在用户终端和服务器之间提供转发服务。

本发明还一种虚拟化接入控制方法，该方法应用于虚拟化网关设备上，所述虚拟化网关位于服务器前端，所述服务器用于提供虚拟化服务，其中该方法通过自带操作系统的软件实现，该方法包括：

使用嵌入式操作系统负责上层软件和底层硬件的通信；其中所述嵌入式操作系统为Linux操作系统；

按照预设的规则对用户终端通过网络使用虚拟化服务的行为进行接入控制；其中所述虚拟化服务至少包括桌面虚拟化；所述接入控制至少包括认证、授权、策略控制、流量监控以及操作审计中的一种或者多种。

优选地，其中所述虚拟化网关设备用于在用户终端和服务器之间提供转发服务。

本发明能节省Server软件采购成本，转发性能高，支持大用户并发访问；并且可规避Window系统下的大量攻击风险。

附图说明

图1是一种典型的虚拟化接入网络结构图。

图2是本发明接入控制装置的软件框架图。

具体实施方式

在现有的网络环境中，接入控制软件通常作为一个Windows应用程序安装在应用服务器上（Windows Sever）。用户终端侧的虚拟化客户端插件直接访问运行在应用服务器上的接入控制软件，进行访问控制、虚拟化协议通讯等处理。然而熟悉Windows系统的开发者很多，相应的攻击者也很多。因此Windows系统天然地面临着较高的安全威胁。另外，虚拟化访问控制软件作为一个应用程序还可安装在一台独立的Windows Sever上，进行虚拟化接入访问控制，用户验证授权后，直接通过客户端插件访问桌面虚拟机，协议通讯不经过虚拟化访问控制软件。这样一来接入控制的深度又不够，因为访问的转发与控制是分离的。

请参考图1，本发明把接入控制迁移到虚拟化网关设备（vAccess）上进行实现，主要是通过自带操作系统的软件在网关设备的裸机上进行安装来实现，其中所述虚拟化网关位于服务器前端，所述服务器用于提供虚拟化服务。所述虚拟化网关设备一般都会包括转发模块，用于在用户终端和服务器之间提供转发服务。本发明所说的转发服务是一种泛指，它可以包括狭义的通信转发以及转发过程中的负载分担等服务。

本发明通过软件运行在网关设备上形成本发明的虚拟化化接入控制装置，其中该装置通过自带操作系统的软件实现，该装置包括：嵌入式操作系统以及接入控制模块。