[发明专利]虚拟桌面的身份识别和访问控制方法及系统

说明书

技术领域

本发明涉及服务器虚拟化和桌面虚拟化技术，尤其涉及一种虚拟桌面的身份识别和访问控制方法及系统。

背景技术

服务器虚拟化是指在一台物理宿主机上虚拟出多个虚拟机（Virtual Machine，简称VM），各个虚拟机之间相互隔离，并能同时运行相互独立的一种技术。该技术可以将一台物理宿主机拆分成数十个独立的虚拟机，各虚拟机能独立运行业务，以实现提高服务器资源利用率，提高管理效率的目标。作为云计算的基础类技术，服务器虚拟化技术在近年来得到了大量的应用和推广。如IDC（Internet Data Center，互联网数据中心）服务商将一台物理宿主机虚拟成20台左右的虚拟机，每台虚拟机具备独立的操作系统、网络环境，再将其出租给用户。对IDC服务商来说可以增加业务收入，对用户来说，可以降低租赁成本。

虚拟桌面技术是基于服务器虚拟化技术，将PC服务器虚拟化，并分割成多个虚拟桌面供不同用户使用的一种云计算技术。目前虚拟桌面技术得到广泛应用，SPICE（Simple Protocol for Independent Computing Environment，独立计算环境简单协议）因为其开源性，越来越多被人们应用于研发虚拟桌面系统，以较低的成本和较强的灵活性为用户提供虚拟桌面产品。

在实现本发明的过程中，发明人发现上述方法至少存在以下问题：

在基于SPICE协议的虚拟桌面架构中，由于缺乏有效的安全机制来对访问用户进行识别和限制，非法用户可以通过端口扫描的方式识别SPICE应用端口，通过编写SPICE协议程序和对应端口进行通讯，即可实现虚拟桌面访问。无法保证用户使用虚拟桌面使用过程中的保密性，容易导致信息泄漏。

发明内容

本发明实施例所要解决的技术问题是：增强基于SPICE协议的虚拟桌面使用过程的安全性，提供一种虚拟桌面的身份识别和访问控制方法及系统。

本发明实施例提供的一种虚拟桌面的身份识别和访问控制方法，包括：

用户设备的身份编码模块将用户身份信息进行编码生成身份编码；

所述用户设备的编码发送模块将所述身份编码发送给所述宿主机的主通道；

所述主通道进行初始化处理，将主通道状态设置为关闭，生成携带有所述身份编码的主通道初始化消息，将所述主通道初始化消息发送给所述宿主机的身份解析模块；

所述身份解析模块对所述身份编码进行解析，得到所述用户身份信息；

所述宿主机的身份识别模块对所述用户身份信息进行识别，若通过识别，则调用所述宿主机的主通道控制模块；

所述主通道控制模块将所述主通道状态设置为开放。

本发明实施例提供的一种虚拟桌面的身份识别和访问控制系统，包括：用户设备和宿主机；所述用户设备包括身份编码模块和编码发送模块；所述宿主机包括主通道、身份解析模块、身份识别模块和主通道控制模块；

所述身份编码模块，用于将用户身份信息进行编码生成身份编码；

所述编码发送模块，用于将所述身份编码发送给所述主通道；

所述主通道，用于进行初始化处理，将主通道状态设置为关闭，生成携带有所述身份编码的主通道初始化消息，将所述主通道初始化消息发送给所述身份解析模块；

所述身份解析模块，用于对所述身份编码进行解析，得到所述用户身份信息；

所述身份识别模块，用于对所述用户身份信息进行识别，若通过识别，则调用所述主通道控制模块；

所述主通道控制模块，用于将所述主通道状态设置为开放。，

基于本发明上述实施例提供的虚拟桌面的身份识别和访问控制方法及系统，用户在访问和使用虚拟桌面之前，用户设备会将用户身份信息发送至宿主机进行身份识别，在主通道初始化时默认为关闭，只有通过身份识别的用户，才将主通道开放给用户使用。弥补SPICE协议没有身份识别和访问控制的缺陷，增强SPICE协议的安全性，达到了只有合法用户才能访问虚拟桌面的目的。而且，用户设备将用户身份信息发送给宿主机之前对用户身份信息进行编码得到身份编码，宿主机的身份解析模块将该身份编码解析得到用户身份信息，对虚拟桌面的系统架构进行安全加固，提高了系统信息传输的安全性。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

构成说明书的一部分的附图描述了本发明的实施例，并且连同描述一起用于解释本发明的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中：