基于虛擬桌面控制方式實(shí)現(xiàn)訪問遠(yuǎn)端應(yīng)用服務(wù)的方法
【專利摘要】本發(fā)明提供了一種基于虛擬桌面控制方式實(shí)現(xiàn)訪問遠(yuǎn)端應(yīng)用服務(wù)的方法。該方法利用安全網(wǎng)關(guān)進(jìn)行人員身份的識(shí)別和用戶權(quán)限的控制，利用安全網(wǎng)關(guān)客戶端軟件以虛擬桌面方式展現(xiàn)用戶有權(quán)限訪問應(yīng)用的快捷方式，通過安全網(wǎng)關(guān)和虛擬桌面配合，控制用戶對(duì)遠(yuǎn)端應(yīng)用服務(wù)的訪問。安全認(rèn)證網(wǎng)關(guān)收到列表后利用windows虛擬桌面技術(shù)重新創(chuàng)建一個(gè)windows桌面，并根據(jù)用戶的該列中每個(gè)應(yīng)用的屬性信息為每個(gè)應(yīng)用創(chuàng)建每一個(gè)桌面快捷方式展現(xiàn)在該桌面中，用戶切換到該桌面程序即可看到自己有權(quán)限訪問的各個(gè)應(yīng)用。用戶雙擊應(yīng)用系統(tǒng)快捷圖標(biāo)即可啟動(dòng)應(yīng)用客戶端。該方法實(shí)現(xiàn)的訪問方式直觀、人性化、應(yīng)用范圍廣，符合用戶使用習(xí)慣。
【專利說明】基于虛擬桌面控制方式實(shí)現(xiàn)訪問遠(yuǎn)端應(yīng)用服務(wù)的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于虛擬桌面控制方式實(shí)現(xiàn)訪問遠(yuǎn)端應(yīng)用服務(wù)的方法，特別是涉及一種適用于基于安全網(wǎng)關(guān)，采用虛擬桌面控制方式實(shí)現(xiàn)訪問遠(yuǎn)端應(yīng)用服務(wù)的方法。
【背景技術(shù)】
[0002]虛擬桌面技術(shù)是windows系統(tǒng)提供的一種可同時(shí)展現(xiàn)多個(gè)windows桌面的應(yīng)用技術(shù)。在一般情況下，windows操作系統(tǒng)僅顯示一個(gè)桌面，這個(gè)桌面擔(dān)負(fù)著所有應(yīng)用快捷方式
的管理責(zé)任。
[0003]身份認(rèn)證技術(shù)是鑒別用戶身份，提取用戶身份標(biāo)識(shí)的一種安全技術(shù)，是進(jìn)行權(quán)限控制的前提。安全網(wǎng)關(guān)利用身份認(rèn)證技術(shù)對(duì)用戶身份進(jìn)行鑒別，從認(rèn)證信息中提取用戶身份標(biāo)識(shí)用于網(wǎng)關(guān)對(duì)用戶訪問應(yīng)用的權(quán)限控制。
[0004]訪問控制技術(shù)是用于控制用戶訪問行為的一種安全手段。
[0005]安全網(wǎng)關(guān)系統(tǒng)通過斷路訪問控制的方式保護(hù)需要加固的應(yīng)用系統(tǒng)。用戶只有通過網(wǎng)關(guān)的身份認(rèn)證才能訪問受安全網(wǎng)關(guān)保護(hù)的應(yīng)用服務(wù)。普通的安全網(wǎng)關(guān)系統(tǒng)采用透明的方式保護(hù)應(yīng)用，不具備一種直觀的方式告訴用戶在用戶認(rèn)證通過后哪些應(yīng)用用戶有權(quán)訪問，只有當(dāng)用戶操作應(yīng)用系統(tǒng)時(shí)才因用戶沒有權(quán)限而拒絕用戶，處理方式簡(jiǎn)單粗暴。有些安全網(wǎng)關(guān)也支持web門戶功能，在用戶認(rèn)證通過后以網(wǎng)頁鏈接的形勢(shì)向用戶展現(xiàn)用戶能訪問的應(yīng)用，但該種方式僅支持B/S應(yīng)用。

【發(fā)明內(nèi)容】

[0006]本發(fā)明要解決的技術(shù)問題是提供一種基于虛擬桌面控制方式實(shí)現(xiàn)訪問遠(yuǎn)端應(yīng)用服務(wù)的方法。該方法利用安全網(wǎng)關(guān)進(jìn)行人員身份的識(shí)別和用戶權(quán)限的控制，利用安全網(wǎng)關(guān)客戶端軟件以虛擬桌面方式展現(xiàn)用戶有權(quán)限訪問應(yīng)用的快捷方式，通過安全網(wǎng)關(guān)和虛擬桌面配合，控制用戶對(duì)遠(yuǎn)端應(yīng)用服務(wù)的訪問。安全認(rèn)證網(wǎng)關(guān)收到列表后利用windows虛擬桌面技術(shù)重新創(chuàng)建一個(gè)windows桌面，并根據(jù)用戶的該列中每個(gè)應(yīng)用的屬性信息為每個(gè)應(yīng)用創(chuàng)建每一個(gè)桌面快捷方式展現(xiàn)在該桌面中，用戶切換到該桌面程序即可看到自己有權(quán)限訪問的各個(gè)應(yīng)用。用戶雙擊應(yīng)用系統(tǒng)快捷圖標(biāo)即可啟動(dòng)應(yīng)用客戶端。該方法實(shí)現(xiàn)的訪問方式直觀、人性化、應(yīng)用范圍廣，符合用戶使用習(xí)慣。
[0007]本發(fā)明采用的技術(shù)方案如下:一種基于虛擬桌面控制方式實(shí)現(xiàn)訪問遠(yuǎn)端應(yīng)用服務(wù)的方法，其具體方法為:一、用戶啟動(dòng)安全客戶端軟件；二、用戶出示用于認(rèn)證的憑證，并與安全認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證，如果通過認(rèn)證則執(zhí)行下一步；三、安全認(rèn)證網(wǎng)關(guān)向安全網(wǎng)關(guān)客戶端軟件推送該用戶有權(quán)訪問的應(yīng)用系統(tǒng)標(biāo)識(shí)及相關(guān)信息，并傳遞給安全認(rèn)證網(wǎng)關(guān)客戶端軟件；四、安全網(wǎng)關(guān)客戶端軟件解析應(yīng)用系統(tǒng)標(biāo)識(shí)，啟動(dòng)虛擬桌面，并在虛擬桌面中創(chuàng)建應(yīng)用系統(tǒng)快捷方式；五、用戶在虛擬桌面中啟動(dòng)應(yīng)用系統(tǒng)；六、應(yīng)用系統(tǒng)客戶端通過安全客戶端軟件與安全網(wǎng)關(guān)之間建立的安全通道訪問應(yīng)用系統(tǒng)；七、用戶使用完畢后斷開身份認(rèn)證客戶端軟件，虛擬桌面自動(dòng)退出。[0008]所述步驟三的具體方法為:安全網(wǎng)關(guān)從管理員事先配置在安全網(wǎng)關(guān)中的用戶權(quán)限列表中通過用戶身份信息查詢用戶有權(quán)訪問的應(yīng)用，再根據(jù)這些應(yīng)用查詢相關(guān)的屬性信
肩、O
[0009]安全網(wǎng)關(guān)將用戶的有權(quán)訪問的應(yīng)用信息及應(yīng)用的相關(guān)屬性以列表的方式傳遞給安全認(rèn)證網(wǎng)關(guān)客戶端軟件。
[0010]安全認(rèn)證網(wǎng)關(guān)收到3列表后利用windows虛擬桌面技術(shù)重新創(chuàng)建一個(gè)windows桌面，并為每個(gè)應(yīng)用創(chuàng)建每一個(gè)桌面快捷方式展現(xiàn)在該桌面中。
[0011]根據(jù)用戶的該列中每個(gè)應(yīng)用的屬性信息為每個(gè)應(yīng)用創(chuàng)建每一個(gè)桌面快捷方式展現(xiàn)在該桌面中。
[0012]應(yīng)用客戶端連接應(yīng)用服務(wù)，安全網(wǎng)關(guān)客戶端截獲應(yīng)用客戶端請(qǐng)求的方法為:與安全網(wǎng)關(guān)建立VPN通道，并通過VPN通道傳送應(yīng)用請(qǐng)求。
[0013]所述安全通道為VPN通道。
[0014]所述步驟三中，如果用戶有權(quán)限訪問該應(yīng)用，安全網(wǎng)關(guān)代理用戶將該應(yīng)用請(qǐng)求轉(zhuǎn)發(fā)到應(yīng)用服務(wù)，由應(yīng)用服務(wù)處理該請(qǐng)求后通過VPN通道轉(zhuǎn)發(fā)給應(yīng)用客戶端。
[0015]與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是:基于安全網(wǎng)關(guān)的虛擬桌面功能，以windows桌面的形勢(shì)向用戶展現(xiàn)用戶有權(quán)訪問的應(yīng)用，以快捷圖標(biāo)的方式代表每個(gè)用戶有權(quán)訪問的應(yīng)用。區(qū)別于以web門戶方式的安全網(wǎng)關(guān)系統(tǒng)，windows桌面功能可以定義應(yīng)用軟件的快捷方式，用戶點(diǎn)擊快捷方式即可訪問指定應(yīng)用。快捷圖標(biāo)方式不論B/S應(yīng)用、C/S應(yīng)用都可以進(jìn)行定義。系統(tǒng)提供的桌面也區(qū)別于windows操作系統(tǒng)的固有桌面，以一個(gè)完全獨(dú)立的桌面向用戶展現(xiàn)。用戶可自行操作在原有操作系統(tǒng)原有桌面和該桌面中來回切換。安全網(wǎng)關(guān)生成的桌面中展現(xiàn)的快捷方式僅包含用戶有權(quán)訪問的應(yīng)用以及由管理員自定義的一些系統(tǒng)功能圖標(biāo)。對(duì)用戶來說直觀明了，符合用戶使用習(xí)慣。一般的虛擬桌面通常是將游戲、工作等多種不同的內(nèi)容化分到不同桌面，每個(gè)桌面需要用戶自行定義?；诎踩W(wǎng)關(guān)的虛擬桌面應(yīng)用自動(dòng)將用戶有權(quán)訪問的應(yīng)用形成一個(gè)單獨(dú)的桌面，無需用戶自行定制。
【專利附圖】

【附圖說明】
[0016]圖1為本發(fā)明其中一實(shí)施例的系統(tǒng)結(jié)構(gòu)圖。
[0017]圖2為圖1所示實(shí)施例中用戶訪問應(yīng)用系統(tǒng)的流程圖。
【具體實(shí)施方式】
[0018]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。
[0019]本說明書中公開的所有特征，除了互相排除的特征以外，均可以以任何方式組合。
[0020]本說明書(包括任何附加權(quán)利要求、摘要和附圖)中公開的任一特征，除非特別敘述，均可被其他等效或者具有類似目的的替代特征加以替換。即，除非特別敘述，每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子而已。
[0021]本發(fā)明公開了安全網(wǎng)關(guān)展現(xiàn)用戶訪問權(quán)限，提供應(yīng)用入口，方便用戶啟動(dòng)應(yīng)用的方法，實(shí)現(xiàn)本發(fā)明的一個(gè)樣例系統(tǒng)結(jié)構(gòu)如圖1所示，安全認(rèn)證網(wǎng)關(guān)部署在應(yīng)用系統(tǒng)與客戶端之間，起斷路式訪問控制的作用。用戶要訪問應(yīng)用系統(tǒng)的流程如圖2所示:
一種基于虛擬桌面控制方式實(shí)現(xiàn)訪問遠(yuǎn)端應(yīng)用服務(wù)的方法，其具體方法為:一、用戶啟動(dòng)安全客戶端軟件；二、用戶出示用于認(rèn)證的憑證，并與安全認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證，如果通過認(rèn)證則執(zhí)行下一步；三、安全認(rèn)證網(wǎng)關(guān)向安全網(wǎng)關(guān)客戶端軟件推送該用戶有權(quán)訪問的應(yīng)用系統(tǒng)標(biāo)識(shí)及相關(guān)信息，并傳遞給安全認(rèn)證網(wǎng)關(guān)客戶端軟件；四、安全網(wǎng)關(guān)客戶端軟件解析應(yīng)用系統(tǒng)標(biāo)識(shí)，啟動(dòng)虛擬桌面，并動(dòng)態(tài)的在虛擬桌面中創(chuàng)建應(yīng)用系統(tǒng)快捷方式；五、用戶在虛擬桌面中點(diǎn)擊要使用的應(yīng)用系統(tǒng)快捷方式，啟動(dòng)應(yīng)用系統(tǒng)；六、應(yīng)用系統(tǒng)客戶端通過安全客戶端軟件與安全網(wǎng)關(guān)之間建立的安全通道訪問應(yīng)用系統(tǒng)；七、用戶使用完畢后斷開身份認(rèn)證客戶端軟件，虛擬桌面自動(dòng)退出。
[0022]安全認(rèn)證網(wǎng)關(guān)不受限于具體的實(shí)現(xiàn)方式，可以是SSLVPN網(wǎng)關(guān)，可以是應(yīng)用控制網(wǎng)關(guān)。安全網(wǎng)關(guān)能使用不同的認(rèn)證因子、不同的認(rèn)證協(xié)議實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證；能夠代理用戶訪問部署在安全認(rèn)證網(wǎng)關(guān)后的應(yīng)用系統(tǒng)；能夠?qū)τ脩粼L問應(yīng)用系統(tǒng)的權(quán)限進(jìn)行控制。所述的安全認(rèn)證網(wǎng)關(guān)系統(tǒng)接收來自于安全網(wǎng)關(guān)客戶端軟件的認(rèn)證請(qǐng)求，根據(jù)客戶端出示的不同認(rèn)證因子對(duì)用戶進(jìn)行身份認(rèn)證。認(rèn)證成功后安全網(wǎng)關(guān)與安全網(wǎng)關(guān)客戶端軟件建立安全通道，并根據(jù)管理員授予的用戶權(quán)限將用戶有權(quán)訪問的應(yīng)用系統(tǒng)標(biāo)識(shí)推送到安全客戶端軟件。當(dāng)用戶通過安全客戶端訪問應(yīng)用系統(tǒng)時(shí)，安全網(wǎng)關(guān)根據(jù)用戶的身份標(biāo)識(shí)和所需訪問應(yīng)用系統(tǒng)的標(biāo)識(shí)判斷用戶是否有訪問應(yīng)用系統(tǒng)的權(quán)限，如果有權(quán)訪問，則代理用戶訪問該應(yīng)用系統(tǒng)，反之則拒絕用戶的訪問請(qǐng)求。
[0023]可接受用戶出示的不同認(rèn)證因子與安全網(wǎng)關(guān)進(jìn)行認(rèn)證；能基于不同的認(rèn)證協(xié)議與安全網(wǎng)關(guān)進(jìn)行認(rèn)證；能通過不同方式代理應(yīng)用客戶端軟件訪問部署在安全認(rèn)證網(wǎng)關(guān)之后的應(yīng)用軟件；能以虛擬桌面方式展現(xiàn)用戶有權(quán)訪問應(yīng)用的快捷方式。所述安全認(rèn)證客戶端軟件根據(jù)用戶提供的不同認(rèn)證因子如用戶口令、證書等通過不同的認(rèn)證協(xié)議如SSL與安全網(wǎng)關(guān)進(jìn)行身份認(rèn)證。認(rèn)證通過后，所述安全客戶端軟件根據(jù)從安全網(wǎng)關(guān)獲取的應(yīng)用系統(tǒng)標(biāo)識(shí)在虛擬桌面中創(chuàng)建應(yīng)用系統(tǒng)的快捷方式。當(dāng)用戶啟動(dòng)應(yīng)用系統(tǒng)客戶端軟件時(shí)，所述安全認(rèn)證客戶端軟件代理應(yīng)用客戶端軟件訪問應(yīng)用系統(tǒng)。
[0024]所述步驟三的具體方法為:安全網(wǎng)關(guān)從管理員事先配置在安全網(wǎng)關(guān)中的用戶權(quán)限列表中通過用戶身份信息查詢用戶有權(quán)訪問的應(yīng)用，再根據(jù)這些應(yīng)用查詢相關(guān)的屬性信
肩、O
[0025]安全網(wǎng)關(guān)將用戶的有權(quán)訪問的應(yīng)用信息及應(yīng)用的相關(guān)屬性以列表的方式傳遞給安全認(rèn)證網(wǎng)關(guān)客戶端軟件。
[0026]安全認(rèn)證網(wǎng)關(guān)收到3列表后利用windows虛擬桌面技術(shù)重新創(chuàng)建一個(gè)windows桌面，并為每個(gè)應(yīng)用創(chuàng)建每一個(gè)桌面快捷方式展現(xiàn)在該桌面中。
[0027]為操作系統(tǒng)提供多個(gè)桌面，將安全網(wǎng)關(guān)代理的應(yīng)用在一個(gè)獨(dú)立桌面顯示，方便用戶使用。
[0028]根據(jù)用戶的該列中每個(gè)應(yīng)用的屬性信息為每個(gè)應(yīng)用創(chuàng)建每一個(gè)桌面快捷方式展現(xiàn)在該桌面中。
[0029]應(yīng)用客戶端連接應(yīng)用服務(wù)，安全網(wǎng)關(guān)客戶端截獲應(yīng)用客戶端請(qǐng)求的方法為:與安全網(wǎng)關(guān)建立VPN通道，并通過VPN通道傳送應(yīng)用請(qǐng)求。
[0030]所述安全通道為VPN通道。[0031]所述步驟三中，如果用戶有權(quán)限訪問該應(yīng)用，安全網(wǎng)關(guān)代理用戶將該應(yīng)用請(qǐng)求轉(zhuǎn)發(fā)到應(yīng)用服務(wù)，由應(yīng)用服務(wù)處理該請(qǐng)求后通過VPN通道轉(zhuǎn)發(fā)給應(yīng)用客戶端。
[0032]基于安全網(wǎng)關(guān)的虛擬桌面，通過windows虛擬桌面技術(shù)為用戶展現(xiàn)一個(gè)獨(dú)立于現(xiàn)有windows桌面的專有windows桌面；利用安全認(rèn)證網(wǎng)關(guān)的權(quán)限控制功能來控制在桌面顯示的內(nèi)容。
[0033]本發(fā)明不限定身份認(rèn)證的具體方式。在本發(fā)明中，不限定具體的訪問控制模型。安全網(wǎng)關(guān)利用用戶的身份標(biāo)識(shí)根據(jù)訪問控制列表過濾出用戶有權(quán)限訪問的應(yīng)用，以桌面快捷方式將這些應(yīng)用展現(xiàn)在一個(gè)獨(dú)立的windows桌面中提供給用戶。當(dāng)用戶通過安全網(wǎng)關(guān)訪問受安全網(wǎng)關(guān)保護(hù)的應(yīng)用時(shí)，安全網(wǎng)關(guān)根據(jù)用戶身份標(biāo)識(shí)、訪問的應(yīng)用資源以及訪問控制列表判斷用戶是否有權(quán)限訪問。
【權(quán)利要求】
1.一種基于虛擬桌面控制方式實(shí)現(xiàn)訪問遠(yuǎn)端應(yīng)用服務(wù)的方法，其具體方法為:一、用戶啟動(dòng)安全客戶端軟件；二、用戶出示用于認(rèn)證的憑證，并與安全認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證，如果通過認(rèn)證則執(zhí)行下一步；三、安全認(rèn)證網(wǎng)關(guān)向安全網(wǎng)關(guān)客戶端軟件推送該用戶有權(quán)訪問的應(yīng)用系統(tǒng)標(biāo)識(shí)及相關(guān)信息，并傳遞給安全認(rèn)證網(wǎng)關(guān)客戶端軟件；四、安全網(wǎng)關(guān)客戶端軟件解析應(yīng)用系統(tǒng)標(biāo)識(shí)，啟動(dòng)虛擬桌面，并在虛擬桌面中創(chuàng)建應(yīng)用系統(tǒng)快捷方式；五、用戶在虛擬桌面中啟動(dòng)應(yīng)用系統(tǒng)；六、應(yīng)用系統(tǒng)客戶端通過安全客戶端軟件與安全網(wǎng)關(guān)之間建立的安全通道訪問應(yīng)用系統(tǒng)；七、用戶使用完畢后斷開身份認(rèn)證客戶端軟件，虛擬桌面自動(dòng)退出。
2.根據(jù)權(quán)利要求1所述的方法，所述步驟三的具體方法為:安全網(wǎng)關(guān)從管理員事先配置在安全網(wǎng)關(guān)中的用戶權(quán)限列表中通過用戶身份信息查詢用戶有權(quán)訪問的應(yīng)用，再根據(jù)這些應(yīng)用查詢相關(guān)的屬性信息。
3.根據(jù)權(quán)利要求2所述的方法，安全網(wǎng)關(guān)將用戶的有權(quán)訪問的應(yīng)用信息及應(yīng)用的相關(guān)屬性以列表的方式傳遞給安全認(rèn)證網(wǎng)關(guān)客戶端軟件。
4.根據(jù)權(quán)利要求2或3所述的方法，安全認(rèn)證網(wǎng)關(guān)收到3列表后利用windows虛擬桌面技術(shù)重新創(chuàng)建一個(gè)windows桌面，并為每個(gè)應(yīng)用創(chuàng)建每一個(gè)桌面快捷方式展現(xiàn)在該桌面中。
5.根據(jù)權(quán)利要求4所述的方法，根據(jù)用戶的該列中每個(gè)應(yīng)用的屬性信息為每個(gè)應(yīng)用創(chuàng)建每一個(gè)桌面快捷方式展現(xiàn)在該桌面中。
6.根據(jù)權(quán)利要求1所述的方法，應(yīng)用客戶端連接應(yīng)用服務(wù)，安全網(wǎng)關(guān)客戶端截獲應(yīng)用客戶端請(qǐng)求的方法為:與安全網(wǎng)關(guān)建立VPN通道，并通過VPN通道傳送應(yīng)用請(qǐng)求。
7.根據(jù)權(quán)利要求6所述的方法，所述安全通道為VPN通道。
8.根據(jù)權(quán)利要求6所述的方法，所述步驟三中，如果用戶有權(quán)限訪問該應(yīng)用，安全網(wǎng)關(guān)代理用戶將該應(yīng)用請(qǐng)求轉(zhuǎn)發(fā)到應(yīng)用服務(wù)，由應(yīng)用服務(wù)處理該請(qǐng)求后通過VPN通道轉(zhuǎn)發(fā)給應(yīng)用客戶端。
【文檔編號(hào)】H04L29/08GK103442007SQ201310382459
【公開日】2013年12月11日 申請(qǐng)日期:2013年8月29日 優(yōu)先權(quán)日:2013年8月29日
【發(fā)明者】方鳴睿 申請(qǐng)人:成都衛(wèi)士通信息安全技術(shù)有限公司