【技术实现步骤摘要】
本专利技术涉及通信,尤其涉及一种云桌面接入方法、一种云桌面终端、一种sdp控制器、一种计算机设备以及一种计算机可读存储介质。
技术介绍
1、随着互联网技术的不断发展,新技术态势下的网络安全威胁和风险不断涌现,移动互联网、工业互联网、车联网等新型的应用场景也使得物理网络安全边界逐渐瓦解。为了应对逐渐复杂的网络环境,业界提出了“零信任”网络安全框架。零信任网络安全框架的核心思想是:默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的终端安全、链路安全和访问控制安全。
2、在云计算和设备虚拟化技术日趋成熟的背景下,使用云桌面远程办公逐渐成为一种常态化的工作模式。采用虚拟桌面基础架构(vdi,virtual desktop infrastructure)的云桌面主要依靠部署在服务器上的虚拟机为用户提供虚拟计算资源,这些虚拟机资源消耗小,便于统一管理,并且使用方便。目前,云桌面已经成为很多企事业单位办公的首选方式。
3、然而,目前零信任网络的安全体系还不完善,传统的安全网关容易遭受扫描和渗透攻击,并且传统的内网中所有用户能获取所有应用系统的访问权限的方式,很容易形成危险的攻击行为,比如横向传播、威胁投递等,导致业务系统的安全性无法得到有效的保障。
技术实现思路
1、为了至少部分解决现有技术中存在的业务系统的安全性无法得到有效的保障的技术问题而完成了本
2、根据本专利技术的一方面,提供一种云桌面接入方法,应用于云桌面终端,所述方法包括:
3、所述云桌面终端向软件定义边界sdp控制器发送第一认证请求,所述第一认证请求携带所述云桌面终端的终端信息,以使所述sdp控制器根据所述第一认证请求获取指示所述云桌面终端是否为可信终端的第一认证结果,并将所述第一认证结果返回给所述云桌面终端;
4、所述云桌面终端接收所述第一认证结果,响应于所述第一认证结果为可信终端,向所述sdp控制器发送第二认证请求,所述第二认证请求携带所述云桌面终端当前用户的用户身份信息,以使所述sdp控制器根据所述第二认证请求获取指示所述当前用户是否为可信用户的第二认证结果,并在所述第二认证结果为可信用户时基于所述用户身份信息获取所述当前用户的权限信息及为所述当前用户指定的sdp可信网关信息,将所述权限信息和所述sdp可信网关信息返回给所述云桌面终端,以及将所述第一认证结果、所述第二认证结果和所述权限信息发送到对应的sdp可信网关;
5、所述云桌面终端接收所述权限信息和所述sdp可信网关信息,基于所述sdp可信网关信息向对应的sdp可信网关发送第三认证请求,所述第三认证请求携带所述终端信息和所述用户身份信息,以使所述sdp可信网关将所述终端信息和所述用户身份信息分别与从所述sdp控制器获取的所述第一认证结果和所述第二认证结果进行匹配,得到所述云桌面终端是否为可信终端及所述当前用户是否为可信用户的第三认证结果,并将所述第三认证结果返回给所述云桌面终端;以及,
6、所述云桌面终端接收所述第三认证结果,响应于所述第三认证结果为可信终端与可信用户,根据所述当前用户的权限信息弹出允许所述当前用户访问的云桌面,并基于所述当前用户的权限信息与所述sdp可信网关建立加密隧道,以使所述sdp可信网关连接与所述权限信息对应的业务系统。
7、可选地,在所述云桌面终端基于所述当前用户的权限信息与所述sdp可信网关建立加密隧道之后,还包括:
8、所述云桌面终端接收所述sdp控制器发送的所述当前用户的变更后的权限信息;其中,所述sdp控制器基于所述当前用户的访问操作行为生成访问日志,并同步到安全管理中心,以使所述安全管理中心对所述访问日志进行分析以生成评估结果信息,基于所述评估结果信息变更所述当前用户的访问权限,并将所述当前用户的访问权限的变更结果返回给所述sdp控制器,使所述sdp控制器基于所述变更结果得到所述当前用户的变更后的权限信息并返回给所述云桌面终端;以及,
9、所述云桌面终端根据所述当前用户的变更后的权限信息弹出允许所述当前用户访问的云桌面,并基于所述当前用户的变更后的权限信息与所述sdp可信网关建立加密隧道,以使所述sdp可信网关连接与所述变更后的权限信息对应的业务系统。
10、可选地,所述方法还包括:
11、响应于所述第一认证结果为不可信终端,所述云桌面终端向所述sdp可信网关发送的所有访问服务和业务的请求均被所述sdp可信网关屏蔽。
12、可选地,所述方法还包括:
13、响应于所述第二认证结果为不可信用户,所述当前用户通过所述云桌面终端向所述sdp可信网关发送的所有访问服务和业务的请求均被所述sdp可信网关屏蔽。
14、可选地,在所述云桌面终端向所述sdp控制器发送第一认证请求之前,还包括:
15、所述云桌面终端向所述sdp控制器发送终端注册请求,以使所述sdp控制器基于所述终端注册请求获取所述云桌面终端的终端信息,并返回给所述云桌面终端;和/或,
16、所述云桌面终端向身份认证系统发送用户账号注册请求,以使所述身份认证系统基于所述用户账号注册请求获取所述云桌面终端当前用户的用户身份信息,并返回给所述云桌面终端。
17、根据本专利技术的另一方面,提供一种云桌面接入方法,应用于sdp控制器,所述方法包括:
18、所述sdp控制器接收云桌面终端发送的第一认证请求,所述第一认证请求携带所述云桌面终端的终端信息;
19、所述sdp控制器根据所述第一认证请求获取指示所述云桌面终端是否为可信终端的第一认证结果,并将所述第一认证结果返回给所述云桌面终端,以使所述云桌面终端响应于所述第一认证结果为可信终端,向所述sdp控制器发送第二认证请求,所述第二认证请求携带所述云桌面终端当前用户的用户身份信息;
20、所述sdp控制器接收所述第二认证请求,根据所述第二认证请求获取指示所述当前用户是否为可信用户的第二认证结果,并在所述第二认证结果为可信用户时基于所述用户身份信息获取所述当前用户的权限信息及为所述当前用户指定的sdp可信网关信息;以及,
21、所述sdp控制器将所述权限信息和所述sdp可信网关信息返回给所述云桌面终端,将所述第一认证结果、所述第二认证结果和所述权限信息发送到对应的sdp可信网关,以使所述云桌面终端基于所述sdp可信网关信息向对应的sdp可信网关发送第三认证请求,所述第三认证请求携带所述终端信息和所述用户身份信息,使所述sdp可信网关将所述终端信息和所述用户身份信息分别与从所述sdp控制器获取的所述第一认证结果和所述第二认证结果进行匹配,得到所述云桌面终端是否为可信终端及所述当前用户是否为可信用户的第三认证结果,并将所述第三认证结果返回给所述云桌面终端,再使所述云桌面终端响应于所述第三认证结果为可信终端与可本文档来自技高网...
【技术保护点】
1.一种云桌面接入方法,其特征在于,应用于云桌面终端,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述云桌面终端基于所述当前用户的权限信息与所述SDP可信网关建立加密隧道之后,还包括:
3.根据权利要求1所述的方法,其特征在于,还包括:
4.根据权利要求1所述的方法,其特征在于,还包括:
5.根据权利要求1-4中任一项所述的方法,其特征在于,在所述云桌面终端向所述SDP控制器发送第一认证请求之前,还包括:
6.一种云桌面接入方法,其特征在于,应用于软件定义边界SDP控制器,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,所述根据所述第二认证请求获取指示所述当前用户是否为可信用户的第二认证结果,包括:
8.根据权利要求6所述的方法,其特征在于,在将所述权限信息返回给所述云桌面终端之后,还包括:
9.根据权利要求8所述的方法,其特征在于,所述获取所述当前用户的访问操作行为,包括:
10.一种云桌面终端,其特征在于,包括:
11.一种软件定义
12.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求1至5中任一项所述的云桌面接入方法,或者执行根据权利要求6至9中任一项所述的云桌面接入方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行根据权利要求1至5中任一项所述的云桌面接入方法,或者执行根据权利要求6至9中任一项所述的云桌面接入方法。
...【技术特征摘要】
1.一种云桌面接入方法,其特征在于,应用于云桌面终端,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述云桌面终端基于所述当前用户的权限信息与所述sdp可信网关建立加密隧道之后,还包括:
3.根据权利要求1所述的方法,其特征在于,还包括:
4.根据权利要求1所述的方法,其特征在于,还包括:
5.根据权利要求1-4中任一项所述的方法,其特征在于,在所述云桌面终端向所述sdp控制器发送第一认证请求之前,还包括:
6.一种云桌面接入方法,其特征在于,应用于软件定义边界sdp控制器,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,所述根据所述第二认证请求获取指示所述当前用户是否为可信用户的第二认证结果,包括:
8.根据权利要求6所述的方法,其特征在于,...
【专利技术属性】
技术研发人员:蒋刚,雷亚军,廖思捷,唐熙文,黄友根,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。