具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

随着远程桌面使用率逐年上升，对于用户通过不同终端设备访问虚拟化的远程桌面，通常会从改善数据传输和多用户共享等角度进行技术研究，而对于远程桌面可操控的灵活性和实际使用的便利性方面，并未有过多研究。

本发明实施例中的终端设备例如可以是：个人电脑(Personal Computer，PC)、智能移动终端、平板电脑(PAD)等。

本发明提供一种桌面访问控制方法，可以在保证终端设备使用远程桌面的安全性的同时，提高远程桌面使用的便利性。

为了更好的理解本发明，下面将结合附图，详细描述根据本发明实施例的桌面访问控制方法和系统，应注意，这些实施例并不是用来限制本发明公开的范围。

图1是本发明一实施例提供的桌面访问控制方法的流程图。如图1所示，本发明实施例中的桌面访问控制方法，可以应用于边缘服务器，该桌面访问控制方法可以包括以下步骤。

S110，与终端设备建立通信连接，并通过与终端设备的专用信道接收终端设备的数字签名。

S120，响应于终端设备的虚拟化远程桌面使用请求，根据虚拟化远程桌面使用请求中包含的用户身份信息，对终端设备进行第一次身份验证。

S130，在第一次身份验证通过的情况下，向预定的云端服务器发送身份验证请求，身份验证请求中包括终端设备的数字签名，以请求云端服务器对终端设备进行第二次身份验证。

S140，接收云端服务器在对终端设备进行第二次身份验证成功的情况下发送的桌面服务内容，并根据桌面服务内容为终端设备提供远程桌面访问。

根据本发明实施例的桌面访问控制方法，可以通过边缘服务器对终端设备进行身份验证，并通过云端服务器对待操作桌面服务内容的提取进行身份验证，双重验证保护机制可以保证终端设备使用虚拟远程桌面的安全性，有效降低用户信息及存储内容泄露的风险；并且，由于对待操作桌面服务内容进行了云化处理，使得用户可以随时通过终端设备进行远程桌面访问，摆脱了对远程桌面需要使用专用终端的依赖，提高了远程桌面访问和可操控的灵活性。

本发明实施例的边缘服务器，可以用于进行边缘计算和数据处理，例如，可以通过边缘计算是将数据的处理、应用程序的运行，以及一些功能服务的实现，由中心服务器下放到网络边缘的节点上。也就是说，可以将需要低延迟的计算机程序放在更接近请求的位置，从而降低了传输成本，缩短了延迟并提高了服务质量。

在一些实施例中，步骤S110中的终端设备的数字签名，可以是终端设备利用该终端设备的密钥对中的私钥，对该终端设备的用户信息、预先获取的终端设备的存证标识的哈希值和时间戳进行加密得到的数字签名。

在本发明实施例中，存证标识可以是云端服务器存储的与终端设备对应的桌面服务内容的存证标识码是根据待存证文件的内容生成的唯一标识，即存证标识可以用于标识云端服务器存储的与终端设备对应的桌面服务内容。

其中，终端设备的密钥对，可以是终端设备向云端服务器进行系统注册时，由云端服务器为终端设备分配的密钥对。

其中，终端设备的存证标识的哈希值，可以是云端服务器和终端设备根据哈希值获取流程得到的哈希值，哈希值获取流程包括：S11，云端服务器在接收到终端设备通过云端服务器发送的桌面服务内容的当前状态的情况下，为终端设备分配对应的存证标识，对存证标识进行哈希计算，得到存证标识的哈希值，利用终端设备的密钥对中的公钥，对存证标识的哈希值进行非对称加密以生成对应的密文，发送对应的密文至终端设备；S12，终端设备利用终端设备的密钥对中的私钥，解密接收到的密文得到存证标识的哈希值。

在该实施例中，通过终端设备向云端服务器进行系统注册时，得到一个云端服务器根据用户信息生成的用于该终端设备进行信息传输加密的秘钥对；并且，终端设备每次将桌面服务内容当前状态上传存储至云端服务器，云端服务器的访问控制系统可以为该终端分配一个一一对应的存证标识(ID)，系统对该存证ID进行哈希运算，利用用户设备的上述秘钥对中的公钥，对存证ID的哈希值进行非对称加密生产对应的密文，随后将该对应的密文发送给终端设备，用户接收到该对应的密文后，利用上述秘钥对中的私钥进行解密，并将解密得到的存证ID的哈希值进行保存，以用于后续该终端设备需要使用虚拟化远程桌面时，根据上述秘钥对中的私钥对终端设备的用户信息、存证ID的哈希值、时间戳等信息进行加密生成用户的数字签名。

在上述步骤S140，根据桌面服务内容为终端设备提供远程桌面访问的步骤，具体可以包括如下步骤。

S11，根据接收到的桌面服务内容的状态，为终端设备提供独立的虚拟资源并架构相应容器；以及，S12，为终端设备提供对桌面服务内容的访问操作权限。

在该实施例中，边缘服务器可以根据云端服务器提供的桌面服务内容的状态(简称桌面状态)，为用户提供独立的虚拟资源构架相应容器，以满足用户对该虚拟化远程桌面的正常启动，并将远程桌面的桌面服务内容操作权限提供给用户，是用户可以自定义对桌面当前状态进行操作，提高远程桌面使用的便利性。

在一些实施例中，该桌面访问控制方法还可以包括如下步骤。

S150，接收终端设备在远程桌面访问结束后反馈的桌面服务内容的当前状态；

S151，关闭与终端设备的通信连接，并发送桌面服务内容的当前状态至云端服务器，以使云端服务器存储桌面服务内容的当前状态，并为终端设备分配存证标识。

其中，云端服务器每次为终端设备分配的存证标识与前一次为终端设备分配的存证标识不同。

在该实施例中，终端设备对虚拟远程的桌面服务内容使用完成后，可以通过边缘服务器将桌面服务内容的当前状态返回给云端服务器，云端服务器会将桌面服务内容的当前状态进行存储，并重新为用户分配一个存证ID，并利用上述步骤S11中的方法进行加密后，得到该重新分配的存证ID对应的密文，发送该重新分配的存证ID对应的密文至该用户的终端设备，以使该用户的终端设备存储该重新分配的存证ID对应的密文。

根据本发明实施例的桌面访问控制方法，可以通过两次身份验证保证终端设备使用虚拟远程桌面的安全性，同时将用户设备对应的桌面服务器内容进行云化处理，使其变成可进行云端存储和操作的服务内容，用户通过终端设备发起虚拟化远程桌面使用申请，在边缘服务器创建的容器内对桌面内容进行操作，操作结束后重新返回至云端进行存储，整个操作过程可以有效降低用户信息及存储内容泄露的风险，达到虚拟化远程桌面使用的安全性和灵活性。

图2本发明另一实施例提供的桌面访问控制方法的流程图。如图2所示，本发明实施例中的桌面访问控制方法，可以应用于云端服务器，该桌面访问控制方法可以包括以下步骤。

S210，响应于边缘服务器的身份验证请求，从身份验证请求中获取终端设备的数字签名。

在该步骤中，身份验证请求是边缘服务器响应于终端设备的虚拟化远程桌面使用请求，根据虚拟化远程桌面使用请求中包含的用户身份信息，对终端设备进行第一次身份验证成功后发送的请求。

S220，根据终端设备的数字签名对终端设备进行第二次身份验证，并在第二次身份验证成功的情况下，发送存储的终端设备的桌面服务内容至边缘服务器，以使边缘服务器根据接收的桌面服务内容，为终端设备提供远程桌面访问服务。

根据本发明实施例的桌面访问控制方法，在边缘服务器对终端设备进行第一次身份验证后，通过本云端服务器对待操作桌面服务内容的提取进行第二次身份验证，从而通过双重验证保护机制保证终端设备使用虚拟远程桌面的安全性，有效降低用户信息及存储内容泄露的风险；并且，通过本云端服务器对待操作桌面服务内容进行云化处理，在第二次身份验证通过后，本云端服务器可以通过边缘服务器将桌面服务内容发送至终端设备，从而使得终端设备可以随时通过终端设备进行远程桌面访问，摆脱对远程桌面需要使用专用终端的依赖，提高了远程桌面访问和可操控的灵活性。

在上述步骤S210中，终端设备的数字签名，是终端设备利用终端设备的密钥对中的私钥，对终端设备的用户信息、预先获取的终端设备的存证标识的哈希值和时间戳进行加密得到的数字签名。

在一些实施例中，在步骤S210中的响应于边缘服务器的身份验证请求之前，方法还包括如下步骤。

S21，响应于终端设备对本云端服务器的系统注册请求，为终端设备分配的密钥对。

S22，在接收到终端设备通过边缘服务器发送的桌面服务内容的当前状态的情况下，为终端设备分配对应的存证标识。

S23，对存证标识进行哈希计算，得到存证标识的哈希值，并利用终端设备的密钥对中的公钥，对存证标识的哈希值进行非对称加密以生成对应的密文。

S24，发送对应的密文至终端设备，以使终端设备利用终端设备的密钥对中的私钥，解密接收到的密文得到存证标识的哈希值。

通过上述步骤S21-S24，云端服务器可以响应于终端设备的系统注册请求，根据用户信息生成该终端设备进行信息传输加密的秘钥对；并且，在每次接收到终端设备通过边缘服务器上传的桌面服务内容的当前状态时，可以为该终端设备分配一个一一对应的存证ID，且每次为该终端设备分配的存证ID，与之前为该终端设备分配的存证ID不相同，系统对本次分配的存证ID进行哈希运算，利用用户设备的上述秘钥对中的公钥，对存证ID的哈希值进行非对称加密生产对应的密文，随后将该对应的密文发送给终端设备，以使终端设备接收到该对应的密文后，利用上述秘钥对中的私钥进行解密，并将解密得到的存证ID的哈希值进行保存，以用于后续该终端设备需要使用虚拟化远程桌面时，根据上述秘钥对中的私钥对终端设备的用户信息、存证ID的哈希值、时间戳等信息进行加密生成用户的数字签名。

在一些实施例中，S220具体可以包括如下步骤。

S31，利用预先存储的终端设备的密钥对中的公钥，对终端设备的数字签名进行解密，得到终端设备的用户信息、存证标识和时间戳。

S32，根据时间戳验证用户信息对应的用户账户的有效性。

S33，在用户账户的有效性验证通过的情况下，根据解密得到的存证标识从预定的数据库中提取终端设备对应的桌面服务内容。

S34，发送终端设备的桌面服务内容至边缘服务器。

通过上述步骤S31-S34，本云端服务器对终端设备进行验证通过时，将提取的终端设备对应的桌面服务内容通过边缘服务器将桌面服务发送至终端设备，从而使得终端设备可以随时通过终端设备进行远程桌面访问。

在一些实施例中，该桌面访问控制方法还包括：S41，在接收到边缘服务器发送的桌面服务内容的当前状态的情况下，为终端设备分配新的存证标识；其中，桌面服务内容的当前状态是终端设备在远程桌面使用完成后反馈的状态。

在该实施例中，若接收到终端设备对虚拟远程的桌面服务内容使用完成后，通过边缘服务器反馈的将桌面服务内容的当前状态，则云端服务器会将桌面服务内容的当前状态进行存储，并重新为用户分配一个存证ID，并利用上述实施例中描述的加密方法进行加密后，得到该重新分配的存证ID对应的密文，发送该重新分配的存证ID对应的密文至该用户的终端设备，以使该用户的终端设备存储该重新分配的存证ID对应的密文。

根据本发明实施例的桌面访问控制方法，可以通过两次身份验证保证终端设备使用虚拟远程桌面的安全性，同时将用户设备对应的桌面服务器内容进行云化处理，使其变成可进行云端存储和操作的服务内容，用户通过终端设备发起虚拟化远程桌面使用申请，在边缘服务器创建的容器内对桌面内容进行操作，操作结束后重新返回至云端进行存储，整个操作过程可以有效降低用户信息及存储内容泄露的风险，达到虚拟化远程桌面使用的安全性和灵活性。

图3是本发明再一实施例的桌面访问控制方法的流程图。如图3所示，本发明实施例中的桌面访问控制方法，可以应用于终端设备，该桌面访问控制方法可以包括以下步骤。

S310，与指定的边缘服务器建立通信连接，并通过与边缘服务器的专用信道发送终端设备的数字签名。

S320，发送虚拟化远程桌面使用请求至边缘服务器，以使边缘服务器根据虚拟化远程桌面使用请求中的包含的用户身份信息，对终端设备进行第一次身份验证，并在第一次身份验证通过的情况下，向云端服务器发送身份验证请求，以请求云端服务器对终端设备进行第二次身份验证。

S330，对边缘服务器根据桌面服务内容提供的远程访问服务进行远程桌面访问，其中，桌面服务内容是云端服务器对终端设备进行第二次身份验证成功的情况下发送至边缘服务器的内容。

根据本发明实施例的桌面访问控制方法，可以通过两次身份验证保证终端设备使用虚拟远程桌面的安全性，同时将用户设备对应的桌面服务器内容进行云化处理，使其变成可进行云端存储和操作的服务内容，用户通过终端设备发起虚拟化远程桌面使用申请，在边缘服务器创建的容器内对桌面内容进行操作，操作结束后重新返回至云端进行存储，整个操作过程可以有效降低用户信息及存储内容泄露的风险，达到虚拟化远程桌面使用的安全性和灵活性。

在一些实施例中，终端设备的数字签名，是终端设备利用终端设备的密钥对中的私钥，对终端设备的用户信息、预先获取的终端设备的存证标识的哈希值和时间戳进行加密得到的数字签名。

在步骤S310中的与边缘服务器建立通信连接之前，该桌面访问控制方法还可以包括如下步骤。

S51，发送对云端服务器的系统注册请求至云端服务器，以使云端服务器为终端设备分配的密钥对。

S52，接收云端服务器发送的密文；其中，密文是云端服务器根据上一次接收到的本终端设备通过云端服务器发送的桌面服务内容的当前状态，为终端设备分配对应的存证标识并对存证标识进行哈希计算，得到存证标识的哈希值，并利用终端设备的密钥对中的公钥，对存证标识的哈希值进行非对称加密以生成对应的密文。

S53，利用本终端设备的密钥对中的私钥，解密接收到的密文得到存证标识的哈希值，并将存证标识的哈希值发送至区块链系统，以用于在区块链系统中更新终端设备的存证标识的哈希值。

在该实施例中，通过终端设备向云端服务器进行系统注册时，得到一个云端服务器根据用户信息生成的用于该终端设备进行信息传输加密的秘钥对；并且，终端设备每次将桌面服务内容当前状态上传存储至云端服务器，云端服务器的访问控制系统可以为该终端分配一个一一对应的存证标识(ID)，云端服务器中的处理系统可以对该存证ID进行哈希运算，利用用户设备的上述秘钥对中的公钥，对存证ID的哈希值进行非对称加密生产对应的密文，随后将该对应的密文发送给终端设备，用户接收到该对应的密文后，利用上述秘钥对中的私钥进行解密，并将解密得到的存证ID的哈希值进行保存，以用于后续该终端设备需要使用虚拟化远程桌面时，根据上述秘钥对中的私钥对终端设备的用户信息、存证ID的哈希值、时间戳等信息进行加密生成用户的数字签名。

并且，在本发明实施例中，通过引入区块链的机制，在区块链系统中实时更新终端设备的存证标识的哈希值，可以将桌面服务内容进一步量化，实现可交换可开源的目的。

在一些实施例中，桌面访问控制方法还可以包括：S51，在远程桌面访问结束后，向边缘服务器反馈桌面服务内容的当前状态，以使边缘服务器将桌面服务内容的当前状态发送至云端服务器；S62，接收云端服务器发送新的密文，其中，新的密文是云端服务器根据接收到的桌面服务内容的当前状态，重新为终端设备分配对应的存证标识得到的密文，且云端服务器每次为本终端设备分配的存证标识与前一次为本终端设备分配的存证标识不同。

在该实施例中，终端设备对虚拟远程的桌面服务内容使用完成后，可以通过边缘服务器将桌面服务内容的当前状态返回给云端服务器，云端服务器会将桌面服务内容的当前状态进行存储，并重新为用户分配一个存证ID，并利用上述步骤S11中的方法进行加密后，得到该重新分配的存证ID对应的密文，发送该重新分配的存证ID对应的密文至该用户的终端设备，以使该用户的终端设备存储该重新分配的存证ID对应的密文。

根据本发明实施例的桌面访问控制方法，可以通过两次身份验证保证用户使用虚拟远程桌面的安全性，同时将用户设备对应的桌面服务器内容进行云化处理，使其变成可进行云端存储和操作的服务内容，用户通过终端设备发起虚拟化远程桌面使用申请，在边缘服务器创建的容器内对桌面内容进行操作，操作结束后重新返回至云端进行存储，整个操作过程可以有效降低用户信息及存储内容泄露的风险，达到虚拟化远程桌面使用的安全性和灵活性。

图4是本发明示例性实施例提供的桌面访问控制方法的流程图。如图4所示，该桌面访问控制方法可以包括如下步骤。

S401，终端设备获取用于信息传输加密的秘钥对。

在该步骤中，终端设备在云端服务器进行系统注册时，云端服务器通过系统为该用户生成信息传输加密的秘钥对(K，K’)。

本发明中的云端服务器的系统，例如可以是位于云端服务器的处理系统，或位于云端服务器的桌面访问控制系统。

S402，终端设备获取云端服务器分配的存证ID的哈希值。

在该步骤中，终端设备每次将桌面服务内容当前状态上传存储至云端服务器，云端服务器的系统可以为用户分配一个一一对应的存证ID，系统对该存证ID进行哈希运算，利用秘钥对中的公钥K对哈希值H进行非对称加密生产密文A，随后将密文A返给用户侧的终端设备，用户侧的终端设备接收到密文A后，利用私钥K’进行解密，并将解密得到的哈希值H进行保存。

在一些实施例中，终端设备可以将解密得到的哈希值H发送至区块链系统，以在区块链中进行实时更新。

S403，边缘服务器对终端设备进行第一次身份验证。

在该步骤中，当终端设备需要使用虚拟化远程桌面时，可以利用私钥K’对用户信息(例如设备物理地址、设备网络地址和设备标识信息中的至少一种)、哈希值、时间戳等信息进行加密生成用户的数字签名，在终端设备与边缘服务器建立连接后，通过与边缘服务器之间的专用信道发送生成的数字签名；边缘服务器接收到用户请求后，对用户的身份信息进行认证；若对终端设备的该第一次身份验证通过，则执行步骤S404。

S404，云端服务器对终端设备进行第二次身份验证。

若边缘服务器对终端设备进行第一次身份验证通过，则边缘服务器随即将数字签名发送至云端服务器，以进行对该终端设备的第二次身份验证。

在该步骤中，云端服务器利用秘钥对中的公钥K对用户的数字签名进行解密，将解密得到的时间戳验证用户账户的有效性，若验证通过，则执行步骤S405。

S405，云端服务器将提取的桌面服务内容发送至边缘服务器。

在该步骤中，云端服务器解密终端设备的用户签名，根据解密得到的存证ID，从数据库提取桌面服务内容，经压缩处理后发送给边缘服务器。

S406，边缘服务器根据得到的桌面状态，为用户提供独立的虚拟资源构架相应容器，并向终端设备提供桌面服务内容的操作权限。

通过步骤406，边缘服务器提供的资源和构架的容易，可以满足远程桌面可以正常启动；桌面服务内容的操作权限例如可以包括如下操作权限中的至少一项：文件增加权限、文件删除权限、文件移动权限和文件内容修改权限。具体可以根据实际情况进行限定，本发明实施例不做具体限定。

S407，终端设备对桌面服务内容进行操作完成后，结束对桌面服务内容的使用。

在该步骤中，终端设备可以自定义对桌面服务内容进行操作，得到桌面服务器内容在每次操作后的当前状态。当终端设备使用完成后，可以向边缘服务器发送虚拟化远程桌面结束请求，该虚拟化远程桌面结束请求中可以包括桌面服务内容的当前状态，通过边缘服务器可以将桌面服务内容的当前状态返回给云端服务器，云端服务器会将其进行存储并为该终端设备重新分配一个存证ID，并利用上述实施例的加密方法，加密该存证ID，得到重新分配的存证ID的密文，发送重新分配的存证ID的密文至终端设备，由终端设备进行存储。

根据本发明实施例的桌面访问控制方法，当终端设备需要使用远程桌面时，可以通过PC/移动终端等设备接入到边缘服务器中并发起相应请求，结合边缘服务器和云端服务器，对用户身份信息及待操作桌面服务内容提取的双重验证保护机制，可有效降低用户信息及存储内容泄露的风险；边缘服务器通过在云端服务器调取终端设备所访问桌面数据资源，并为近端用户提供虚拟化桌面呈现，使终端设备可以随时访问需求桌面内容，并进行操作处理；终端设备对远程桌面进行操作，并在使用结束后发送当前桌面状态至边缘服务器，随后边缘服务器将桌面状态(例如桌面服务内容的操作结果)返回给云端，满足了用户自定义使用远程桌面的需求。

下面结合附图，详细介绍根据本发明实施例的桌面访问控制装置。图5示出了根据本发明一实施例提供的桌面访问控制装置的结构示意图。如图5所示，桌面访问控制装置应用于边缘服务器，且该桌面访问控制装置，可以包括如下模块。

数字签名接收模块510，用于与终端设备建立通信连接，并通过与终端设备的专用信道接收终端设备的数字签名。

第一身份验证模块520，用于响应于终端设备的虚拟化远程桌面使用请求，根据虚拟化远程桌面使用请求中包含的用户身份信息，对终端设备进行第一次身份验证。

验证请求发送模块530，用于在第一次身份验证通过的情况下，向预定的云端服务器发送身份验证请求，身份验证请求中包括终端设备的数字签名，以请求云端服务器对终端设备进行第二次身份验证。

桌面服务提供模块540，用于接收云端服务器在对终端设备进行第二次身份验证成功的情况下发送的桌面服务内容，并根据桌面服务内容为终端设备提供远程桌面访问。

在一些实施例中，桌面服务提供模块在根据桌面服务内容为终端设备提供远程桌面访问时，具体可以用于：根据接收到的桌面服务内容的状态，为终端设备提供独立的虚拟资源并架构相应容器；以及，为终端设备提供对桌面服务内容的访问操作权限。

在一些实施例中，终端设备的数字签名，是终端设备利用终端设备的密钥对中的私钥，对终端设备的用户信息、预先获取的终端设备的存证标识的哈希值和时间戳进行加密得到的数字签名，其中，终端设备的密钥对，是终端设备向云端服务器进行系统注册时，由云端服务器为终端设备分配的密钥对；并且其中，终端设备的存证标识的哈希值，是云端服务器和终端设备根据哈希值获取流程得到的哈希值，哈希值获取流程包括：云端服务器在接收到终端设备通过云端服务器发送的桌面服务内容的当前状态的情况下，为终端设备分配对应的存证标识，对存证标识进行哈希计算，得到存证标识的哈希值，利用终端设备的密钥对中的公钥，对存证标识的哈希值进行非对称加密以生成对应的密文，发送对应的密文至终端设备；终端设备利用终端设备的密钥对中的私钥，解密接收到的密文得到存证标识的哈希值。

在一些实施例中，该桌面访问控制装置还可以包括如下模块。

桌面状态接收模块，用于接收终端设备在远程桌面访问结束后反馈的桌面服务内容的当前状态；

桌面状态发送模块，用于关闭与终端设备的通信连接，并发送桌面服务内容的当前状态至云端服务器，以使云端服务器存储桌面服务内容的当前状态，并为终端设备分配存证标识；其中，云端服务器每次为终端设备分配的存证标识与前一次为终端设备分配的存证标识不同。

根据本发明实施例的桌面访问控制装置，通过本边缘服务器并结合云端服务器，通过两次身份验证保证用户使用虚拟远程桌面的安全性，且云端服务器将桌面服务器内容处理成可进行云端存储和操作的服务内容，用户通过终端设备发起虚拟化远程桌面使用申请，在边缘服务器创建的容器内对桌面内容进行操作，操作结束后重新返回至云端进行存储，整个操作过程可以有效降低用户信息及存储内容泄露的风险，达到虚拟化远程桌面使用的安全性和灵活性。

图6示出了根据本发明一实施例提供的桌面访问控制装置的结构示意图。如图6所示，桌面访问控制装置可以应用于云端服务器，且该桌面访问控制装置，可以包括如下模块。

数字签名获取模块610，用于响应于边缘服务器的身份验证请求，从身份验证请求中获取终端设备的数字签名。

在该模块中，身份验证请求是边缘服务器响应于终端设备的虚拟化远程桌面使用请求，根据虚拟化远程桌面使用请求中包含的用户身份信息，对终端设备进行第一次身份验证成功后发送的请求。

第二身份验证模块620，用于根据终端设备的数字签名对终端设备进行第二次身份验证，并在第二次身份验证成功的情况下，发送存储的终端设备的桌面服务内容至边缘服务器，以使边缘服务器根据接收的桌面服务内容，为终端设备提供远程桌面访问服务。

在一些实施例中，第二身份验证模块620，包括：云端解密单元，用于利用预先存储的终端设备的密钥对中的公钥，对终端设备的数字签名进行解密，得到终端设备的用户信息、存证标识和时间戳；账户有效性验证模块，用于根据时间戳验证用户信息对应的用户账户的有效性；内容提取单元，用于在用户账户的有效性验证通过的情况下，根据解密得到的存证标识从预定的数据库中提取终端设备对应的桌面服务内容；内容发送模块，用于发送终端设备的桌面服务内容至边缘服务器。

在一些实施例中，终端设备的数字签名，是终端设备利用终端设备的密钥对中的私钥，对终端设备的用户信息、预先获取的终端设备的存证标识的哈希值和时间戳进行加密得到的数字签名。

该桌面访问控制装置还包括：密钥对分配单元，用于在响应于边缘服务器的身份验证请求之前，响应于终端设备对本云端服务器的系统注册请求，为终端设备分配的密钥对；存证标识分配单元，用于在接收到终端设备通过边缘服务器发送的桌面服务内容的当前状态的情况下，为终端设备分配对应的存证标识；密文生成单元，用于对存证标识进行哈希计算，得到存证标识的哈希值，并利用终端设备的密钥对中的公钥，对存证标识的哈希值进行非对称加密以生成对应的密文；密文发送模块，用于发送对应的密文至终端设备，以使终端设备利用终端设备的密钥对中的私钥，解密接收到的密文得到存证标识的哈希值。

在一些实施例中，该桌面访问控制装置还包括：密文生成单元，还用于：在接收到边缘服务器发送的桌面服务内容的当前状态的情况下，为终端设备分配新的存证标识；其中，桌面服务内容的当前状态是终端设备在远程桌面使用完成后反馈的状态。

根据本发明实施例的桌面访问控制装置，可以通过两次身份验证保证终端设备使用虚拟远程桌面的安全性，同时将用户设备对应的桌面服务器内容进行云化处理，使其变成可进行云端存储和操作的服务内容，用户通过终端设备发起虚拟化远程桌面使用申请，在边缘服务器创建的容器内对桌面内容进行操作，操作结束后重新返回至云端进行存储，整个操作过程可以有效降低用户信息及存储内容泄露的风险，达到虚拟化远程桌面使用的安全性和灵活性。

图7示出了根据本发明一实施例提供的桌面访问控制装置的结构示意图。如图7所示，桌面访问控制装置可以应用于终端设备，且且该桌面访问控制装置，可以包括如下模块。

数字签名发送模块710，用于与指定的边缘服务器建立通信连接，并通过与边缘服务器的专用信道发送终端设备的数字签名。

使用请求发送模块720，用于发送虚拟化远程桌面使用请求至边缘服务器，以使边缘服务器根据虚拟化远程桌面使用请求中的包含的用户身份信息，对终端设备进行第一次身份验证，并在第一次身份验证通过的情况下，向云端服务器发送身份验证请求，以请求云端服务器对终端设备进行第二次身份验证；

远程桌面访问模块730，用于对边缘服务器根据桌面服务内容提供的远程访问服务进行远程桌面访问，其中，桌面服务内容是云端服务器对终端设备进行第二次身份验证成功的情况下发送至边缘服务器的内容。

在一些实施例中，终端设备的数字签名，是终端设备利用终端设备的密钥对中的私钥，对终端设备的用户信息、预先获取的终端设备的存证标识的哈希值和时间戳进行加密得到的数字签名。

在一些实施例中，该桌面访问控制装置，还可以包括如下模块。

密钥对接收模块，用于在与边缘服务器建立通信连接之前，发送对云端服务器的系统注册请求至云端服务器，以使云端服务器为终端设备分配的密钥对。

密文接收模块，用于接收云端服务器发送的密文；其中，密文是云端服务器根据上一次接收到的本终端设备通过云端服务器发送的桌面服务内容的当前状态，为终端设备分配对应的存证标识并对存证标识进行哈希计算，得到存证标识的哈希值，并利用终端设备的密钥对中的公钥，对存证标识的哈希值进行非对称加密以生成对应的密文。

密文解密模块，用于利用本终端设备的密钥对中的私钥，解密接收到的密文得到存证标识的哈希值。

哈希值发送模块，用于将存证标识的哈希值发送至区块链系统，以用于在区块链系统中更新终端设备的存证标识的哈希值。

在一些实施例中，桌面访问控制装置，还可以包括如下模块。

当前状态反馈模块，用于在远程桌面访问结束后，向边缘服务器反馈桌面服务内容的当前状态，以使边缘服务器将桌面服务内容的当前状态发送至云端服务器；

存证标识接收模块，用于接收云端服务器发送新的密文，其中，新的密文是云端服务器根据接收到的桌面服务内容的当前状态，重新为终端设备分配对应的存证标识得到的密文，且云端服务器每次为本终端设备分配的存证标识与前一次为本终端设备分配的存证标识不同。

根据本发明实施例的桌面访问控制装置，可以通过两次身份验证保证终端设备使用虚拟远程桌面的安全性，同时将用户设备对应的桌面服务器内容进行云化处理，使其变成可进行云端存储和操作的服务内容，用户通过终端设备发起虚拟化远程桌面使用申请，在边缘服务器创建的容器内对桌面内容进行操作，操作结束后重新返回至云端进行存储，整个操作过程可以有效降低用户信息及存储内容泄露的风险，达到虚拟化远程桌面使用的安全性和灵活性。

需要明确的是，本发明并不局限于上文实施例中所描述并在图中示出的特定配置和处理。为了描述的方便和简洁，这里省略了对已知方法的详细描述，并且上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

图8是示出能够实现根据本发明实施例的桌面访问控制方法和装置的计算设备的示例性硬件架构的结构图。

如图8所示，计算设备800包括输入设备801、输入接口802、中央处理器803、存储器804、输出接口805、以及输出设备806。其中，输入接口802、中央处理器803、存储器804、以及输出接口805通过总线810相互连接，输入设备801和输出设备806分别通过输入接口802和输出接口805与总线810连接，进而与计算设备800的其他组件连接。

具体地，输入设备801接收来自外部的输入信息，并通过输入接口802将输入信息传送到中央处理器803；中央处理器803基于存储器804中存储的计算机可执行指令对输入信息进行处理以生成输出信息，将输出信息临时或者永久地存储在存储器804中，然后通过输出接口805将输出信息传送到输出设备806；输出设备806将输出信息输出到计算设备800的外部供用户使用。

在一个实施例中，图8所示的计算设备800可以被实现为一种边缘服务器，该边缘服务器可以包括：存储器，被配置为存储程序；处理器，被配置为运行存储器中存储的程序，以执行上述实施例描述的应用于边缘服务器的桌面访问控制方法。

在一个实施例中，图8所示的计算设备800可以被实现为一种云端服务器，该云端服务器可以包括：存储器，被配置为存储程序；处理器，被配置为运行存储器中存储的程序，以执行上述实施例描述的应用于云端服务器的桌面访问控制方法。

在一个实施例中，图8所示的计算设备800可以被实现为一种终端设备，该终端设备可以包括：存储器，被配置为存储程序；处理器，被配置为运行存储器中存储的程序，以执行上述实施例描述的应用于终端设备的桌面访问控制方法。

根据本发明的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以从网络上被下载和安装，和/或从可拆卸存储介质被安装。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令，当其在计算机上运行时，使得计算机执行上述各个实施例中描述的方法。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本发明实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘)等。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。