專利名稱:面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)及其方法
技術(shù)領(lǐng)域:
本發(fā)明涉及云計(jì)算安全技術(shù)領(lǐng)域,特制一種面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)及其方法��。
背景技術(shù):
計(jì)算機(jī)的應(yīng)用模式大體經(jīng)歷了以大型機(jī)為主體的集中式架構(gòu)(數(shù)據(jù)中心1.0)�、以 PC機(jī)為主體的客戶/服務(wù)器分布式計(jì)算架構(gòu)(數(shù)據(jù)中心2. 0)、以虛擬化技術(shù)為核心面向服務(wù)的體系結(jié)構(gòu)(SOA)及基于Web2.0應(yīng)用特征的新型架構(gòu)(數(shù)據(jù)中心3.0)�����。計(jì)算機(jī)的應(yīng)用模式、技術(shù)架構(gòu)及實(shí)現(xiàn)特征的演變是云計(jì)算發(fā)展的時(shí)代背景�����。云計(jì)算的實(shí)質(zhì)是網(wǎng)絡(luò)下的應(yīng)用���,是由IP和IT技術(shù)共同構(gòu)建的。從發(fā)展的角度來看���,“云”的技術(shù)和目標(biāo)是一個(gè)逐步演化的過程����。比如����,Web技術(shù)出現(xiàn)時(shí),就具備了云計(jì)算的應(yīng)用特征有了統(tǒng)一界面的雛形��。隨著服務(wù)器應(yīng)用平臺(tái)上的虛擬化技術(shù)的成熟和Web統(tǒng)一界面的推出�,虛擬化和Web走向結(jié)合,使得云計(jì)算可以在一個(gè)整合的架構(gòu)上統(tǒng)一實(shí)現(xiàn)�����。虛擬化是一個(gè)廣義的術(shù)語,在計(jì)算機(jī)方面通常是指計(jì)算元件在虛擬的基礎(chǔ)上而不是真實(shí)的基礎(chǔ)上運(yùn)行���。虛擬化技術(shù)可以擴(kuò)大硬件的容量����,簡化軟件的重新配置過程���。CPU的虛擬化技術(shù)可以單CPU模擬多CPU并行��,允許一個(gè)平臺(tái)同時(shí)運(yùn)行多個(gè)操作系統(tǒng)���,并且應(yīng)用程序都可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響,從而顯著提高計(jì)算機(jī)的工作效率�����。虛擬化技術(shù)與多任務(wù)以及超線程技術(shù)是完全不同的���。多任務(wù)是指在一個(gè)操作系統(tǒng)中多個(gè)程序同時(shí)并行運(yùn)行���,而在虛擬化技術(shù)中��,則可以同時(shí)運(yùn)行多個(gè)操作系統(tǒng)�,而且每一個(gè)操作系統(tǒng)中都有多個(gè)程序運(yùn)行�,每一個(gè)操作系統(tǒng)都運(yùn)行在一個(gè)虛擬的CPU或者是虛擬主機(jī)上;而超線程技術(shù)只是單CPU模擬雙CPU來平衡程序運(yùn)行性能����,這兩個(gè)模擬出來的CPU是不能分離的��,只能協(xié)同工作�。虛擬化技術(shù)也與目前VMware Workstation等同樣能達(dá)到虛擬效果的軟件不同, 是一個(gè)巨大的技術(shù)進(jìn)步����,具體表現(xiàn)在減少軟件虛擬機(jī)相關(guān)開銷和支持更廣泛的操作系統(tǒng)方但隨著大規(guī)模windows虛擬機(jī)的部署,如何保障登錄安全成為直接困擾人們的問題�����,因此需要一種機(jī)制����,既能夠免去管理種類繁多的登錄密碼,又能夠保障登錄安全��。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題之一在于提供一種面向windows虛擬機(jī)的一次性密碼管理系統(tǒng),保障windows虛擬機(jī)登錄安全�,尤其是大規(guī)模windows虛擬機(jī)管理的情況下,有效的windows —次性密碼管理����。本發(fā)明解決的技術(shù)問題之二在于提供一種面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)的管理方法;保障windows虛擬機(jī)登錄安全��。本發(fā)明解決上述技術(shù)問題之一的技術(shù)方案是包括有請求處理單元�����、安全驗(yàn)證單元�、消息傳遞單元和密碼生成單元;
所述的請求處理單元用于監(jiān)聽終端用戶的請求����,并經(jīng)過簡單的分類處理后輸出給相應(yīng)的安全驗(yàn)證單元,并等待一次性密碼返回消息封裝后返回給終端用戶�����;所述的安全驗(yàn)證單元用于驗(yàn)證用戶的合法性��、用戶是否擁有與請求相關(guān)的相應(yīng)權(quán)限,并根據(jù)驗(yàn)證情況駁回用戶請求并將錯(cuò)誤信息等傳遞給請求處理單元或?qū)⒄埱笙⑤敵鼋o消息傳遞單元���;所述的消息傳遞單元用于根據(jù)用戶請求功能劃分接收到的消息����,并將消息分發(fā)到各自的等待隊(duì)列�����,之后傳遞給指定的服務(wù)節(jié)點(diǎn)����,等待密碼生成單元(1 處理�,接收密碼返回結(jié)果;所述的密碼生成單元用于為當(dāng)前windows虛擬機(jī)生成一次性登錄密碼����,并將密碼返回給消息傳遞單元。所述的請求處理單元請求命令的結(jié)構(gòu)包括虛擬機(jī)標(biāo)識(shí)����、請求名稱;所述的虛擬機(jī)標(biāo)識(shí)于標(biāo)識(shí)被操作的虛擬機(jī)�����,是區(qū)分一個(gè)虛擬機(jī)與其他虛擬機(jī)的全局唯一標(biāo)識(shí);請求名稱用于標(biāo)識(shí)用戶發(fā)出獲取windows虛擬機(jī)一次性密碼的操作����。所述的安全驗(yàn)證單元的安全驗(yàn)證包括)(509認(rèn)證、權(quán)限驗(yàn)證���;其中���,X509認(rèn)證用于密碼真實(shí)性確定;權(quán)限驗(yàn)證用于驗(yàn)證用戶的級(jí)別���,確定用戶是否擁有對(duì)該虛擬機(jī)鏡像進(jìn)行在線定制操作����。本發(fā)明解決上述技術(shù)問題之二的技術(shù)方案是按如下步驟進(jìn)行消息傳遞處理和密碼生成消息傳遞處理步驟步驟Al 云控制器端定位被操作虛擬機(jī)所運(yùn)行的集群��,將獲取一次性密碼消息傳遞到指定的集群控制器����;步驟A2 集群控制器定位被操作虛擬機(jī)所運(yùn)行的節(jié)點(diǎn),將獲取一次性消息傳遞到指定的節(jié)點(diǎn)控制器��;步驟A3 節(jié)點(diǎn)控制器定位被操作的windows虛擬機(jī)所在域,將獲取一次性密碼詳細(xì)傳遞到被操作的windows虛擬機(jī)所在的域����;密碼生成步驟通過對(duì)windows虛擬機(jī)所在宿主機(jī)的操作從而修改windows虛擬機(jī)內(nèi)部的登錄密碼,過程為步驟Bi:宿主機(jī)操作�;步驟B2 物理機(jī)到虛擬機(jī)傳遞;步驟B3 生成windows虛擬機(jī)一次性密碼���;步驟B4 虛擬機(jī)到物理機(jī)傳遞����;步驟B5 組裝消息并返回給消息傳遞單元����。采用本發(fā)明的系統(tǒng)和方法后,可達(dá)到如下有益效果1����、本發(fā)明方便用戶隨時(shí)隨地登錄所擁有的windows虛擬機(jī)���,并且無需記錄虛擬機(jī)密碼�����。2����、本發(fā)明方便用戶對(duì)多臺(tái)windows虛擬機(jī)進(jìn)行管理,并且無需記錄密碼���。3�、本發(fā)明利用)(509安全認(rèn)證機(jī)制代替了 windows遠(yuǎn)程登錄所需的用戶名和密碼�����, 使安全級(jí)別有效提高���。4��、本發(fā)明充分考慮了當(dāng)前云計(jì)算領(lǐng)域windows虛擬機(jī)的特點(diǎn)�����,方便用戶同時(shí)管理多個(gè)數(shù)據(jù)中心的windows虛擬機(jī)集群����。
下面結(jié)合附圖對(duì)本發(fā)明進(jìn)一步說明圖1為本發(fā)明面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)結(jié)構(gòu)框圖��;圖2為本發(fā)明面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)消息傳遞單元12處理實(shí)現(xiàn)流程圖;圖3為本發(fā)明面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)密碼生成單元13處理實(shí)現(xiàn)流程圖���。
具體實(shí)施例方式見圖1所示���,本發(fā)明面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)包括請求處理單元10、安全驗(yàn)證單元11�、消息傳遞單元12、密碼生成單元13 ��;其中��,請求處理單元10�����,用于監(jiān)聽終端用戶的請求����,并經(jīng)過簡單的分類處理后輸出給相應(yīng)的安全驗(yàn)證單元11,并等待一次性密碼返回消息封裝后返回給終端用戶����。安全驗(yàn)證單元11�����,首先驗(yàn)證用戶的合法性,其次驗(yàn)證用戶是否為要獲取密碼的windows虛擬機(jī)的所有者�����,如果其中一項(xiàng)為假���,則直接駁回用戶請求�����,并將錯(cuò)誤信息等傳遞給請求處理單元���;如果都為真則將請求消息輸出給消息傳遞單元12,并等待消息傳遞單元返回密碼返回結(jié)果����。消息傳遞單元12,用于根據(jù)用戶請求功能劃分接收到的消息�����,并將消息分發(fā)到各自的等待隊(duì)列�,之后傳遞給指定的服務(wù)節(jié)點(diǎn)�����,等待密碼生成單元13處理���,接收密碼返回結(jié)果。密碼生成單元13�����,用于為當(dāng)前windows虛擬機(jī)生成一次性登錄密碼��,并將密碼返回給消息傳遞單元12���。所述請求處理單元10的請求命令的結(jié)構(gòu)包括虛擬機(jī)標(biāo)識(shí)(instanceld)�、請求名稱(getPasswd)��;其中��,虛擬機(jī)標(biāo)識(shí)(instanceld)用于標(biāo)識(shí)被操作的虛擬機(jī)���,是區(qū)分一個(gè)虛擬機(jī)與其他虛擬機(jī)的全局唯一標(biāo)識(shí)�;請求名稱(getfasswd),用于標(biāo)識(shí)用戶發(fā)出獲取 windows虛擬機(jī)一次性密碼的操作�����。所述的安全驗(yàn)證單元11的安全驗(yàn)證包括)(509認(rèn)證�、權(quán)限驗(yàn)證�����;其中�,X509認(rèn)證方案中默認(rèn)的加密體制是公鑰密碼體制,為進(jìn)行身份認(rèn)證�,X509提供了數(shù)字簽名的方案; 用戶可以生成一段信息及指紋�����;用戶用專用密鑰對(duì)摘要加密以形成簽名�����,服務(wù)端用發(fā)送者的公共密鑰對(duì)簽名解密�����,并將之與收到的信息“指紋”進(jìn)行比較,以確定其真實(shí)性���。權(quán)限驗(yàn)證用于驗(yàn)證用戶的權(quán)限���,確定用戶是否是instanceld所標(biāo)識(shí)的windows虛擬機(jī)的擁有者。如圖2所示��,消息傳遞單元12處理過程為步驟Al 云控制器端定位被操作虛擬機(jī)所運(yùn)行的集群����,將獲取一次性密碼消息傳遞到指定的集群控制器。步驟A2 集群控制器定位被操作虛擬機(jī)所運(yùn)行的節(jié)點(diǎn)����,將獲取一次性消息傳遞到指定的節(jié)點(diǎn)控制器。步驟A3 節(jié)點(diǎn)控制器定位被操作的windows虛擬機(jī)所在域��,將獲取一次性密碼詳細(xì)傳遞到被操作的windows虛擬機(jī)所在的域��。如圖3所示��,密碼生成單元13通過對(duì)windows虛擬機(jī)所在宿主機(jī)的操作從而修改 windows虛擬機(jī)內(nèi)部的登錄密碼�����,密碼生成單元13處理為
5
步驟81宿主機(jī)操作;
〔0047〕步驟82 物理機(jī)到虛擬機(jī)傳遞����;
〔0048〕步驟83 生成㈣丨!���!如肖8虛擬機(jī)一次性密碼;
〔0049〕步驟84 虛擬機(jī)到物理機(jī)傳遞�;
〔0050〕步驟85 組裝消息并返回給消息傳遞單元。
權(quán)利要求
1.面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)�,其特征在于包括有請求處理單元 (10)、安全驗(yàn)證單元(11)��、消息傳遞單元(12)和密碼生成單元(13)���;所述的請求處理單元(10)用于監(jiān)聽終端用戶的請求�����,并經(jīng)過簡單的分類處理后輸出給相應(yīng)的安全驗(yàn)證單元(11)���,并等待一次性密碼返回消息封裝后返回給終端用戶;所述的安全驗(yàn)證單元(11)�����,用于驗(yàn)證用戶的合法性、用戶是否擁有與請求相關(guān)的相應(yīng)權(quán)限����,并根據(jù)驗(yàn)證情況駁回用戶請求并將錯(cuò)誤信息等傳遞給請求處理單元(10)或?qū)⒄埱笙⑤敵鼋o消息傳遞單元(12);所述的消息傳遞單元(12)����,用于根據(jù)用戶請求功能劃分接收到的消息,并將消息分發(fā)到各自的等待隊(duì)列�,之后傳遞給指定的服務(wù)節(jié)點(diǎn),等待密碼生成單元(13)處理��,接收密碼返回結(jié)果��;所述的密碼生成單元(13)�����,用于為當(dāng)前windows虛擬機(jī)生成一次性登錄密碼���,并將密碼返回給消息傳遞單元(12)����。
2.根據(jù)權(quán)利要求1所述的面向windows虛擬機(jī)的一次性密碼管理系統(tǒng),其特征在于 所述的請求處理單元(10)的請求命令的結(jié)構(gòu)包括虛擬機(jī)標(biāo)識(shí)�、請求名稱;所述的虛擬機(jī)標(biāo)識(shí)于標(biāo)識(shí)被操作的虛擬機(jī)���,是區(qū)分一個(gè)虛擬機(jī)與其他虛擬機(jī)的全局唯一標(biāo)識(shí)��;請求名稱用于標(biāo)識(shí)用戶發(fā)出獲取windows虛擬機(jī)一次性密碼的操作����。
3.根據(jù)權(quán)利要求1或2所述的面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)���,其特征在于所述的安全驗(yàn)證單元(11)的安全驗(yàn)證包括X509認(rèn)證、權(quán)限驗(yàn)證�;其中,X509認(rèn)證用于密碼真實(shí)性確定���;權(quán)限驗(yàn)證用于驗(yàn)證用戶的級(jí)別���,確定用戶是否擁有對(duì)該虛擬機(jī)鏡像進(jìn)行在線定制操作。
4.權(quán)利要求1所述的一次性密碼管理系統(tǒng)的管理方法����,其特征在于按如下步驟進(jìn)行消息傳遞處理和密碼生成消息傳遞處理步驟步驟Al 云控制器端定位被操作虛擬機(jī)所運(yùn)行的集群��,將獲取一次性密碼消息傳遞到指定的集群控制器���;步驟A2 集群控制器定位被操作虛擬機(jī)所運(yùn)行的節(jié)點(diǎn),將獲取一次性消息傳遞到指定的節(jié)點(diǎn)控制器�;步驟A3 節(jié)點(diǎn)控制器定位被操作的windows虛擬機(jī)所在域,將獲取一次性密碼詳細(xì)傳遞到被操作的windows虛擬機(jī)所在的域����;密碼生成步驟通過對(duì)windows虛擬機(jī)所在宿主機(jī)的操作從而修改windows虛擬機(jī)內(nèi)部的登錄密碼,過程為步驟Bl 宿主機(jī)操作���;步驟B2 物理機(jī)到虛擬機(jī)傳遞�;步驟B3 生成windows虛擬機(jī)一次性密碼�;步驟B4 虛擬機(jī)到物理機(jī)傳遞;步驟B5 組裝消息并返回給消息傳遞單元����。
全文摘要
本發(fā)明涉及云計(jì)算安全技術(shù)領(lǐng)域,特制一種面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)及其方法�。包括有請求處理單元、安全驗(yàn)證單元���、消息傳遞單元和密碼生成單元�����;所述的請求處理單元用于監(jiān)聽終端用戶的請求����;所述的消息傳遞單元,用于根據(jù)用戶請求功能劃分接收到的消息���,并將消息分發(fā)到各自的等待隊(duì)列��,之后傳遞給指定的服務(wù)節(jié)點(diǎn)���,等待密碼生成單元處理,接收密碼返回結(jié)果�;所述的密碼生成單元���,用于為當(dāng)前windows虛擬機(jī)生成一次性登錄密碼�,并將密碼返回給消息傳遞單元�����。本發(fā)明有效地提高了windows虛擬機(jī)的安全性���;可廣泛應(yīng)用于windows虛擬機(jī)的密碼管理中����。
文檔編號(hào)H04L29/06GK102307177SQ20101029210
公開日2012年1月4日 申請日期2010年9月25日 優(yōu)先權(quán)日2010年9月25日
發(fā)明者季統(tǒng)凱, 岳強(qiáng), 楊松, 肖翱, 莫展鵬 申請人:廣東電子工業(yè)研究院有限公司