专利名称:面向windows虚拟机的一次性密码管理系统及其方法
技术领域:
本发明涉及云计算安全技术领域,特制一种面向windows虚拟机的一次性密码管理系统及其方法。
背景技术:
计算机的应用模式大体经历了以大型机为主体的集中式架构(数据中心1.0)、以 PC机为主体的客户/服务器分布式计算架构(数据中心2. 0)、以虚拟化技术为核心面向服务的体系结构(SOA)及基于Web2.0应用特征的新型架构(数据中心3.0)。计算机的应用模式、技术架构及实现特征的演变是云计算发展的时代背景。云计算的实质是网络下的应用,是由IP和IT技术共同构建的。从发展的角度来看,“云”的技术和目标是一个逐步演化的过程。比如,Web技术出现时,就具备了云计算的应用特征有了统一界面的雏形。随着服务器应用平台上的虚拟化技术的成熟和Web统一界面的推出,虚拟化和Web走向结合,使得云计算可以在一个整合的架构上统一实现。虚拟化是一个广义的术语,在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术可以扩大硬件的容量,简化软件的重新配置过程。CPU的虚拟化技术可以单CPU模拟多CPU并行,允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。虚拟化技术与多任务以及超线程技术是完全不同的。多任务是指在一个操作系统中多个程序同时并行运行,而在虚拟化技术中,则可以同时运行多个操作系统,而且每一个操作系统中都有多个程序运行,每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上;而超线程技术只是单CPU模拟双CPU来平衡程序运行性能,这两个模拟出来的CPU是不能分离的,只能协同工作。虚拟化技术也与目前VMware Workstation等同样能达到虚拟效果的软件不同, 是一个巨大的技术进步,具体表现在减少软件虚拟机相关开销和支持更广泛的操作系统方但随着大规模windows虚拟机的部署,如何保障登录安全成为直接困扰人们的问题,因此需要一种机制,既能够免去管理种类繁多的登录密码,又能够保障登录安全。
发明内容
本发明解决的技术问题之一在于提供一种面向windows虚拟机的一次性密码管理系统,保障windows虚拟机登录安全,尤其是大规模windows虚拟机管理的情况下,有效的windows —次性密码管理。本发明解决的技术问题之二在于提供一种面向windows虚拟机的一次性密码管理系统的管理方法;保障windows虚拟机登录安全。本发明解决上述技术问题之一的技术方案是包括有请求处理单元、安全验证单元、消息传递单元和密码生成单元;
所述的请求处理单元用于监听终端用户的请求,并经过简单的分类处理后输出给相应的安全验证单元,并等待一次性密码返回消息封装后返回给终端用户;所述的安全验证单元用于验证用户的合法性、用户是否拥有与请求相关的相应权限,并根据验证情况驳回用户请求并将错误信息等传递给请求处理单元或将请求消息输出给消息传递单元;所述的消息传递单元用于根据用户请求功能划分接收到的消息,并将消息分发到各自的等待队列,之后传递给指定的服务节点,等待密码生成单元(1 处理,接收密码返回结果;所述的密码生成单元用于为当前windows虚拟机生成一次性登录密码,并将密码返回给消息传递单元。所述的请求处理单元请求命令的结构包括虚拟机标识、请求名称;所述的虚拟机标识于标识被操作的虚拟机,是区分一个虚拟机与其他虚拟机的全局唯一标识;请求名称用于标识用户发出获取windows虚拟机一次性密码的操作。所述的安全验证单元的安全验证包括)(509认证、权限验证;其中,X509认证用于密码真实性确定;权限验证用于验证用户的级别,确定用户是否拥有对该虚拟机镜像进行在线定制操作。本发明解决上述技术问题之二的技术方案是按如下步骤进行消息传递处理和密码生成消息传递处理步骤步骤Al 云控制器端定位被操作虚拟机所运行的集群,将获取一次性密码消息传递到指定的集群控制器;步骤A2 集群控制器定位被操作虚拟机所运行的节点,将获取一次性消息传递到指定的节点控制器;步骤A3 节点控制器定位被操作的windows虚拟机所在域,将获取一次性密码详细传递到被操作的windows虚拟机所在的域;密码生成步骤通过对windows虚拟机所在宿主机的操作从而修改windows虚拟机内部的登录密码,过程为步骤Bi:宿主机操作;步骤B2 物理机到虚拟机传递;步骤B3 生成windows虚拟机一次性密码;步骤B4 虚拟机到物理机传递;步骤B5 组装消息并返回给消息传递单元。采用本发明的系统和方法后,可达到如下有益效果1、本发明方便用户随时随地登录所拥有的windows虚拟机,并且无需记录虚拟机密码。2、本发明方便用户对多台windows虚拟机进行管理,并且无需记录密码。3、本发明利用)(509安全认证机制代替了 windows远程登录所需的用户名和密码, 使安全级别有效提高。4、本发明充分考虑了当前云计算领域windows虚拟机的特点,方便用户同时管理多个数据中心的windows虚拟机集群。
下面结合附图对本发明进一步说明图1为本发明面向windows虚拟机的一次性密码管理系统结构框图;图2为本发明面向windows虚拟机的一次性密码管理系统消息传递单元12处理实现流程图;图3为本发明面向windows虚拟机的一次性密码管理系统密码生成单元13处理实现流程图。
具体实施例方式见图1所示,本发明面向windows虚拟机的一次性密码管理系统包括请求处理单元10、安全验证单元11、消息传递单元12、密码生成单元13 ;其中,请求处理单元10,用于监听终端用户的请求,并经过简单的分类处理后输出给相应的安全验证单元11,并等待一次性密码返回消息封装后返回给终端用户。安全验证单元11,首先验证用户的合法性,其次验证用户是否为要获取密码的windows虚拟机的所有者,如果其中一项为假,则直接驳回用户请求,并将错误信息等传递给请求处理单元;如果都为真则将请求消息输出给消息传递单元12,并等待消息传递单元返回密码返回结果。消息传递单元12,用于根据用户请求功能划分接收到的消息,并将消息分发到各自的等待队列,之后传递给指定的服务节点,等待密码生成单元13处理,接收密码返回结果。密码生成单元13,用于为当前windows虚拟机生成一次性登录密码,并将密码返回给消息传递单元12。所述请求处理单元10的请求命令的结构包括虚拟机标识(instanceld)、请求名称(getPasswd);其中,虚拟机标识(instanceld)用于标识被操作的虚拟机,是区分一个虚拟机与其他虚拟机的全局唯一标识;请求名称(getfasswd),用于标识用户发出获取 windows虚拟机一次性密码的操作。所述的安全验证单元11的安全验证包括)(509认证、权限验证;其中,X509认证方案中默认的加密体制是公钥密码体制,为进行身份认证,X509提供了数字签名的方案; 用户可以生成一段信息及指纹;用户用专用密钥对摘要加密以形成签名,服务端用发送者的公共密钥对签名解密,并将之与收到的信息“指纹”进行比较,以确定其真实性。权限验证用于验证用户的权限,确定用户是否是instanceld所标识的windows虚拟机的拥有者。如图2所示,消息传递单元12处理过程为步骤Al 云控制器端定位被操作虚拟机所运行的集群,将获取一次性密码消息传递到指定的集群控制器。步骤A2 集群控制器定位被操作虚拟机所运行的节点,将获取一次性消息传递到指定的节点控制器。步骤A3 节点控制器定位被操作的windows虚拟机所在域,将获取一次性密码详细传递到被操作的windows虚拟机所在的域。如图3所示,密码生成单元13通过对windows虚拟机所在宿主机的操作从而修改 windows虚拟机内部的登录密码,密码生成单元13处理为
5
步骤81宿主机操作;
〔0047〕步骤82 物理机到虚拟机传递;
〔0048〕步骤83 生成㈣丨!!如肖8虚拟机一次性密码;
〔0049〕步骤84 虚拟机到物理机传递;
〔0050〕步骤85 组装消息并返回给消息传递单元。
权利要求
1.面向windows虚拟机的一次性密码管理系统,其特征在于包括有请求处理单元 (10)、安全验证单元(11)、消息传递单元(12)和密码生成单元(13);所述的请求处理单元(10)用于监听终端用户的请求,并经过简单的分类处理后输出给相应的安全验证单元(11),并等待一次性密码返回消息封装后返回给终端用户;所述的安全验证单元(11),用于验证用户的合法性、用户是否拥有与请求相关的相应权限,并根据验证情况驳回用户请求并将错误信息等传递给请求处理单元(10)或将请求消息输出给消息传递单元(12);所述的消息传递单元(12),用于根据用户请求功能划分接收到的消息,并将消息分发到各自的等待队列,之后传递给指定的服务节点,等待密码生成单元(13)处理,接收密码返回结果;所述的密码生成单元(13),用于为当前windows虚拟机生成一次性登录密码,并将密码返回给消息传递单元(12)。
2.根据权利要求1所述的面向windows虚拟机的一次性密码管理系统,其特征在于 所述的请求处理单元(10)的请求命令的结构包括虚拟机标识、请求名称;所述的虚拟机标识于标识被操作的虚拟机,是区分一个虚拟机与其他虚拟机的全局唯一标识;请求名称用于标识用户发出获取windows虚拟机一次性密码的操作。
3.根据权利要求1或2所述的面向windows虚拟机的一次性密码管理系统,其特征在于所述的安全验证单元(11)的安全验证包括X509认证、权限验证;其中,X509认证用于密码真实性确定;权限验证用于验证用户的级别,确定用户是否拥有对该虚拟机镜像进行在线定制操作。
4.权利要求1所述的一次性密码管理系统的管理方法,其特征在于按如下步骤进行消息传递处理和密码生成消息传递处理步骤步骤Al 云控制器端定位被操作虚拟机所运行的集群,将获取一次性密码消息传递到指定的集群控制器;步骤A2 集群控制器定位被操作虚拟机所运行的节点,将获取一次性消息传递到指定的节点控制器;步骤A3 节点控制器定位被操作的windows虚拟机所在域,将获取一次性密码详细传递到被操作的windows虚拟机所在的域;密码生成步骤通过对windows虚拟机所在宿主机的操作从而修改windows虚拟机内部的登录密码,过程为步骤Bl 宿主机操作;步骤B2 物理机到虚拟机传递;步骤B3 生成windows虚拟机一次性密码;步骤B4 虚拟机到物理机传递;步骤B5 组装消息并返回给消息传递单元。
全文摘要
本发明涉及云计算安全技术领域,特制一种面向windows虚拟机的一次性密码管理系统及其方法。包括有请求处理单元、安全验证单元、消息传递单元和密码生成单元;所述的请求处理单元用于监听终端用户的请求;所述的消息传递单元,用于根据用户请求功能划分接收到的消息,并将消息分发到各自的等待队列,之后传递给指定的服务节点,等待密码生成单元处理,接收密码返回结果;所述的密码生成单元,用于为当前windows虚拟机生成一次性登录密码,并将密码返回给消息传递单元。本发明有效地提高了windows虚拟机的安全性;可广泛应用于windows虚拟机的密码管理中。
文档编号H04L29/06GK102307177SQ20101029210
公开日2012年1月4日 申请日期2010年9月25日 优先权日2010年9月25日
发明者季统凯, 岳强, 杨松, 肖翱, 莫展鹏 申请人:广东电子工业研究院有限公司