CN102307177A - 面向windows虚拟机的一次性密码管理系统及其方法 - Google Patents
面向windows虚拟机的一次性密码管理系统及其方法 Download PDFInfo
- Publication number
- CN102307177A CN102307177A CN2010102921050A CN201010292105A CN102307177A CN 102307177 A CN102307177 A CN 102307177A CN 2010102921050 A CN2010102921050 A CN 2010102921050A CN 201010292105 A CN201010292105 A CN 201010292105A CN 102307177 A CN102307177 A CN 102307177A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- password
- message
- windows
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 12
- 238000012545 processing Methods 0.000 claims abstract description 24
- 238000012795 verification Methods 0.000 claims abstract description 22
- 238000007726 management method Methods 0.000 claims abstract description 19
- 230000005540 biological transmission Effects 0.000 claims abstract description 11
- 238000012546 transfer Methods 0.000 claims description 18
- 238000005538 encapsulation Methods 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 13
- 238000004883 computer application Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000035800 maturation Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及云计算安全技术领域,特制一种面向windows虚拟机的一次性密码管理系统及其方法。包括有请求处理单元、安全验证单元、消息传递单元和密码生成单元;所述的请求处理单元用于监听终端用户的请求;所述的消息传递单元,用于根据用户请求功能划分接收到的消息,并将消息分发到各自的等待队列,之后传递给指定的服务节点,等待密码生成单元处理,接收密码返回结果;所述的密码生成单元,用于为当前windows虚拟机生成一次性登录密码,并将密码返回给消息传递单元。本发明有效地提高了windows虚拟机的安全性;可广泛应用于windows虚拟机的密码管理中。
Description
技术领域
本发明涉及云计算安全技术领域,特制一种面向windows虚拟机的一次性密码管理系统及其方法。
背景技术
计算机的应用模式大体经历了以大型机为主体的集中式架构(数据中心1.0)、以PC机为主体的客户/服务器分布式计算架构(数据中心2.0)、以虚拟化技术为核心面向服务的体系结构(SOA)及基于Web2.0应用特征的新型架构(数据中心3.0)。计算机的应用模式、技术架构及实现特征的演变是云计算发展的时代背景。
云计算的实质是网络下的应用,是由IP和IT技术共同构建的。从发展的角度来看,“云”的技术和目标是一个逐步演化的过程。比如,Web技术出现时,就具备了云计算的应用特征有了统一界面的雏形。随着服务器应用平台上的虚拟化技术的成熟和Web统一界面的推出,虚拟化和Web走向结合,使得云计算可以在一个整合的架构上统一实现。
虚拟化是一个广义的术语,在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术可以扩大硬件的容量,简化软件的重新配置过程。CPU的虚拟化技术可以单CPU模拟多CPU并行,允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。
虚拟化技术与多任务以及超线程技术是完全不同的。多任务是指在一个操作系统中多个程序同时并行运行,而在虚拟化技术中,则可以同时运行多个操作系统,而且每一个操作系统中都有多个程序运行,每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上;而超线程技术只是单CPU模拟双CPU来平衡程序运行性能,这两个模拟出来的CPU是不能分离的,只能协同工作。
虚拟化技术也与目前VMware Workstation等同样能达到虚拟效果的软件不同,是一个巨大的技术进步,具体表现在减少软件虚拟机相关开销和支持更广泛的操作系统方面。
但随着大规模windows虚拟机的部署,如何保障登录安全成为直接困扰人们的问题,因此需要一种机制,既能够免去管理种类繁多的登录密码,又能够保障登录安全。
发明内容
本发明解决的技术问题之一在于提供一种面向windows虚拟机的一次性密码管理系统,保障windows虚拟机登录安全,尤其是大规模windows虚拟机管理的情况下,有效的windows一次性密码管理。
本发明解决的技术问题之二在于提供一种面向windows虚拟机的一次性密码管理系统的管理方法;保障windows虚拟机登录安全。
本发明解决上述技术问题之一的技术方案是:包括有请求处理单元、安全验证单元、消息传递单元和密码生成单元;
所述的请求处理单元用于监听终端用户的请求,并经过简单的分类处理后输出给相应的安全验证单元,并等待一次性密码返回消息封装后返回给终端用户;
所述的安全验证单元用于验证用户的合法性、用户是否拥有与请求相关的相应权限,并根据验证情况驳回用户请求并将错误信息等传递给请求处理单元或将请求消息输出给消息传递单元;
所述的消息传递单元用于根据用户请求功能划分接收到的消息,并将消息分发到各自的等待队列,之后传递给指定的服务节点,等待密码生成单元(13)处理,接收密码返回结果;
所述的密码生成单元用于为当前windows虚拟机生成一次性登录密码,并将密码返回给消息传递单元。
所述的请求处理单元请求命令的结构包括虚拟机标识、请求名称;所述的虚拟机标识于标识被操作的虚拟机,是区分一个虚拟机与其他虚拟机的全局唯一标识;请求名称用于标识用户发出获取windows虚拟机一次性密码的操作。
所述的安全验证单元的安全验证包括X509认证、权限验证;其中,X509认证用于密码真实性确定;权限验证用于验证用户的级别,确定用户是否拥有对该虚拟机镜像进行在线定制操作。
本发明解决上述技术问题之二的技术方案是:
按如下步骤进行消息传递处理和密码生成:
消息传递处理步骤:
步骤A1:云控制器端定位被操作虚拟机所运行的集群,将获取一次性密码消息传递到指定的集群控制器;
步骤A2:集群控制器定位被操作虚拟机所运行的节点,将获取一次性消息传递到指定的节点控制器;
步骤A3:节点控制器定位被操作的windows虚拟机所在域,将获取一次性密码详细传递到被操作的windows虚拟机所在的域;
密码生成步骤通过对windows虚拟机所在宿主机的操作从而修改windows虚拟机内部的登录密码,过程为:
步骤B1:宿主机操作;
步骤B2:物理机到虚拟机传递;
步骤B3:生成windows虚拟机一次性密码;
步骤B4:虚拟机到物理机传递;
步骤B5:组装消息并返回给消息传递单元。
采用本发明的系统和方法后,可达到如下有益效果:
1、本发明方便用户随时随地登录所拥有的windows虚拟机,并且无需记录虚拟机密码。
2、本发明方便用户对多台windows虚拟机进行管理,并且无需记录密码。
3、本发明利用X509安全认证机制代替了windows远程登录所需的用户名和密码,使安全级别有效提高。
4、本发明充分考虑了当前云计算领域windows虚拟机的特点,方便用户同时管理多个数据中心的windows虚拟机集群。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明面向windows虚拟机的一次性密码管理系统结构框图;
图2为本发明面向windows虚拟机的一次性密码管理系统消息传递单元12处理实现流程图;
图3为本发明面向windows虚拟机的一次性密码管理系统密码生成单元13处理实现流程图。
具体实施方式
见图1所示,本发明面向windows虚拟机的一次性密码管理系统包括请求处理单元10、安全验证单元11、消息传递单元12、密码生成单元13;其中,请求处理单元10,用于监听终端用户的请求,并经过简单的分类处理后输出给相应的安全验证单元11,并等待一次性密码返回消息封装后返回给终端用户。安全验证单元11,首先验证用户的合法性,其次验证用户是否为要获取密码的windows虚拟机的所有者,如果其中一项为假,则直接驳回用户请求,并将错误信息等传递给请求处理单元;如果都为真则将请求消息输出给消息传递单元12,并等待消息传递单元返回密码返回结果。消息传递单元12,用于根据用户请求功能划分接收到的消息,并将消息分发到各自的等待队列,之后传递给指定的服务节点,等待密码生成单元13处理,接收密码返回结果。密码生成单元13,用于为当前windows虚拟机生成一次性登录密码,并将密码返回给消息传递单元12。
所述请求处理单元10的请求命令的结构包括虚拟机标识(instanceld)、请求名称(getPasswd);其中,虚拟机标识(instanceld)用于标识被操作的虚拟机,是区分一个虚拟机与其他虚拟机的全局唯一标识;请求名称(getPasswd),用于标识用户发出获取windows虚拟机一次性密码的操作。
所述的安全验证单元11的安全验证包括:X509认证、权限验证;其中,X509认证方案中默认的加密体制是公钥密码体制,为进行身份认证,X509提供了数字签名的方案;用户可以生成一段信息及指纹;用户用专用密钥对摘要加密以形成签名,服务端用发送者的公共密钥对签名解密,并将之与收到的信息“指纹”进行比较,以确定其真实性。权限验证用于验证用户的权限,确定用户是否是instanceld所标识的windows虚拟机的拥有者。
如图2所示,消息传递单元12处理过程为:
步骤A1:云控制器端定位被操作虚拟机所运行的集群,将获取一次性密码消息传递到指定的集群控制器。
步骤A2:集群控制器定位被操作虚拟机所运行的节点,将获取一次性消息传递到指定的节点控制器。
步骤A3:节点控制器定位被操作的windows虚拟机所在域,将获取一次性密码详细传递到被操作的windows虚拟机所在的域。
如图3所示,密码生成单元13通过对windows虚拟机所在宿主机的操作从而修改windows虚拟机内部的登录密码,密码生成单元13处理为:
步骤B1:宿主机操作;
步骤B2:物理机到虚拟机传递;
步骤B3:生成windows虚拟机一次性密码;
步骤B4:虚拟机到物理机传递;
步骤B5:组装消息并返回给消息传递单元。
Claims (4)
1.面向windows虚拟机的一次性密码管理系统,其特征在于:包括有请求处理单元(10)、安全验证单元(11)、消息传递单元(12)和密码生成单元(13);
所述的请求处理单元(10)用于监听终端用户的请求,并经过简单的分类处理后输出给相应的安全验证单元(11),并等待一次性密码返回消息封装后返回给终端用户;
所述的安全验证单元(11),用于验证用户的合法性、用户是否拥有与请求相关的相应权限,并根据验证情况驳回用户请求并将错误信息等传递给请求处理单元(10)或将请求消息输出给消息传递单元(12);
所述的消息传递单元(12),用于根据用户请求功能划分接收到的消息,并将消息分发到各自的等待队列,之后传递给指定的服务节点,等待密码生成单元(13)处理,接收密码返回结果;
所述的密码生成单元(13),用于为当前windows虚拟机生成一次性登录密码,并将密码返回给消息传递单元(12)。
2.根据权利要求1所述的面向windows虚拟机的一次性密码管理系统,其特征在于:所述的请求处理单元(10)的请求命令的结构包括虚拟机标识、请求名称;所述的虚拟机标识于标识被操作的虚拟机,是区分一个虚拟机与其他虚拟机的全局唯一标识;请求名称用于标识用户发出获取windows虚拟机一次性密码的操作。
3.根据权利要求1或2所述的面向windows虚拟机的一次性密码管理系统,其特征在于:所述的安全验证单元(11)的安全验证包括X509认证、权限验证;其中,X509认证用于密码真实性确定;权限验证用于验证用户的级别,确定用户是否拥有对该虚拟机镜像进行在线定制操作。
4.权利要求1所述的一次性密码管理系统的管理方法,其特征在于:按如下步骤进行消息传递处理和密码生成:
消息传递处理步骤:
步骤A1:云控制器端定位被操作虚拟机所运行的集群,将获取一次性密码消息传递到指定的集群控制器;
步骤A2:集群控制器定位被操作虚拟机所运行的节点,将获取一次性消息传递到指定的节点控制器;
步骤A3:节点控制器定位被操作的windows虚拟机所在域,将获取一次性密码详细传递到被操作的windows虚拟机所在的域;
密码生成步骤通过对windows虚拟机所在宿主机的操作从而修改windows虚拟机内部的登录密码,过程为:
步骤B1:宿主机操作;
步骤B2:物理机到虚拟机传递;
步骤B3:生成windows虚拟机一次性密码;
步骤B4:虚拟机到物理机传递;
步骤B5:组装消息并返回给消息传递单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102921050A CN102307177A (zh) | 2010-09-25 | 2010-09-25 | 面向windows虚拟机的一次性密码管理系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102921050A CN102307177A (zh) | 2010-09-25 | 2010-09-25 | 面向windows虚拟机的一次性密码管理系统及其方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102307177A true CN102307177A (zh) | 2012-01-04 |
Family
ID=45380986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102921050A Pending CN102307177A (zh) | 2010-09-25 | 2010-09-25 | 面向windows虚拟机的一次性密码管理系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102307177A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102629224A (zh) * | 2012-04-26 | 2012-08-08 | 广东电子工业研究院有限公司 | 一种基于云平台的一体化数据容灾方法及其装置 |
| CN102821091A (zh) * | 2012-06-28 | 2012-12-12 | 用友软件股份有限公司 | 虚拟机控制装置和方法 |
| CN103975567A (zh) * | 2012-11-14 | 2014-08-06 | 华为技术有限公司 | 双因素认证方法及虚拟机设备 |
| CN105491012A (zh) * | 2015-11-20 | 2016-04-13 | 北京奇虎科技有限公司 | 一种消息存放方法和装置 |
| CN105530246A (zh) * | 2015-12-04 | 2016-04-27 | 华为技术有限公司 | 虚拟机管理的方法、装置和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1941700A (zh) * | 2005-09-29 | 2007-04-04 | 阿瓦雅技术有限公司 | 电信系统中的特权授予与资源共享 |
| US20070220597A1 (en) * | 2006-03-17 | 2007-09-20 | Ishida Natsuki | Verification system |
| CN101345620A (zh) * | 2007-07-10 | 2009-01-14 | 吕秀娥 | 一种网上在线令牌的互联网用户帐号密码保护方法 |
| CN101517562A (zh) * | 2006-09-15 | 2009-08-26 | 因尼科技株式会社 | 通过多个模式对一次性密码的用户进行注册和验证的方法以及记录有执行该方法的程序的计算机可读记录介质 |
-
2010
- 2010-09-25 CN CN2010102921050A patent/CN102307177A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1941700A (zh) * | 2005-09-29 | 2007-04-04 | 阿瓦雅技术有限公司 | 电信系统中的特权授予与资源共享 |
| US20070220597A1 (en) * | 2006-03-17 | 2007-09-20 | Ishida Natsuki | Verification system |
| CN101517562A (zh) * | 2006-09-15 | 2009-08-26 | 因尼科技株式会社 | 通过多个模式对一次性密码的用户进行注册和验证的方法以及记录有执行该方法的程序的计算机可读记录介质 |
| CN101345620A (zh) * | 2007-07-10 | 2009-01-14 | 吕秀娥 | 一种网上在线令牌的互联网用户帐号密码保护方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102629224A (zh) * | 2012-04-26 | 2012-08-08 | 广东电子工业研究院有限公司 | 一种基于云平台的一体化数据容灾方法及其装置 |
| CN102629224B (zh) * | 2012-04-26 | 2014-11-26 | 广东电子工业研究院有限公司 | 一种基于云平台的一体化数据容灾方法及其装置 |
| CN102821091A (zh) * | 2012-06-28 | 2012-12-12 | 用友软件股份有限公司 | 虚拟机控制装置和方法 |
| CN103975567A (zh) * | 2012-11-14 | 2014-08-06 | 华为技术有限公司 | 双因素认证方法及虚拟机设备 |
| CN105491012A (zh) * | 2015-11-20 | 2016-04-13 | 北京奇虎科技有限公司 | 一种消息存放方法和装置 |
| CN105491012B (zh) * | 2015-11-20 | 2019-12-24 | 北京奇虎科技有限公司 | 一种消息存放方法和装置 |
| CN105530246A (zh) * | 2015-12-04 | 2016-04-27 | 华为技术有限公司 | 虚拟机管理的方法、装置和系统 |
| WO2017092671A1 (zh) * | 2015-12-04 | 2017-06-08 | 华为技术有限公司 | 虚拟机管理的方法、装置和系统 |
| CN105530246B (zh) * | 2015-12-04 | 2018-10-09 | 华为技术有限公司 | 虚拟机管理的方法、装置和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9094212B2 (en) | Multi-server authentication token data exchange | |
| EP3036643B1 (en) | Method and system for distributing secrets | |
| CN108683747A (zh) | 资源获取、分发、下载方法、装置、设备及存储介质 | |
| CA2924861C (en) | Method and system for providing a secure secrets proxy | |
| US11615007B2 (en) | Method and control system for controlling and/or monitoring devices | |
| CN109417557A (zh) | 租户感知分布式应用认证 | |
| US20110029771A1 (en) | Enrollment Agent for Automated Certificate Enrollment | |
| JP6766895B2 (ja) | セキュアな通信を行う方法および産業コンピューティング装置 | |
| CN111291060A (zh) | 一种管理区块链节点的方法、装置及计算机可读介质 | |
| US20170300696A1 (en) | Software verification method and apparatus | |
| CN102307177A (zh) | 面向windows虚拟机的一次性密码管理系统及其方法 | |
| CN104301328A (zh) | 一种云计算环境下的资源操作安全认证方法及系统 | |
| CN1953393A (zh) | 用于联盟内软件安装的方法和设备 | |
| CN110896350A (zh) | 用于技术设施的公钥基础设施的软件数据库 | |
| CN105227577A (zh) | 一种多客户端下的统一数据库访问代理均衡方法 | |
| CN104246743A (zh) | 涉及在网络上虚拟机主机隔离的系统和方法 | |
| CN111492355A (zh) | 用于控制和/或监控装置的方法和控制系统 | |
| CN111814131B (zh) | 一种设备注册和配置管理的方法和装置 | |
| CN102307207A (zh) | 在线定制虚拟机镜像的系统及其方法 | |
| CN111582876A (zh) | 操作认证方法、装置、存储介质及电子装置 | |
| CN108400875A (zh) | 基于键值的授权认证方法、系统、电子设备、存储介质 | |
| US9906370B2 (en) | Trust relationship management amongst racks in a data center | |
| CN114780214A (zh) | 任务处理方法、装置、系统及设备 | |
| CN112256760B (zh) | 一种数据预测方法、装置、计算机设备及存储介质 | |
| CN110189440A (zh) | 一种基于区块链的智能锁监管设备及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120104 |