CN103678973A - 一种同时实现主机和虚拟机访问控制的系统及其工作方法 - Google Patents
一种同时实现主机和虚拟机访问控制的系统及其工作方法 Download PDFInfo
- Publication number
- CN103678973A CN103678973A CN201310677916.6A CN201310677916A CN103678973A CN 103678973 A CN103678973 A CN 103678973A CN 201310677916 A CN201310677916 A CN 201310677916A CN 103678973 A CN103678973 A CN 103678973A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- user
- module hardware
- password module
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种同时实现主机和虚拟机访问控制的系统及其工作方法。所述系统包括主机、运行在主机上的虚拟机、终端密码模块硬件,所述主机和虚拟机运行有密码软件程序。所述方法,包括下列步骤:分发终端密码模块硬件;使用软件口令登录与终端密码模块硬件相捆绑的方式行身份认证;从USB口拔掉终端密码模块硬件,系统自动锁定,并把用户的工作环境保存下来;登录虚拟机系统,并通过该终端密码模块硬件的PIN码验证和虚拟机Windows用户身份验证两道关口;虚拟机和主机同时运行,用户拔掉终端密码模块硬件,主机与虚拟机同时自动锁定。本发明从软件和硬件两个方面进行识别,也从而增强了系统的整体安全性。
Description
技术领域
本发明涉及到信息技术领域,具体的讲是一种同时实现主机和虚拟机访问控制的系统及其工作方法。
背景技术
虚拟机(Virtual Machine),在计算机科学中的体系结构里,是指一种特殊的软件,它可以在计算机平台和终端用户之间创建一种环境,而终端用户则是基于这个软件所创建的环境来操作软件。在计算机科学中,虚拟机是指可以像真实机器一样运行程序的计算机的软件实现。
随着现在计算机计算能力的提高以及对计算机复用要求的增加,一台主机可以运行一个或多个虚拟机。如何确保主机和虚拟机的安全,这变成当今行业一个热门的研究课题。
发明内容
为解决上述问题,本发明提供了一种同时实现主机和虚拟机访问控制的系统,其特征在于。包括主机、运行在主机上的虚拟机、终端密码模块硬件,所述主机和虚拟机运行有密码软件程序;其中,
所述终端密码模块硬件用于PIN码密码验证;当拔掉终端密码模块硬件时,主机和虚拟机自动锁定,并把用户的工作环境保留下来,当再次插入所述终端密码模块硬件时,系统解除锁定。
进一步的,所述终端密码模块硬件里存储有加密处理的用户个人信息,用户不能对终端密码模块硬件进行写操作。
上述同时实现主机和虚拟机访问控制的系统的工作方法,包括下列步骤:
步骤1:管理中心对每个通过审批的用户分发一个唯一的终端密码模块硬件,从而完成对用户的授权;
步骤2:用户需要操作主机和虚拟机时,在开机登录时需要进行身份识别和认证,本系统使用软件口令登录与终端密码模块硬件相捆绑的方式,用户插入终端密码模块硬件到主机USB口,并通过该终端密码模块硬件的PIN码验证和Windows用户身份验证两道关口;
步骤3:如果用户有事临时走开,从USB口拔掉终端密码模块硬件,系统自动锁定,并把用户的工作环境保存下来;当用户返回时,插入终端密码模块硬件,再次通过终端密码模块硬件的PIN码验证和Windows用户身份验证两道关口即可返回原有工作环境;
步骤4:用户在主机上运行虚拟机,虚拟机启动,用户使用登录虚拟机系统的惟一终端密码模块硬件,并通过该终端密码模块硬件的PIN码验证和虚拟机Windows用户身份验证两道关口后,即可操作虚拟机;
步骤5:如果虚拟机和主机同时运行时,用户拔掉终端密码模块硬件,主机与虚拟机同时自动锁定,需要原用户重新插入终端密码模块硬件和输入相应PIN口令,才能重新操作主机和虚拟机。
进一步的,所述步骤2在进行前,用户需要申请终端密码模块硬件,管理中心依据用户情况对其使用某台或某几台主机以及虚拟机进行授权。所有授权信息保存在终端密码模块硬件中,并且以加密的形式进行存储,用户只对其中信息有读权限,无写权限。
进一步的,步骤4中,主机与虚拟机在进行操作系统登录时,可以设置不同的登录密码,由用户自己决定。
本发明的有益效果是:从软件(Windows用户身份验证,如windows登录口令)和硬件(检测终端密码模块硬件(USB KEY)是否与主机相连)两个方面进行识别。非法用户如果没有终端密码模块硬件(USB KEY),即使非法获得操作系统登录口令也无法访问主机以及虚拟机,也从而增强了系统的整体安全性。
另外,不少计算机使用者常常因为有事需要临时离开计算机,但不少会忘记锁定计算机,这样就给犯罪分子带来机会。采用本系统,用户只需从USB端口拔掉终端密码模块硬件,系统会强制自动锁定,从而减小非法使用计算机的风险。
具体实施方式
本系统采用终端密码模块硬件(USB KEY)认证与传统登录口令认证相结合的方式,即使有非法窃听者获取用户登录口令,其也因为没有终端密码模块硬件(USB KEY),而无法取得主机和虚拟机的控制权限,从而保障主机与虚拟机的信息安全。
下面对本发明进行详细说明。
本发明所述系统包括主机、运行在主机上的虚拟机、终端密码模块硬件,所述主机和虚拟机运行有密码软件程序;其中,
所述终端密码模块硬件用于PIN码密码验证;当拔掉终端密码模块硬件时,主机和虚拟机自动锁定,并把用户的工作环境保留下来,当再次插入所述终端密码模块硬件时,系统解除锁定。
进一步的,所述终端密码模块硬件里存储有加密处理的用户个人信息,用户不能对终端密码模块硬件进行写操作。
计算机管理中心需要提前安装相应的密码软件模块到相应的主机和虚拟机,所述密码软件模块可以采用现有的密码软件。一旦有用户需要操作这些主机和虚拟机时,需要向管理中心提出申请,通过审批后获得一个唯一的终端密码模块硬件(USB KEY)。USB KEY中包含相应的用户信息以及验证信息。
没有取得唯一的终端密码模块硬件(USB KEY)的用户即使取得操作系统登录口令,也无法登录和访问相应的主机和虚拟机。
本发明所述方法包括如下步骤:
步骤1.管理中心对申请人员进行审批,审批通过后,为每个用户分发一个唯一的终端密码模块硬件(USB KEY),从而完成对用户的授权;
用户持有唯一的终端密码模块硬件(USB KEY),不能对USB KEY内部进行写操作。同时,USB KEY内部的用户个人信息全部进行加密处理,从而防止泄密;
用户需要申请终端密码模块硬件(USB KEY),管理中心依据用户情况对其使用某台或某几台主机以及虚拟机进行授权。所有授权信息保存在终端密码模块硬件(USB KEY)中,并且以加密的形式进行存储。用户只对其中信息有读权限,无写权限。
步骤2. 当用户需要操作主机和虚拟机时,在开机登录时需要进行身份识别和认证,本系统使用软件口令登录与终端密码模块硬件(USB KEY)相捆绑的方式。用户必须使用登录系统的惟一终端密码模块硬件(USB KEY),并通过该终端密码模块硬件(USB KEY)的PIN码验证和Windows用户身份验证两道关口。这比传统意义上仅需口令输入的系统登录方式要安全许多。
所述步骤2进行时,系统会从软件(Windows用户身份验证,如windows登录口令)和硬件(检测终端密码模块硬件(USB KEY)是否与主机相连)两个方面进行识别,如果USB KEY的PIN码验证和Windows用户身份验证有任何一项不成功,则不能登录系统;从而增强了系统的整体安全性。USB KEY的PIN码验证和Windows用户身份验证均成功,用户登录操作系统成功,可以进行任何授权的操作。
步骤3.如果用户有事临时走开,从USB口拔掉终端密码模块硬件(USB KEY),这样系统就自动锁定,并把用户的工作环境保存下来。当用户返回时,插入USB KEY,再次通过USB KEY的PIN码验证和Windows用户身份验证两道关口即可返回原有工作环境。
步骤4.用户在主机上运行虚拟机,虚拟机启动,用户使用登录虚拟机系统的惟一终端密码模块硬件,并通过该终端密码模块硬件的PIN码验证和虚拟机Windows用户身份验证两道关口后,即可操作虚拟机。
所述步骤4进行时,主机与虚拟机在进行操作系统登录时,可以设置不同的登录密码,由用户自己决定。
步骤5.如果虚拟机和主机同时运行时,用户拔掉终端密码模块硬件,主机与虚拟机同时自动锁定,需要原用户重新插入终端密码模块硬件和输入相应PIN口令,才能重新操作主机和虚拟机。
本发明的有益效果是:在计算机的使用过程中,登录口令往往会被窃取者通过偷窥,木马程序等方式非法获得,这对重要计算机的重要数据带来极大的安全隐患。本系统采用从软件(Windows用户身份验证,如windows登录口令)和硬件(检测终端密码模块硬件(USB KEY)是否与主机相连)两个方面进行识别。非法用户如果没有终端密码模块硬件(USB KEY),即使非法获得操作系统登录口令也无法访问主机以及虚拟机,也从而增强了系统的整体安全性。
另外,不少计算机使用者常常因为有事需要临时离开计算机,但不少会忘记锁定计算机,这样就给犯罪分子带来机会。采用本系统,用户只需从USB端口拔掉终端密码模块硬件(USB KEY),系统会强制自动锁定,从而减小非法使用计算机的风险。
Claims (5)
1.一种同时实现主机和虚拟机访问控制的系统,其特征在于。包括主机、运行在主机上的虚拟机、终端密码模块硬件,所述主机和虚拟机运行有密码软件程序;其中,
所述终端密码模块硬件用于PIN码密码验证;当拔掉终端密码模块硬件时,主机和虚拟机自动锁定,并把用户的工作环境保留下来,当再次插入所述终端密码模块硬件时,系统解除锁定。
2. 如权利要求1所述的同时实现主机和虚拟机访问控制的系统,其特征在于。所述终端密码模块硬件里存储有加密处理的用户个人信息,用户不能对所述终端密码模块硬件进行写操作。
3. 如权利要求2所述的同时实现主机和虚拟机访问控制的系统的工作方法,其特征在于,包括下列步骤:
步骤1:管理中心对每个通过审批的用户分发一个唯一的终端密码模块硬件,从而完成对用户的授权;
步骤2:用户需要操作主机和虚拟机时,在开机登录时需要进行身份识别和认证,本系统使用软件口令登录与终端密码模块硬件相捆绑的方式,用户插入终端密码模块硬件到主机USB口,并通过该终端密码模块硬件的PIN码验证和Windows用户身份验证两道关口;
步骤3:如果用户有事临时走开,从USB口拔掉终端密码模块硬件,系统自动锁定,并把用户的工作环境保存下来;当用户返回时,插入终端密码模块硬件,再次通过终端密码模块硬件的PIN码验证和Windows用户身份验证两道关口即可返回原有工作环境;
步骤4:用户在主机上运行虚拟机,虚拟机启动,用户使用登录虚拟机系统的惟一终端密码模块硬件,并通过该终端密码模块硬件的PIN码验证和虚拟机Windows用户身份验证两道关口后,即可操作虚拟机;
步骤5:如果虚拟机和主机同时运行时,用户拔掉终端密码模块硬件,主机与虚拟机同时自动锁定,需要原用户重新插入终端密码模块硬件和输入相应PIN口令,才能重新操作主机和虚拟机。
4. 如权利要求3所述的同时实现主机和虚拟机访问控制的系统的工作方法,其特征在于,所述步骤2在进行前,用户需要申请终端密码模块硬件,管理中心依据用户情况对其使用某台或某几台主机以及虚拟机进行授权。所有授权信息保存在终端密码模块硬件中,并且以加密的形式进行存储,用户只对其中信息有读权限,无写权限。
5. 如权利要求3所述的同时实现主机和虚拟机访问控制的系统的工作方法,其特征在于,步骤4中,主机与虚拟机在进行操作系统登录时,可以设置不同的登录密码,由用户自己决定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310677916.6A CN103678973A (zh) | 2013-12-13 | 2013-12-13 | 一种同时实现主机和虚拟机访问控制的系统及其工作方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310677916.6A CN103678973A (zh) | 2013-12-13 | 2013-12-13 | 一种同时实现主机和虚拟机访问控制的系统及其工作方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103678973A true CN103678973A (zh) | 2014-03-26 |
Family
ID=50316496
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310677916.6A Pending CN103678973A (zh) | 2013-12-13 | 2013-12-13 | 一种同时实现主机和虚拟机访问控制的系统及其工作方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103678973A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104079414A (zh) * | 2014-07-18 | 2014-10-01 | 成都卫士通信息产业股份有限公司 | 一种带有身份鉴别机制的加密机认证方法及装置 |
CN105373718A (zh) * | 2014-08-25 | 2016-03-02 | 中兴通讯股份有限公司 | 虚拟机运行处理方法及装置 |
CN107704749A (zh) * | 2017-10-25 | 2018-02-16 | 深圳竹云科技有限公司 | 基于U盾验证算法的Windows系统安全登录方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070079134A1 (en) * | 2005-09-23 | 2007-04-05 | Gui-Hua Tang | System and method for securing a computer |
CN101436234A (zh) * | 2008-04-30 | 2009-05-20 | 北京飞天诚信科技有限公司 | 一种确保操作环境安全的系统和方法 |
CN201397508Y (zh) * | 2009-05-13 | 2010-02-03 | 北京鼎普科技股份有限公司 | 单机终端安全登录与监控装置 |
-
2013
- 2013-12-13 CN CN201310677916.6A patent/CN103678973A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070079134A1 (en) * | 2005-09-23 | 2007-04-05 | Gui-Hua Tang | System and method for securing a computer |
CN101436234A (zh) * | 2008-04-30 | 2009-05-20 | 北京飞天诚信科技有限公司 | 一种确保操作环境安全的系统和方法 |
CN201397508Y (zh) * | 2009-05-13 | 2010-02-03 | 北京鼎普科技股份有限公司 | 单机终端安全登录与监控装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104079414A (zh) * | 2014-07-18 | 2014-10-01 | 成都卫士通信息产业股份有限公司 | 一种带有身份鉴别机制的加密机认证方法及装置 |
CN105373718A (zh) * | 2014-08-25 | 2016-03-02 | 中兴通讯股份有限公司 | 虚拟机运行处理方法及装置 |
CN107704749A (zh) * | 2017-10-25 | 2018-02-16 | 深圳竹云科技有限公司 | 基于U盾验证算法的Windows系统安全登录方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11108546B2 (en) | Biometric verification of a blockchain database transaction contributor | |
CN108683509B (zh) | 一种基于区块链的安全交易方法、装置及系统 | |
JP3613921B2 (ja) | アクセス資格認証装置および方法 | |
CN105429761B (zh) | 一种密钥生成方法及装置 | |
CN111768522B (zh) | 一种基于ctid的智能门锁开锁方法及系统 | |
KR20060127080A (ko) | 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조 | |
CN106372531B (zh) | 一种授权获取终端攻击报警信息日志方法和系统 | |
DE112008003931T5 (de) | Systeme und Verfahren für Datensicherheit | |
CN105450419B (zh) | 提高生物识别安全性的方法、装置和系统 | |
EP2628133A1 (en) | Authenticate a fingerprint image | |
CN104134141B (zh) | 一种基于时间同步的电子钱包系统的支付方法 | |
CN111768523B (zh) | 一种基于ctid的nfc智能门锁开锁方法、系统、设备及介质 | |
CN112039665A (zh) | 一种密钥管理方法及装置 | |
TWI476629B (zh) | Data security and security systems and methods | |
CN101196968A (zh) | 一种单机信息的安全保护方法 | |
CN103678973A (zh) | 一种同时实现主机和虚拟机访问控制的系统及其工作方法 | |
CN102298680B (zh) | 一种计算机安全启动的方法 | |
CN112862484A (zh) | 一种基于多端交互的安全支付方法及装置 | |
CN113468596B (zh) | 一种用于电网数据外包计算的多元身份认证方法及系统 | |
CN106330877B (zh) | 一种授权对终端状态进行转换的方法和系统 | |
CN104079414A (zh) | 一种带有身份鉴别机制的加密机认证方法及装置 | |
CN1271525C (zh) | 一种计算机系统登录认证的方法 | |
CN104463003A (zh) | 一种文件加密保护方法 | |
CN102789563A (zh) | 网站后台程序信息安全保护系统及其保护方法 | |
Lee et al. | A study on a secure USB mechanism that prevents the exposure of authentication information for smart human care services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140326 |
|
RJ01 | Rejection of invention patent application after publication |