CN105530246A - 虚拟机管理的方法、装置和系统 - Google Patents

虚拟机管理的方法、装置和系统 Download PDF

Info

Publication number
CN105530246A
CN105530246A CN201510888244.2A CN201510888244A CN105530246A CN 105530246 A CN105530246 A CN 105530246A CN 201510888244 A CN201510888244 A CN 201510888244A CN 105530246 A CN105530246 A CN 105530246A
Authority
CN
China
Prior art keywords
virtual machine
security agent
user
agent module
tsm security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510888244.2A
Other languages
English (en)
Other versions
CN105530246B (zh
Inventor
严仲伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Cloud Computing Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201510888244.2A priority Critical patent/CN105530246B/zh
Publication of CN105530246A publication Critical patent/CN105530246A/zh
Priority to PCT/CN2016/107977 priority patent/WO2017092671A1/zh
Application granted granted Critical
Publication of CN105530246B publication Critical patent/CN105530246B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2131Lost password, e.g. recovery of lost or forgotten passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及IT技术领域,尤其涉及一种虚拟机的管理方法、装置和系统。在客户端上提供重置密码的功能,在为用户创建虚拟机时,在虚拟机OS上安装具备管理员权限的安全代理模块。当云服务的用户忘记虚拟机OS登录密码时,可以通过预置在云服务平台上的安全代理模块进行密码重置,无需用户将忘记OS登录密码的虚拟机系统盘挂载到其他虚拟机进行密码清除,降低了用户重置虚拟机OS登录密码的复杂度,提高用户体验。

Description

虚拟机管理的方法、装置和系统
技术领域
本发明涉及IT技术领域,尤其涉及虚拟机管理的方法、装置和系统。
背景技术
虚拟化技术是云计算领域的关键技术之一,可将物理机的物理资源虚拟成多个虚拟机(VirtualMachine,VM),物理资源被虚拟化平台以虚拟资源池的形式提供给各个虚拟机,不同的虚拟机可以分配给不同的用户,虚拟机之间共享物理资源。
在云服务场景下,云服务提供商可以向海量用户提供云服务业务,为用户分配虚拟机。在用户使用虚拟机过程中,为保障用户隐私,云服务提供商无权获取用户的操作系统(OperatingSystem,OS)登录密码。因此,当用户忘记虚拟机OS登录密码时,只能自己手动删除OS登录密码。用户将忘记密码的虚拟机的系统盘从原虚拟机上卸载下来,并挂载到另一虚拟机上,然后登录该另一虚拟机并清除该系统盘中的密码存储区以清空OS登录密码,再将清除掉OS登录密码的系统盘挂载到原虚拟机上。完成上述操作后,用户就可以无需输入OS登录密码,直接登录原虚拟机,在虚拟机开机后可以重设密码。上述虚拟机OS登录密码重设过程需要用户手动操作,对用户技术要求高,给用户的使用带来了很大不便。
发明内容
本文描述了一种虚拟机管理的方法、装置及系统,以降低用户重置虚拟机OS登录密码的复杂度,提高用户体验。
一方面,本申请提供了一种虚拟机管理系统,包括虚拟机监视器VMM和安全代理模块,在用户的客户端上提供重置密码的功能,在为用户创建虚拟机时,在虚拟机OS上安装具备管理员权限的安全代理模块。当所述重置密码的功能被触发时,客户端通过虚拟机所在的VMM向安全代理模块发送密码重置请求,安全代理模块生成随机验证码并发送给客户端,客户端使用私钥生成所述随机验证码的数字签名,安全代理模块使用公钥对所述数字签名进行验签,当验签成功时,将虚拟机OS登录密码修改为客户端提供的目标密码,使得客户端可以使用目标密码登录所述虚拟机。通过上述方式,在云服务场景下,用户可以自主控制密码重置功能,用户仅需要出发客户端上提供的密码重置功能,输入新的目标密码即可,无需用户将忘记OS登录密码的虚拟机系统盘重新挂载到其他虚拟机进行密码清除。本申请提供的密码重置方法既满足了安全性的要求,又降低了用户重置虚拟机OS登录密码的复杂度,提高用户体验。
在一种可能的方式中,安全代理模块存储有用户的公钥。
在一种可能的方式中,所述安全控制器在用户开通云服务业务时,存储所述用户提供的所述公钥,将所述公钥发送给所述安全代理模块;
所述安全代理模块接收并记录所述用户的公钥。
在一种可能的方式中,在用户申请创建所述虚拟机成功后,安全控制器通过所述VMM向所述安全代理模块发送虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥。在接收到所述虚拟机创建成功通知消息后,所述安全代理模块保存所述用户的公钥。
在一种可能的方式中,所述虚拟机OS与所述安全代理模块组成一个虚拟机模板,所述安全代理模块以服务的方式运行。当VMM使用所述虚拟机模板为用户创建虚拟机时,创建的虚拟机中的安全代理模块即可以管理员权限运行。
在一种可能的方式中,所述VMM接收客户端发送的认证响应,所述认证响应携带有目标密码以及所述随机验证码的数字签名,将所述认证响应转发给所述安全代理模块。
针对不同的系统,安全代理模块可以调用不同的系统接口进行虚拟机OS登录密码的修改,例如,所述安全代理模块调用window系统的命令行接口netuser或者linux系统的passwd接口将所述虚拟机OS登录密码修改为所述目标密码。
另一方面,本发明实施例提供了一种VMM,该VMM具体实现上述系统中VMM的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,VMM的功能基于硬件实现,硬件包括处理器和存储器,所述处理器被配置为支持VMM执行上述系统中相应的功能。所述VMM还可以包括存储器,所述存储器用于与处理器耦合,其保存VMM执行上述功能所必要的程序指令和数据。
又一方面,本发明实施例提供了一种安全代理装置,该安全代理装置具体实现上述系统中安全代理模块的功能。安全代理装置包括在运行在主机上的虚拟机OS中,安全代理装置的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
又一方面,本发明实施例提供了一种虚拟机的管理方法,该方法可以由所述系统中的VMM和安全代理模块执行,以实现虚拟机管理系统中的功能。
又一方面,本发明实施例提供了另外两种虚拟机的管理方法,分别从VMM和安全代理模块的角度执行,以实现虚拟机管理系统中的功能。
再一方面,本发明实施例提供了一种计算机存储介质,用于储存为上述VMM所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
再一方面,本发明实施例提供了一种计算机存储介质,用于储存为上述安全代理模块所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
相较于现有技术,当云服务的用户忘记虚拟机OS登录密码时,可以通过预置在云服务平台上的安全代理模块进行密码重置,无需用户将忘记OS登录密码的虚拟机系统盘重新挂载到其他虚拟机进行密码清除,降低了用户重置虚拟机OS登录密码的复杂度,提高用户体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面附图中反映的仅仅是本发明的一部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得本发明的其他实施方式。而所有这些实施例或实施方式都在本发明的保护范围之内。
图1为实现本发明的一种可能的系统结构示意图;
图2为所示为本发明实施例提供的计算机设备示意图;
图3为本发明实施例提供的一种客户端重置虚拟机OS登录密码的方法流程示意图;
图4为本发明实施例提供的一种虚拟机管理系统的结构示意图;
图5为本发明实施例提供的一种VMM的结构示意图;
图6为本发明实施例提供的一种安全代理装置的结构示意图。
具体实施方式
下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例描述的网络架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
如图1所示,本申请提供了一种云服务的架构示意图,客户端通过网络接入云服务系统,登录虚拟机。该云服务系统包括安全控制器和主机。
客户端:用户通过该客户端连接到云服务系统,用户可以通过客户端申请开通云服务业务,申请虚拟机,以及申请重置虚拟机OS登录密码等业务,该客户端可以基于各种类型的平台,包括但不限于WebPortal,IOS,安卓,以及Windows程序等等。该客户端可以安装在用户设备上,本申请所涉及到的用户设备可以包括各种具有通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到各类网络的其它处理设备,以及各种形式的用户设备(UserEquipment,简称UE),移动台(Mobilestation,简称MS),终端(terminal),终端设备(TerminalEquipment)等等。为方便描述,本申请中,上面提到的设备统称为用户设备。
安全控制器:可以为独立的服务器,也可以为虚拟网元,用来保存用户的公钥,以及其他与安全相关的业务数据。安全控制器的功能可以由当前已有的云服务平台包括的服务器来实现,本申请并不进行限定安全控制器具体的实现形式。
主机:可以为各种类型物理服务器,用于提供物理资源。主机上运行有hypervisor,即虚拟机监视器(VirtualMachineMonitor,VMM),VMM是一层位于操作系统和计算机硬件之间的代码,使用虚拟机后技术将硬件平台分割成多个虚拟机。虚拟机(VirtualMachine,VM)是模拟出来的一台虚拟的计算机,也即逻辑上的一台计算机。VMM可以隔离并且管理上层运行的多个虚拟机,仲裁它们对底层硬件的访问,并为每个虚拟机虚拟一套独立于实际硬件的虚拟硬件环境(包括处理器,内存,I/O设备)。
安全代理模块:用户虚拟机OS中的代理程序,用来接收用户的密码重置命令,并调用虚拟机OS接口重置OS登录密码。当主机采用XEN时,安全代理模块位于domainU上。
如图1所示,示例性的,主机上承载有若干个虚拟机,其中一个虚拟机(例如,VM1)为用户创建的虚拟机,VM1包含安全代理模块,用于为用户重置VM1的OS登录密码进行验证服务。客户端通过网络连接到云服务平台,登录VM1。具体的,客户端与云服务平台的安全管理器相连,安全控制器中保存有用户的公钥。
图2所示为本发明实施例提供的计算机设备示意图。计算机设备200包括至少一个处理器201,通信总线202,存储器203以及至少一个通信接口204。
处理器201可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specificintegratedcircuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
通信总线202可包括一通路,在上述组件之间传送信息。所述通信接口304,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(RAN),无线局域网(WirelessLocalAreaNetworks,WLAN)等。
存储器203可以是只读存储器(read-onlymemory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(randomaccessmemory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(ElectricallyErasableProgrammableRead-OnlyMemory,EEPROM)、只读光盘(CompactDiscRead-OnlyMemory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,所述存储器203用于存储执行本发明方案的应用程序代码,并由处理器201来控制执行。所述处理器201用于执行所述存储器203中存储的应用程序代码。
在具体实现中,作为一种实施例,处理器201可以包括一个或多个CPU,例如图2中的CPU0和CPU1。
在具体实现中,作为一种实施例,计算机设备200可以包括多个处理器,例如图2中的处理器201和处理器208。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,计算机设备200还可以包括输出设备205和输入设备206。输出设备205和处理器201通信,可以以多种方式来显示信息。例如,输出设备205可以是液晶显示器(liquidcrystaldisplay,LCD),发光二级管(lightemittingdiode,LED)显示设备,阴极射线管(cathoderaytube,CRT)显示设备,或投影仪(projector)等。输入设备206和处理器201通信,可以以多种方式接受用户的输入。例如,输入设备206可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的计算机设备200可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中,计算机设备200可以是台式机、便携式电脑、网络服务器、掌上电脑(PersonalDigitalAssistant,PDA)、移动手机、平板电脑、无线终端设备、通信设备、嵌入式设备或有图2中类似结构的设备。本发明实施例不限定计算机设备200的类型。
如图1中的VMM、安全控制器、以及安全代理模块可以为图2所示的设备,管理设备205的存储器中存储了一个或多个软件模块,用于实现客户端、安全控制器、以及安全代理模块的功能。VMM、安全控制器、以及安全代理模块可以通过处理器以及存储器中的程序代码来实现软件模块,执行虚拟机OS登录密码重置的方法。
需要说明的是,图2所示的计算机设备仅仅是给出了云服务系统中各部分的可能的硬件实现方式,根据系统各部分功能的不同或者变化,可以对计算机设备的硬件组件进行增删,以使得与系统各部分的功能进行匹配。
下面结合图3,对重置虚拟机OS登录密码的过程进行详细描述。
步骤301:用户通过客户端向云服务平台申请开通云服务业务,客户端生成云服务密钥对(包括公钥和私钥),客户端将公钥发送给安全控制器。
步骤302:在客户端成功申请云服务业务时,安全控制器保存该用户的公钥,并向该用户返回云服务开通成功响应。
需要说明的是,用户通过客户端开通云服务的流程可以采用现有技术中的各种实现方式,本发明并不进行限定。需要重点注意的是,在云服务开通过程中,本申请新增的安全控制器用来保存用户在开通云服务业务时生成的公钥,安全控制器中可以记录用户标识与所述公钥的对应关系。
在一种可能的实施方式中,重置密码功能可以作为附加特性,用户在开通云服务的时候,可以选择重置密码业务。
步骤303:用户申请创建虚拟机,VMM为该用户创建虚拟机,并分配虚拟机标识,创建的虚拟机包含安全代理模块,所述安全代理模块以管理员权限运行。虚拟机创建成功后,客户端向安全控制器发送虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带虚拟机标识;
在一种可能的实施方式中,可以将虚拟机OS和安全代理模块做成为一个虚拟机模板,采用模板的方式为用户创建虚拟机。
在一种可能的实施方式中,将虚拟机模板中的安全代理模块设定为服务程序,以服务的方式运行,即可实现安全代理模块具备管理员权限。
步骤304:安全控制器接收所述虚拟机创建成功通知消息,向所述虚拟机所在的主机的VMM转发所述虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带虚拟机标识,可选的,所述安全控制器还可以将所述公钥添加到所述虚拟机创建成功通知消息中。
在一种可能的实施方式中,安全控制器在接收到所述虚拟机创建成功通知消息时,提取所述虚拟机标识,建立用户标识、虚拟机标识,以及所述公钥的对应关系。
在一种可能的实施方式中,所述公钥可以不携带在所述虚拟机创建成功通知消息中,而是由安全代理控制器在其他消息中通过VMM传递给安全代理模块。
步骤305:VMM根据接收到的虚拟机标识将所述公钥转发给所述虚拟机的安全代理模块,所述安全代理模块保存所述公钥。
步骤306和步骤307:所述安全代理模块通过VMM以及安全控制器向客户端返回成功响应。
步骤308:当用户忘记所述虚拟机的OS登录密码时,用户无法登录该虚拟机,此时,用户通过操作客户端的密码重置功能重置OS登录密码,触发客户端向安全控制器发送密码重置请求,所述密码重置请求中携带虚拟机标识,用于指明需要进行OS登录密码重置的虚拟机。
步骤309和310:所述密码重置请求经过安全控制器和VMM的转发,传递到所述虚拟机的安全代理模块。
步骤311-313:所述安全代理模块生成随机验证码,通过所述VMM以及所述安全控制器,将所述随机验证码发送给所述客户端,所述随机验证码用于对所述用户进行鉴权。
在一种可能的实施方式中,所述随机验证码可以为随机字符串,示例性的,所述随机字符串可以选用一副图像的前1024字节。
步骤314和315:客户端使用私钥对所述随机验证码进行数字签名,并输入重置后的目标密码,向安全代理模块返回认证响应,所述认证响应中携带随机验证码的数字签名以及目标密码,通过安全控制器以及VMM将所述认证响应发送给所述安全代理模块。
在一种可能的实施方式中,客户端使用私钥对随机验证码进行数字签名的过程包括:客户端首先对所述随机验证码进行哈希处理,得到哈希值,针对得到的哈希值使用所述私钥进行加密,得到数字签名。
步骤316:安全代理模块接收所述认证响应,使用所述公钥对数字签名进行验签,如果验签成功,则重置虚拟机OS登录密码。安全代理模块调用所述虚拟机OS重置密码的接口将所述OS登录密码修改为所述目标密码。
在一种可能的实施方式中,安全代理模块可以调用window系统的命令行接口netuser进行密码重置或者linux系统的passwd接口进行密码重置。
在一种可能的实施方式中,使用所述公钥对数字签名进行验签包括:使用所述用户的公钥对接收到的所述数字签名进行解密,对本地保存的在先生成的所述随机验证码进行哈希处理,比较解密得到的数据与本地哈希处理得到的哈希值是否相同,如果相同,则表示验签成功。
在一种可能的实施方式中,目标密码可以不与加密后的随机验证码一起发送给安全代理模块,而是在安全代理模块对所述随机验证码进行校验通过后,客户端再将目标密码通过加密的方式发送给安全代理模块,由安全代理模块进行OS登录密码重置。
步骤317:安全代理模块在密码重置成功后,向客户端返回密码重置响应消息。用户即可采用重置后的目标密码登录虚拟机。
在一种可能的实施方式中,为了保证用户通过客户端接入云服务的安全性,安全控制器可以对用户进行身份验证,并且使用SSL(SecureSocketsLayer,安全套接层)/TLS(TransportLayerSecurity,传输层安全)协议进行消息传输,保证消息的完整性和机密性(例如,保证传输过程中目标密码的完整和安全);对于云服务系统内部,如果消息跨信任域,消息传递同样可以使用SSL/TLS协议传输,保证消息的完整性和机密性。
本申请通过客户端、安全控制器、VMM以及安全代理模块的配合,实现了由用户自主控制、安全、高效的密码重置功能。
在一种可能的实施方式中,主机可能采用XEN。在XEN环境中,虚拟机叫做Domain,其中,Domain0具有很高的特权,负责驱动IO硬件设备。通过domain0,管理员可以利用Xen提供的工具来创建其它虚拟机(DomainU)。这些domainU属于无特权domain。安全代理模块安装在domainU上。此时,VMM跟domainU的消息交互需要经过domain0进行传递。
本申请提供了一种云服务场景下,用户自主重置虚拟机OS登录密码的方法,在客户端上提供重置密码的功能,在为用户创建虚拟机时,在虚拟机OS上安装具备管理员权限的安全代理模块,安全代理模块存储有用户的公钥。当所述重置密码的功能被触发时,客户端向安全代理模块发送密码重置请求,安全代理模块生成随机验证码并发送给客户端,客户端使用私钥对随机验证码进行数字签名,安全代理模块使用公钥对所述数字签名进行解密,当验签成功时,将虚拟机OS登录密码修改为客户端提供的目标密码,使得客户端可以使用目标密码登录所述虚拟机。通过上述方式,在云服务场景下,用户可以自主控制密码重置功能,用户仅需要出发客户端上提供的密码重置功能,输入新的目标密码即可,无需用户将忘记OS登录密码的虚拟机重新挂载到其他虚拟机进行密码清除。本申请提供的密码重置方法既满足了安全性的要求,又降低了用户重置虚拟机OS登录密码的复杂度,提高用户体验。
如图4所示,为本发明实施例提供的一种虚拟机管理系统的结构示意图,所述虚拟机管理系统包括虚拟机监视器VMM400和虚拟机,所述虚拟机上安装有安全代理模块500,
所述VMM400,用于为用户创建虚拟机,为所述虚拟机分配虚拟机标识,创建的所述虚拟机的操作系统OS中包含所述安全代理模块500,所述安全代理模块500以管理员权限运行;
所述VMM400,还用于接收客户端100发送的密码重置请求,将所述密码重置请求转发给所述安全代理模块500;
所述安全代理模块500,用于生成随机验证码,将所述随机验证码通过所述VMM400返回给用户的所述客户端100;
所述VMM400,还用于接收所述客户端100使用用户的私钥对所述随机验证码进行处理得到的数字签名,将所述数字签名转发给所述安全代理模块500;
所述安全代理模块500,还用于使用所述用户的公钥对所述数字签名进行验签,在确定验签成功时,将所述虚拟机OS登录密码修改为用户提供的目标密码;
其中,所述公钥与所述私钥组成密钥对。
进一步的,所述系统还包括安全控制器200,
所述安全控制器200,用于在用户开通云服务业务时,存储所述用户提供的所述公钥,将所述公钥发送给所述安全代理模块500;
所述安全代理模块500,还用于接收并记录所述用户的公钥。
所述安全控制器200,具体用于在用户开通云服务时,接收所述用户的公钥,在用户申请创建所述虚拟机成功后,通过所述VMM400向所述安全代理模块500发送虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥;
所述安全代理模块,还用于保存所述用户的公钥。
在一种可能的方式中,所述用户的公钥可以存储在其他位置,安全代理模块可以获得即可。
在一种可能的方式中,所述客户端100使用用户的私钥对所述随机验证码进行处理得到的数字签名包括:所述客户端100对所述随机验证码进行哈希hash处理,对得到的哈希值使用所述用户的私钥进行加密,得到所述数字签名;相应地,
所述安全代理模块500,具体用于使用所述用户的公钥对接收到的所述数字签名进行解密,对本地保存的在先生成的所述随机验证码进行哈希处理,比较解密得到的数据与本地哈希处理得到的哈希值是否相同,如果相同,则表示验签成功,否则,则表示验签失败。
所述安全控制器200,还用于接收所述客户端100发送的密码重置请求,将所述密码重置请求转发给所述VMM400。
所述虚拟机OS与所述安全代理模块组成一个虚拟机模板,所述安全代理模块以服务的方式运行,从而使得所述安全代理模块具备管理员权限。
所述VMM400,具体用于接收客户端100发送的认证响应,所述认证响应携带有目标密码以及所述随机验证码的数字签名,将所述认证响应转发给所述安全代理模块500。
所述安全代理模块500,具体用于调用window系统的命令行接口netuser或者linux系统的passwd接口将所述虚拟机OS登录密码修改为所述目标密码。
与前述系统相对应,如图5所述为本发明实施例提供的一种VMM400的结构示意图,图6为本发明实施例提供的一种虚拟机500的结构示意图。
所述虚拟机监视器VMM400包括:
创建单元401,用于为用户创建虚拟机,为所述虚拟机分配虚拟机标识,创建的所述虚拟机的操作系统OS中包含安全代理模块500,所述安全代理模块500以管理员权限运行;
第一接收单元402,用于接收客户端100发送的密码重置请求,将所述密码重置请求转发给所述安全代理模块;
所述第一接收单元402,还用于接收所述安全代理模块返回的随机验证码;
第一发送单元403,用于将所述随机验证码发送给所述用户的客户端100;
所述第一接收单元402,还用于接收所述客户端使用用户的私钥对所述随机验证码进行的数字签名;
所述第一发送单元403,还用于将所述数字签名转发给所述安全代理模块500;
所述接第一收单元,还用于接收所述安全代理模块返回的密码重置响应消息,所述密码重置响应消息为所述安全代理模块500使用所述用户的公钥对所述数字签名进行校验后生成的;
其中,所述公钥与所述私钥组成密钥对。
所述第一接收单元402,还用于接收安全控制器虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥。
所述第一发送单元403,还用于将所述虚拟机创建成功通知消息转发给所述安全代理模块500,以使得所述安全代理模块500存储所述用户的公钥。
所述第一接收单元402,具体用于接收客户端100发送的认证响应,所述认证响应携带有目标密码以及所述随机验证码的数字签名;
所述第一发送单元403,具体用于将所述认证响应转发给所述安全代理模块。
如图6所示,所述安全代理装置500包括:
第二接收单元501,用于接收VMM400转发的密码重置请求,所述密码重置请求用于请求重置用户的虚拟机的OS登录密码;
生成单元502,用于为所述虚拟机生成随机验证码;
第二发送单元503,用于将所述随机验证码通过所述VMM400返回给所述用户的客户端100;
所述第二接收单元501,用于接收所述客户端100返回的所述随机验证码的数字签名,所述数字签名为所述客户端使用用户的私钥对所述生成单元502生成的随机验证码进行的数字签名;
验证单元504,用于使用所述用户的公钥对所述数字签名进行验签,当验签成功时,则将所述虚拟机的OS登录密码修改为用户提供的目标密码;
其中,所述公钥与所述私钥组成密钥对。
所述第二接收单元501,具体用于接收VMM转发的虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥。
所述虚拟机500还包括存储单元505,用于保存所述用户的公钥。
在一种可能的实施方式中,所述验证单元504,具体用于使用所述用户的公钥对接收到的所述数字签名进行解密,对本地保存的在先生成的所述随机验证码进行哈希处理,比较解密得到的数据与本地哈希处理得到的哈希值是否相同,如果相同,则表示验签成功,否则,则表示验签失败。
所述第二接收单元501,具体用于接收客户端100通过所述VMM发送的认证响应,所述认证响应中携带所述数字签名以及目标密码。
所述验证单元504,具体用于调用window系统的命令行接口netuser或者linux系统的passwd接口将所述虚拟机OS登录密码修改为所述目标密码。
在图4、5、6对应的实施例中,客户端100、安全控制器200、VMM400、虚拟机,以及安全代理装置500是以功能单元/功能模块的形式来呈现。这里的“单元/模块”可以指特定应用集成电路(application-specificintegratedcircuit,ASIC),电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到客户端100、安全控制器200、VMM400、虚拟机,以及安全代理模块500可以采用图2所示的形式。示例性的,创建单元401,第一接收单元402,第一发送单元403的功能可以通过图2的处理器和存储器来实现,第一接收单元402,第一发送单元403的功能可以通过由处理器来执行存储其中存储的程序代码来实现。
本发明实施例还提供了一种计算机存储介质,用于储存为上述图5或图6所示的VMM和安全代理装置500所用的计算机软件指令,其包含用于执行上述方法实施例所设计的程序。通过执行存储的程序,可以实现本申请提供的虚拟机密码重置的方法。
本发明实施例还提供了另一种计算机存储介质,用于储存为上述安全代理装置500所用的计算机软件指令,其包含用于执行上述方法实施例所设计的程序。通过执行存储的程序,可以实现本申请提供的虚拟机密码重置的方法。
尽管在此结合各实施例对本发明进行了描述,然而,在实施所要求保护的本发明过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
本领域技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。计算机程序存储/分布在合适的介质中,与其它硬件一起提供或作为硬件的一部分,也可以采用其他分布形式,如通过Internet或其它有线或无线电信系统。
本发明是参照本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本发明进行了描述,显而易见的,在不脱离本发明的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明,且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (33)

1.一种虚拟机管理系统,其特征在于,包括:虚拟机监视器VMM和安全代理模块,
所述VMM,用于为用户创建虚拟机,为所述虚拟机分配虚拟机标识,创建的所述虚拟机的操作系统OS中包含所述安全代理模块,所述安全代理模块以管理员权限运行;
所述VMM,还用于接收客户端发送的密码重置请求,将所述密码重置请求转发给所述安全代理模块;
所述安全代理模块,用于生成随机验证码,将所述随机验证码通过所述VMM返回给用户的所述客户端;
所述VMM,还用于接收所述客户端使用用户的私钥对所述随机验证码进行处理得到的数字签名,将所述数字签名转发给所述安全代理模块;
所述安全代理模块,还用于使用所述用户的公钥对所述数字签名进行验签,在确定验签成功时,将所述虚拟机OS登录密码修改为用户提供的目标密码;
其中,所述公钥与所述私钥组成密钥对。
2.如权利要求1所述的系统,其特征在于,所述系统还包括安全控制器,
所述安全控制器,用于在用户开通云服务业务时,存储所述用户提供的所述公钥,将所述公钥发送给所述安全代理模块;
所述安全代理模块,还用于接收并记录所述用户的公钥。
3.如权利要求2所述的系统,其特征在于,
所述安全控制器,具体用于在用户开通云服务时,接收所述用户的公钥,在用户申请创建所述虚拟机成功后,通过所述VMM向所述安全代理模块发送虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥;
所述安全代理模块,还用于保存所述用户的公钥。
4.如权利要求1-3任一所述的系统,其特征在于,
所述客户端使用用户的私钥对所述随机验证码进行处理得到的数字签名包括:所述客户端对所述随机验证码进行哈希hash处理,对得到的哈希值使用所述用户的私钥进行加密,得到所述数字签名;相应地,
所述安全代理模块,具体用于使用所述用户的公钥对接收到的所述数字签名进行解密,对本地保存的在先生成的所述随机验证码进行哈希处理,比较解密得到的数据与本地哈希处理得到的哈希值是否相同,如果相同,则表示验签成功,否则,则表示验签失败。
5.如权利要求2所述的系统,其特征在于,
所述安全控制器,还用于接收所述客户端发送的密码重置请求,将所述密码重置请求转发给所述VMM。
6.如权利要求1-5任一所述的系统,其特征在于,
所述虚拟机OS与所述安全代理模块组成一个虚拟机模板,所述安全代理模块以服务的方式运行,从而使得所述安全代理模块具备管理员权限。
7.如权利要求1所述的系统,其特征在于,
所述VMM,具体用于接收客户端发送的认证响应,所述认证响应携带有目标密码以及所述随机验证码的数字签名,将所述认证响应转发给所述安全代理模块。
8.如权利要求1所述的系统,其特征在于,
所述安全代理模块,具体用于调用window系统的命令行接口netuser或者linux系统的passwd接口将所述虚拟机OS登录密码修改为所述目标密码。
9.一种虚拟机监视器VMM,其特征在于,包括:
创建单元,用于为用户创建虚拟机,为所述虚拟机分配虚拟机标识,创建的所述虚拟机的操作系统OS中包含安全代理模块,所述安全代理模块以管理员权限运行;
第一接收单元,用于接收客户端发送的密码重置请求,将所述密码重置请求转发给所述安全代理模块;
所述第一接收单元,还用于接收所述安全代理模块返回的随机验证码;
第一发送单元,用于将所述随机验证码发送给所述用户的客户端;
所述第一接收单元,还用于接收所述客户端使用用户的私钥对所述随机验证码进行的数字签名;
所述第一发送单元,还用于将所述数字签名转发给所述安全代理模块;
所述接第一收单元,还用于接收所述安全代理模块返回的密码重置响应消息,所述密码重置响应消息为所述安全代理模块使用所述用户的公钥对所述数字签名进行校验后生成的;
其中,所述公钥与所述私钥组成密钥对。
10.如权利要求9所述的VMM,其特征在于,
所述第一接收单元,还用于接收安全控制器虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥。
11.如权利要求10所述的VMM,其特征在于,
所述第一发送单元,还用于将所述虚拟机创建成功通知消息转发给所述安全代理模块,以使得所述安全代理模块存储所述用户的公钥。
12.如权利要求9-11任一所述的VMM,其特征在于,
所述虚拟机OS与所述安全代理模块组成一个虚拟机模板,所述安全代理模块以服务的方式运行,从而使得所述安全代理模块具备管理员权限。
13.如权利要求9-12任一所述的VMM,其特征在于,
所述第一接收单元,具体用于接收客户端发送的认证响应,所述认证响应携带有目标密码以及所述随机验证码的数字签名;
所述第一发送单元,具体用于将所述认证响应转发给所述安全代理模块。
14.一种安全代理装置,其特征在于,包括:
第二接收单元,用于接收VMM转发的密码重置请求,所述密码重置请求用于请求重置用户的虚拟机的OS登录密码;
生成单元,用于为所述虚拟机生成随机验证码;
第二发送单元,用于将所述随机验证码通过所述VMM返回给所述用户的客户端;
所述第二接收单元,用于接收所述客户端返回的所述随机验证码的数字签名,所述数字签名为所述客户端使用用户的私钥对所述生成单元生成的随机验证码进行的数字签名;
验证单元,用于使用所述用户的公钥对所述数字签名进行验签,当验签成功时,则将所述虚拟机的OS登录密码修改为用户提供的目标密码;
其中,所述公钥与所述私钥组成密钥对。
15.如权利要求14所述的安全代理装置,其特征在于,
所述第二接收单元,具体用于接收VMM转发的虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥;
所述虚拟机还包括存储单元,用于保存所述用户的公钥。。
16.如权利要求14或15所述的安全代理装置,其特征在于,
所述验证单元,具体用于使用所述用户的公钥对接收到的所述数字签名进行解密,对本地保存的在先生成的所述随机验证码进行哈希处理,比较解密得到的数据与本地哈希处理得到的哈希值是否相同,如果相同,则表示验签成功,否则,则表示验签失败。
17.如权利要求14-16任一所述的安全代理装置,其特征在于,
所述第二接收单元,具体用于接收客户端通过所述VMM发送的认证响应,所述认证响应中携带所述数字签名以及目标密码。
18.如权利要求14所述的安全代理装置,其特征在于,还包括:
所述验证单元,具体用于调用window系统的命令行接口netuser或者linux系统的passwd接口将所述虚拟机OS登录密码修改为所述目标密码。
19.一种虚拟机的管理方法,其特征在于,包括:
VMM为用户创建虚拟机,,为所述虚拟机分配虚拟机标识,创建的所述虚拟机的操作系统OS中包含所述安全代理模块,所述安全代理模块以管理员权限运行;
所述VMM接收客户端发送的密码重置请求,将所述密码重置请求转发给所述安全代理模块;
所述安全代理模块生成随机验证码,将所述随机验证码通过所述VMM返回给用户的所述客户端;
所述VMM接收所述客户端使用用户的私钥对所述随机验证码进行处理得到的数字签名,将所述数字签名转发给所述安全代理模块;
所述安全代理模块使用所述用户的公钥对所述数字签名进行验签,在确定验签成功时,将所述虚拟机OS登录密码修改为用户提供的目标密码;
其中,所述公钥与所述私钥组成密钥对。
20.如权利要求19所述的方法,其特征在于,在所述VMM接收客户端发送的密码重置请求之前,所述方法还包括:
所述安全代理模块接收所述安全控制器通过所述VMM转发的虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥;
所述安全代理模块保存所述用户的公钥。
21.如权利要求19或20所述的方法,其特征在于,所述安全代理模块使用所述用户的公钥对所述数字签名进行验签包括:
所述安全代理模块使用所述用户的公钥对接收到的所述数字签名进行解密,对本地保存的在先生成的所述随机验证码进行哈希处理,比较解密得到的数据与本地哈希处理得到的哈希值是否相同,如果相同,则表示验签成功,否则,则表示验签失败。
22.如权利要求19-21任一所述的方法,其特征在于,所述方法还包括:
所述虚拟机OS与所述安全代理模块组成一个虚拟机模板,所述安全代理模块以服务的方式运行,从而使得所述安全代理模块具备管理员权限。
23.如权利要求19-22任一所述的方法,其特征在于,所述将所述加密后的随机验证码转发给所述安全代理模块包括:
所述VMM接收客户端发送的认证响应,所述认证响应携带有目标密码以及所述随机验证码的数字签名,将所述认证响应转发给所述安全代理模块。
24.如权利要求19任一所述的方法,其特征在于,所述将所述虚拟机OS登录密码修改为用户提供的目标密码包括:
所述安全代理模块调用window系统的命令行接口netuser或者linux系统的passwd接口将所述虚拟机OS登录密码修改为所述目标密码。
25.一种虚拟机的管理方法,其特征在于,包括:
为用户创建虚拟机,为所述虚拟机分配虚拟机标识,创建的所述虚拟机的操作系统OS中包含安全代理模块,所述安全代理模块以管理员权限运行;
接收客户端发送的密码重置请求,将所述密码重置请求转发给所述安全代理模块;
接收所述安全代理模块返回的随机验证码,将所述随机验证码发送给所述用户的客户端;
接收所述客户端使用用户的私钥对所述随机验证码进行的数字签名,将所述数字签名转发给所述安全代理模块;
接收所述安全代理模块返回的密码重置响应消息,所述密码重置响应消息为所述安全代理模块使用所述用户的公钥对所述数字签名进行校验后生成的;
其中,所述公钥与所述私钥组成密钥对。
26.如权利要求25所述的方法,其特征在于,还包括:
接收安全控制器虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥,将所述虚拟机创建成功通知消息转发给所述安全代理模块,以使得所述安全代理模块存储所述用户的公钥。
27.如权利要求25或26所述的方法,其特征在于,所述为用户创建虚拟机包括:
所述虚拟机OS与所述安全代理模块组成一个虚拟机模板,所述安全代理模块以服务的方式运行,从而使得所述安全代理模块具备管理员权限。
28.如权利要求25-27任一所述的方法,其特征在于,接收所述客户端使用用户的私钥对所述随机验证码进行的数字签名,将所述数字签名转发给所述安全代理模块包括:
接收客户端发送的认证响应,所述认证响应携带有目标密码以及所述随机验证码的数字签名,将所述认证响应转发给所述安全代理模块。
29.一种虚拟机的管理方法,其特征在于,包括:
接收VMM转发的密码重置请求,所述密码重置请求用于请求重置用户的虚拟机的OS登录密码;
为所述虚拟机生成随机验证码,将所述随机验证码通过所述VMM返回给所述用户的客户端;
接收所述客户端返回的所述随机验证码的数字签名,所述数字签名为所述客户端使用用户的私钥对所述生成单元生成的随机验证码进行的数字签名;
使用所述用户的公钥对所述数字签名进行验签,当验签成功时,则将所述虚拟机的OS登录密码修改为用户提供的目标密码;
其中,所述公钥与所述私钥组成密钥对。
30.如权利要求29所述的方法,其特征在于,还包括:
接收VMM转发的虚拟机创建成功通知消息,所述虚拟机创建成功通知消息中携带所述用户的公钥;
保存所述用户的公钥。
31.如权利要求29或30所述的方法,其特征在于,所述接收所述客户端返回所述随机验证码的数字签名包括:
接收所述客户端通过所述VMM发送的认证响应,所述认证响应中携带所述数字签名以及目标密码。
32.如权利要求29任一所述的方法,其特征在于,所述将所述虚拟机的OS登录密码修改为用户提供的目标密码包括:
调用window系统的命令行接口netuser或者linux系统的passwd接口将所述虚拟机OS登录密码修改为所述目标密码。
33.如权利要求29-32任一所述的方法,其特征在于,所述使用所述用户的公钥对所述数字签名进行验签包括:
使用所述用户的公钥对接收到的所述数字签名进行解密,对本地保存的在先生成的所述随机验证码进行哈希处理,比较解密得到的数据与本地哈希处理得到的哈希值是否相同,如果相同,则表示验签成功,否则,则表示验签失败。
CN201510888244.2A 2015-12-04 2015-12-04 虚拟机管理的方法、装置和系统 Active CN105530246B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201510888244.2A CN105530246B (zh) 2015-12-04 2015-12-04 虚拟机管理的方法、装置和系统
PCT/CN2016/107977 WO2017092671A1 (zh) 2015-12-04 2016-11-30 虚拟机管理的方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510888244.2A CN105530246B (zh) 2015-12-04 2015-12-04 虚拟机管理的方法、装置和系统

Publications (2)

Publication Number Publication Date
CN105530246A true CN105530246A (zh) 2016-04-27
CN105530246B CN105530246B (zh) 2018-10-09

Family

ID=55772228

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510888244.2A Active CN105530246B (zh) 2015-12-04 2015-12-04 虚拟机管理的方法、装置和系统

Country Status (2)

Country Link
CN (1) CN105530246B (zh)
WO (1) WO2017092671A1 (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106293847A (zh) * 2016-08-17 2017-01-04 浪潮电子信息产业股份有限公司 一种虚拟化平台服务支撑的方法
CN106529241A (zh) * 2016-11-18 2017-03-22 郑州云海信息技术有限公司 一种虚拟机用户账号及密码重置方法及系统
WO2017092671A1 (zh) * 2015-12-04 2017-06-08 华为技术有限公司 虚拟机管理的方法、装置和系统
CN107425973A (zh) * 2017-05-05 2017-12-01 中国联合网络通信集团有限公司 公钥修改方法及装置
CN107579823A (zh) * 2017-10-10 2018-01-12 郑州云海信息技术有限公司 一种虚拟机登录密码重置方法和装置
CN107577516A (zh) * 2017-07-28 2018-01-12 华为技术有限公司 虚拟机密码重置方法、装置和系统
CN107770195A (zh) * 2017-11-27 2018-03-06 甘肃万维信息技术有限责任公司 基于云环境跨域身份认证系统及其使用方法
CN108540301A (zh) * 2017-03-03 2018-09-14 华为技术有限公司 一种预置账户的密码初始化方法及相关设备
CN109002344A (zh) * 2018-06-12 2018-12-14 广东睿江云计算股份有限公司 一种云管理平台重置kvm虚拟机密码的方法
CN110268406A (zh) * 2017-02-09 2019-09-20 微软技术许可有限责任公司 密码安全性
CN110266646A (zh) * 2019-05-21 2019-09-20 东软集团股份有限公司 服务主机、密码管理方法及存储介质
CN110442426A (zh) * 2019-07-25 2019-11-12 腾讯科技(深圳)有限公司 一种密码重置方法、装置及存储介质
CN110471744A (zh) * 2019-08-20 2019-11-19 北京首都在线科技股份有限公司 密码修改方法、装置、设备和计算机可读存储介质
US20220109579A1 (en) * 2020-10-01 2022-04-07 Robert Bosch Gmbh Method for the digital signing of a message
CN114553462A (zh) * 2021-12-28 2022-05-27 中国电信股份有限公司 云主机密码重置方法、平台系统、设备系统及存储介质

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109977663A (zh) * 2019-03-14 2019-07-05 四川长虹电器股份有限公司 防止Android智能终端设备被恶意root提权的方法
CN113572605A (zh) * 2021-07-27 2021-10-29 北京天融信网络安全技术有限公司 一种密码重置方法、装置、存储介质及电子设备
CN113949551A (zh) * 2021-10-12 2022-01-18 中安网脉(北京)技术股份有限公司 一种基于通道隔离的虚拟化云密码服务系统及其实现方法
CN116361776B (zh) * 2023-05-30 2023-08-25 三未信安科技股份有限公司 一种密码卡资源池化管理系统、方法、存储介质及产品

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102307177A (zh) * 2010-09-25 2012-01-04 广东电子工业研究院有限公司 面向windows虚拟机的一次性密码管理系统及其方法
CN102546601A (zh) * 2011-12-19 2012-07-04 广州杰赛科技股份有限公司 云计算终端接入虚拟机的辅助装置
US20130227296A1 (en) * 2012-02-23 2013-08-29 Hon Hai Precision Industry Co., Ltd. Virtual machine operation security system and method
CN104424431A (zh) * 2013-08-30 2015-03-18 腾讯科技(深圳)有限公司 一种重置虚拟机用户登陆密码的方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105530246B (zh) * 2015-12-04 2018-10-09 华为技术有限公司 虚拟机管理的方法、装置和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102307177A (zh) * 2010-09-25 2012-01-04 广东电子工业研究院有限公司 面向windows虚拟机的一次性密码管理系统及其方法
CN102546601A (zh) * 2011-12-19 2012-07-04 广州杰赛科技股份有限公司 云计算终端接入虚拟机的辅助装置
US20130227296A1 (en) * 2012-02-23 2013-08-29 Hon Hai Precision Industry Co., Ltd. Virtual machine operation security system and method
CN104424431A (zh) * 2013-08-30 2015-03-18 腾讯科技(深圳)有限公司 一种重置虚拟机用户登陆密码的方法及装置

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017092671A1 (zh) * 2015-12-04 2017-06-08 华为技术有限公司 虚拟机管理的方法、装置和系统
CN106293847B (zh) * 2016-08-17 2019-05-14 浪潮电子信息产业股份有限公司 一种虚拟化平台服务支撑的方法
CN106293847A (zh) * 2016-08-17 2017-01-04 浪潮电子信息产业股份有限公司 一种虚拟化平台服务支撑的方法
CN106529241A (zh) * 2016-11-18 2017-03-22 郑州云海信息技术有限公司 一种虚拟机用户账号及密码重置方法及系统
CN110268406B (zh) * 2017-02-09 2023-06-16 微软技术许可有限责任公司 密码安全性
CN110268406A (zh) * 2017-02-09 2019-09-20 微软技术许可有限责任公司 密码安全性
CN108540301B (zh) * 2017-03-03 2021-01-12 华为技术有限公司 一种预置账户的密码初始化方法及相关设备
CN108540301A (zh) * 2017-03-03 2018-09-14 华为技术有限公司 一种预置账户的密码初始化方法及相关设备
CN107425973A (zh) * 2017-05-05 2017-12-01 中国联合网络通信集团有限公司 公钥修改方法及装置
CN107425973B (zh) * 2017-05-05 2020-03-31 中国联合网络通信集团有限公司 公钥修改方法及装置
CN107577516B (zh) * 2017-07-28 2020-08-14 华为技术有限公司 虚拟机密码重置方法、装置和系统
WO2019020034A1 (zh) * 2017-07-28 2019-01-31 华为技术有限公司 虚拟机密码重置方法、装置和系统
US11714669B2 (en) 2017-07-28 2023-08-01 Huawei Cloud Computing Technologies Co., Ltd. Virtual machine password reset method, apparatus, and system
CN107577516A (zh) * 2017-07-28 2018-01-12 华为技术有限公司 虚拟机密码重置方法、装置和系统
CN107579823A (zh) * 2017-10-10 2018-01-12 郑州云海信息技术有限公司 一种虚拟机登录密码重置方法和装置
CN107770195B (zh) * 2017-11-27 2024-01-09 中电万维信息技术有限责任公司 基于云环境跨域身份认证系统及其使用方法
CN107770195A (zh) * 2017-11-27 2018-03-06 甘肃万维信息技术有限责任公司 基于云环境跨域身份认证系统及其使用方法
CN109002344B (zh) * 2018-06-12 2021-01-15 广东睿江云计算股份有限公司 一种云管理平台重置kvm虚拟机密码的方法
CN109002344A (zh) * 2018-06-12 2018-12-14 广东睿江云计算股份有限公司 一种云管理平台重置kvm虚拟机密码的方法
CN110266646A (zh) * 2019-05-21 2019-09-20 东软集团股份有限公司 服务主机、密码管理方法及存储介质
CN110442426A (zh) * 2019-07-25 2019-11-12 腾讯科技(深圳)有限公司 一种密码重置方法、装置及存储介质
CN110442426B (zh) * 2019-07-25 2023-09-26 腾讯科技(深圳)有限公司 一种密码重置方法、装置及存储介质
CN110471744A (zh) * 2019-08-20 2019-11-19 北京首都在线科技股份有限公司 密码修改方法、装置、设备和计算机可读存储介质
CN110471744B (zh) * 2019-08-20 2021-11-30 北京首都在线科技股份有限公司 密码修改方法、装置、设备和计算机可读存储介质
US20220109579A1 (en) * 2020-10-01 2022-04-07 Robert Bosch Gmbh Method for the digital signing of a message
CN114553462A (zh) * 2021-12-28 2022-05-27 中国电信股份有限公司 云主机密码重置方法、平台系统、设备系统及存储介质

Also Published As

Publication number Publication date
WO2017092671A1 (zh) 2017-06-08
CN105530246B (zh) 2018-10-09

Similar Documents

Publication Publication Date Title
CN105530246A (zh) 虚拟机管理的方法、装置和系统
US11706205B2 (en) Extending single-sign-on to relying parties of federated logon providers
KR101722631B1 (ko) 프록시를 사용하여 자원들에의 보안 액세스
JP6732800B2 (ja) 位置に基づくデバイスの有効化
KR102037875B1 (ko) 기업 애플리케이션 스토어의 제공
US10547595B2 (en) Restricting guest instances in a shared environment
US11153284B2 (en) Systems and methods for transparent SaaS data encryption and tokenization
CN112997153B (zh) 用于经由嵌入式浏览器跨不同的saas应用的一致的执行策略的系统和方法
CN113316783A (zh) 使用活动目录和一次性口令令牌组合的双因素身份认证
EP3935537B1 (en) Secure execution guest owner environmental controls
US20210182440A1 (en) System for preventing access to sensitive information and related techniques
CN113557509A (zh) 将安全客户机的安全密钥绑定到硬件安全模块
US11544415B2 (en) Context-aware obfuscation and unobfuscation of sensitive content
EP3651051A1 (en) Systems and methods for a saas lens to view obfuscated content
EP2790123B1 (en) Generating A Data Audit Trail For Cross Perimeter Data Transfer
US20240129289A1 (en) User certificate with user authorizations

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220215

Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province

Patentee after: Huawei Cloud Computing Technology Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.