CN106453313A - 基于云计算平台的虚拟机安全验证系统及方法 - Google Patents
基于云计算平台的虚拟机安全验证系统及方法 Download PDFInfo
- Publication number
- CN106453313A CN106453313A CN201610897418.6A CN201610897418A CN106453313A CN 106453313 A CN106453313 A CN 106453313A CN 201610897418 A CN201610897418 A CN 201610897418A CN 106453313 A CN106453313 A CN 106453313A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- virtual machine
- key
- cloud computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于云计算及其安全验证的技术领域,由其涉及一种基于云计算平台的虚拟机安全验证系统及方法。该包括如下步骤:S1,客户端向认证服务器发送请求;S2,认证服务器回复客户端;S3,客户端向授权服务器请求秘钥分配器对服务器的访问;S4,当授权服务器验证结束后,将授权客户端访问服务器;S5,客户访问服务器,服务器回复客户端。该方法根据云计算系统中虚拟机的配置环境进行双向的安全验证机制,保障了虚拟机客户端的访问安全。在数据传输的各个环节对加载的用户进行身份认证,防止数据信息的非法加载和因系统漏洞而造成的恶意攻击,从而防止了用户信息泄露。
Description
技术领域
本发明属于云计算及其安全验证的技术领域,由其涉及一种基于云计算平台的虚拟机安全验证系统及方法。
背景技术
随着计算机技术的快速发展,云计算和虚拟机的应用也日益广泛,云计算描述了“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施的使用。这些组件可以迅速策划、置备、部署和退役,并且可以迅速扩展或缩减,提供按需的、效用计算类似的分配和消费模式。一般来说,云计算的服务模式可以分为IaaS(云基础设施作为服务)、PaaS(云平台作为服务)、SaaS(云软件作为服务)。
虚拟化是云计算的关键技术之一,它也是IaaS云服务的重要元素之一。虚拟化技术带来的益处很多,包括可以实现多租户,更高的系统效率等。然而,虚拟化也带来了很多的安全问题。例如,Hypervisor层的安全漏洞,CPU和内存的安全使用,虚拟机系统安全管理,虚拟机系统镜像安全等。随着云计算的发展,虚拟机系统的安全问题越来越受到关注。
然而,现有技术中并未给出具体有效的安全解决方案,使得在虚拟机通信过程中存在大量的不安全隐患,因此,传统的虚拟机安全验证方法的安全性有待提高。
发明内容
针对现有技术中存在的虚拟机安全验证方法的安全性的问题而提出本发明,为此,本发明的主要目的在于提供一种基于云计算平台的虚拟机安全验证系统及方法,以解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供一种基于云计算平台的虚拟机安全验证系统,包括如下模块:
客户端,服务器,秘钥分配器,认证服务器,授权服务器;
所述客户端分别与所述服务器、所述认证服务器和所述授权服务器连接;所述秘钥分配器与所述认证服务器和所述授权服务器连接。
为了实现上述目的,根据本发明的另一方面,提供了一种采用上述系统的虚拟机安全验证方法,包括如下步骤:
S1,客户端向认证服务器发送请求;
S2,认证服务器回复客户端;
S3,客户端向授权服务器请求秘钥分配器对服务器的访问;
S4,当授权服务器验证结束后,将授权客户端访问服务器;
S5,客户访问服务器,服务器回复客户端。
优选的,步骤S1中的请求内容包括:客户端代码、请求的时间戳、客户端的IP地址和授权服务器代码。
优选的,步骤S2中回复客户端的内容包括:客户的加密密钥、授权票据的时间戳。
优选的,步骤S3中客户端请求的内容包括:请求访问的服务的类型、授权票据和经加密的认证符。
优选的,步骤S5具体包括:
S51,客户向服务器发送包括客户会话的秘钥加密信息;
S52,服务器经过解密后,得到用户信息;
S53,客户端验证时间戳,确认服务器为目标服务器。
在本发明的各个优选实施方式中,根据云计算系统中虚拟机的配置环境进行双向的安全验证机制,保障了虚拟机客户端的访问安全。在数据传输的各个环节对加载的用户进行身份认证,防止数据信息的非法加载,防止因系统漏洞而造成的恶意攻击,从而防止了用户信息泄露。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利 要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1是本发明的基于云计算平台的虚拟机安全验证系统的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
根据本发明的一个方面,提供一种基于云计算平台的虚拟机安全验证系统,如附图1所示,包括如下模块:
客户端,服务器,秘钥分配器,认证服务器,授权服务器;
所述客户端分别与所述服务器、所述认证服务器和所述授权服务器连接;所述秘钥分配器与所述认证服务器和所述授权服务器连接。
为了实现上述目的,根据本发明的另一方面,提供了一种采用上述系统的虚拟机安全验证方法,包括如下步骤:
S1,客户端向认证服务器发送请求;
S2,认证服务器回复客户端;
S3,客户端向授权服务器请求秘钥分配器对服务器的访问;
S4,当授权服务器验证结束后,将授权客户端访问服务器;
S5,客户访问服务器,服务器回复客户端。
优选的,步骤S1中的请求内容包括:客户端代码、请求的时间戳、客户端的IP地址和授权服务器代码。
客户端向认证服务器发送请求的请求内容包括:C: Client,我是谁。TGS: 访问哪个票据授权服务器,可以是本域的,也可以是其他域的。Timestamp: 时间戳。此外,还包括IP Address。其中,请求以明文发送。这个过程没有任何密码以明文形式发送。
优选的,步骤S2中回复客户端的内容包括:客户的加密密钥、授权票据的时间戳。
内容由Kc加密,它是客户的加密密钥,多由客户的密码通过哈希算法得到,认证服务器的数据库里面有客户的密钥,客户自己也有这个密钥,解开这个回复。该回复包含两部分,第一部分Kc,是客户端和票据授权服务器之间的共享的会话密钥,第二部分是访问的票据。
优选的,步骤S3中客户端请求的内容包括:请求访问的服务的类型、授权票据和经加密的认证符。
用自己的密钥解开,得到客户的信息,和与客户交互使用的密钥Kc,拿到认证符,用密钥解密,也得到客户的信息。通过比较,发现用户自己提供的信息,和认证服务器提供的信息一致,则可以访问服务器。
优选的,步骤S5具体包括:
S51,客户向服务器发送包括客户会话的秘钥加密信息;
S52,服务器经过解密后,得到用户信息;
S53,客户端验证时间戳,确认服务器为目标服务器。
当服务器拿到授权服务器给客户的票据后,用自己的密钥解开,得到客户的信息,以及将来和客户交互使用的会话密钥,服务器拿到客户的认证符,用秘钥解密后,得到客户的信息,信息比较一致,则客户可以访问服务器。
在本发明的各个优选实施方式中,根据云计算系统中虚拟机的配置环境进行双向的安全验证机制,保障了虚拟机客户端的访问安全。在数据传输的各个环节对加载的用户进行身份认证,防止数据信息的非法加载和因系统漏洞而造成的恶意攻击,从而防止了用户信息泄露。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于云计算平台的虚拟机安全验证系统,其特征在于,包括如下模块:
客户端,服务器,秘钥分配器,认证服务器,授权服务器;
所述客户端分别与所述服务器、所述认证服务器和所述授权服务器连接;所述秘钥分配器与所述认证服务器和所述授权服务器连接。
2.一种采用权利要求1所述系统的虚拟机安全验证方法,其特征在于,包括如下步骤:
S1,客户端向认证服务器发送请求;
S2,认证服务器回复客户端;
S3,客户端向授权服务器请求秘钥分配器对服务器的访问;
S4,当授权服务器验证结束后,将授权客户端访问服务器;
S5,客户访问服务器,服务器回复客户端。
3.如权利要求2所述的虚拟机安全验证方法,其特征在于,步骤S1中的请求内容包括:客户端代码、请求的时间戳、客户端的IP地址和授权服务器代码。
4.如权利要求2所述的虚拟机安全验证方法,其特征在于,步骤S2中回复客户端的内容包括:客户的加密密钥、授权票据的时间戳。
5.如权利要求2所述的虚拟机安全验证方法,其特征在于,步骤S3中客户端请求的内容包括:请求访问的服务的类型、授权票据和经加密的认证符。
6.如权利要求2所述的虚拟机安全验证方法,其特征在于,步骤S5具体包括:
S51,客户向服务器发送包括客户会话的秘钥加密信息;
S52,服务器经过解密后,得到用户信息;
S53,客户端验证时间戳,确认服务器为目标服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610897418.6A CN106453313A (zh) | 2016-10-15 | 2016-10-15 | 基于云计算平台的虚拟机安全验证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610897418.6A CN106453313A (zh) | 2016-10-15 | 2016-10-15 | 基于云计算平台的虚拟机安全验证系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106453313A true CN106453313A (zh) | 2017-02-22 |
Family
ID=58174373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610897418.6A Pending CN106453313A (zh) | 2016-10-15 | 2016-10-15 | 基于云计算平台的虚拟机安全验证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106453313A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108712443A (zh) * | 2018-06-07 | 2018-10-26 | 郑州云海信息技术有限公司 | 云管理平台中连接虚拟机的方法和装置 |
| CN109525396A (zh) * | 2018-09-30 | 2019-03-26 | 华为技术有限公司 | 一种身份秘钥的处理方法、装置和服务器 |
| CN109862024A (zh) * | 2019-02-27 | 2019-06-07 | 苏州浪潮智能科技有限公司 | 一种云管理系统的网络授权协议访问控制方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103347073A (zh) * | 2013-07-02 | 2013-10-09 | 北京大学 | 一种云管理行为安全控制方法和系统 |
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
| CN104660583A (zh) * | 2014-12-29 | 2015-05-27 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
| US20160050070A1 (en) * | 2013-04-12 | 2016-02-18 | Nec Europe Ltd. | Method and system for accessing device by a user |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
-
2016
- 2016-10-15 CN CN201610897418.6A patent/CN106453313A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160050070A1 (en) * | 2013-04-12 | 2016-02-18 | Nec Europe Ltd. | Method and system for accessing device by a user |
| CN103347073A (zh) * | 2013-07-02 | 2013-10-09 | 北京大学 | 一种云管理行为安全控制方法和系统 |
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
| CN104660583A (zh) * | 2014-12-29 | 2015-05-27 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张国印: "虚拟云桌面认证与安全传输技术研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108712443A (zh) * | 2018-06-07 | 2018-10-26 | 郑州云海信息技术有限公司 | 云管理平台中连接虚拟机的方法和装置 |
| CN109525396A (zh) * | 2018-09-30 | 2019-03-26 | 华为技术有限公司 | 一种身份秘钥的处理方法、装置和服务器 |
| CN109862024A (zh) * | 2019-02-27 | 2019-06-07 | 苏州浪潮智能科技有限公司 | 一种云管理系统的网络授权协议访问控制方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9875368B1 (en) | Remote authorization of usage of protected data in trusted execution environments | |
| WO2021179449A1 (zh) | 一种基于证书身份认证的拟态防御系统及证书签发方法 | |
| US9846778B1 (en) | Encrypted boot volume access in resource-on-demand environments | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| US10320773B2 (en) | Validation for requests | |
| TWI542183B (zh) | 由多租戶服務提供者所為之動態平台重新組配技術 | |
| JP2022545627A (ja) | 分散化されたデータ認証 | |
| US10642664B2 (en) | System and method for securing an inter-process communication via a named pipe | |
| CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
| JP2023502346A (ja) | 量子安全ネットワーキング | |
| CN103905466B (zh) | 一种存储系统数据访问控制系统及其方法 | |
| CN103003822A (zh) | 对平台资源的域认证控制 | |
| CN104969201A (zh) | 用于调用特权操作的安全接口 | |
| CN105430014B (zh) | 一种单点登录方法及其系统 | |
| CN106789059B (zh) | 一种基于可信计算的远程双向访问控制系统及方法 | |
| CN104980477A (zh) | 云存储环境下的数据访问控制方法和系统 | |
| KR20170106515A (ko) | 다중 팩터 인증 기관 | |
| JP6590807B2 (ja) | プライバシー機密情報の交換を制御するための方法およびシステム | |
| CN106453313A (zh) | 基于云计算平台的虚拟机安全验证系统及方法 | |
| US20160140329A1 (en) | Enhanced security mechanism for authentication of users of a system | |
| US10516655B1 (en) | Encrypted boot volume access in resource-on-demand environments | |
| Khalil et al. | TPM-based authentication mechanism for apache hadoop | |
| US9621546B2 (en) | Method of generating one-time password and apparatus for performing the same | |
| CN111563279A (zh) | 一种基于区块链的云数据隐私保护系统 | |
| Kirar et al. | An efficient architecture and algorithm to prevent data leakage in Cloud Computing using multi-tier security approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170222 |