CN108009423B - 一种虚拟机口令处理方法、系统及一种口令生成工具 - Google Patents
一种虚拟机口令处理方法、系统及一种口令生成工具 Download PDFInfo
- Publication number
- CN108009423B CN108009423B CN201711257020.7A CN201711257020A CN108009423B CN 108009423 B CN108009423 B CN 108009423B CN 201711257020 A CN201711257020 A CN 201711257020A CN 108009423 B CN108009423 B CN 108009423B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- password
- password generation
- message
- generation tool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 13
- 238000012544 monitoring process Methods 0.000 claims abstract description 65
- 238000000034 method Methods 0.000 claims abstract description 53
- 230000008569 process Effects 0.000 claims abstract description 40
- 238000012790 confirmation Methods 0.000 claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims description 33
- 238000012545 processing Methods 0.000 claims description 26
- 238000004891 communication Methods 0.000 claims description 16
- 238000003860 storage Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 description 25
- 230000007246 mechanism Effects 0.000 description 5
- 230000008439 repair process Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
Abstract
本发明提供了一种虚拟机口令处理方法、系统及一种口令生成工具,该方法包括:虚拟机中的口令生成工具在确定出该虚拟机完成启动时,根据内部存储的口令生成策略生成虚拟机口令;经预设的消息通道,将虚拟机口令发送给外部的消息监控平台;在接收到消息监控平台返回的确认消息时,将虚拟机的访问密码设置为该虚拟机口令;然后执行自毁处理。利用虚拟机中的口令生成工具自动生成口令,并以该口令作为虚拟机的访问密码,且口令生成工具执行自毁以避免工具相关信息泄露。因此,本方案能够提高虚拟机的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种虚拟机口令处理方法、系统及一种口令生成工具。
背景技术
随着云平台推广以及虚拟化资源的使用率不断提高,托管机器资源对于安全性的要求也在不断提高。虚拟机登录密码简易时,易被病毒或者非法访问所攻破。更为严重的,一旦一台机器被攻破,就会被非法访问者获得其有效密码,继而导致同一集群中的其他使用相同密码的虚拟机相继被攻破。
目前,运维人员可以在模板中人为预设初始口令。利用模板以完成虚拟机构建后,这一初始口令即可以作为虚拟机的访问密码。
但是,虚拟机口令的人为设置使得虚拟机的安全性较低。
发明内容
本发明提供了一种虚拟机口令处理方法、系统及一种口令生成工具,能够提高虚拟机的安全性。
为了达到上述目的,本发明是通过如下技术方案实现的:
第一方面,本发明提供了一种虚拟机口令处理方法,应用于虚拟机中的口令生成工具,包括:
S1:在确定出所述虚拟机完成启动时,根据内部存储的口令生成策略,生成虚拟机口令;
S2:经预设的消息通道,将所述虚拟机口令发送给外部的消息监控平台;
S3:在接收到所述消息监控平台返回的确认消息时,将所述虚拟机的访问密码设置为所述虚拟机口令;
S4:执行自毁处理。
进一步地,所述消息通道包括:因特网,或,所述消息监控平台对应的专用消息通道。
进一步地,在S2之前进一步包括:判断所述消息通道是否完成初始化,若是,执行S2,否则,生成相应的第一错误信息,并将所述第一错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机,并结束当前流程。
进一步地,该方法进一步包括:在确定出存在异常情况时,生成相应的第二错误信息,并将所述第二错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机;在确定出所述消息通道已完成初始化时,经所述消息通道,将所述第二错误信息发送给所述消息监控平台;
所述异常情况包括:所述口令生成工具启动失败、所述口令生成策略加载失败、无法生成所述虚拟机口令、生成的所述虚拟机口令异常、预设时间段内未接收到所述确认消息、无法设置所述访问密码、所述自毁处理执行失败中的任意一种。
进一步地,所述口令生成工具中预存有至少一个口令生成策略;
所述根据内部存储的口令生成策略,生成虚拟机口令,包括:从所述至少一个口令生成策略中随机确定出一口令生成策略,并根据确定出的口令生成策略,生成虚拟机口令。
进一步地,在S3之后、S4之前,进一步包括:将所述虚拟机的访问状态由拒绝访问更改为允许访问。
第二方面,本发明提供了一种口令生成工具,所述口令生成工具位于虚拟机中,包括:主流程脚本、口令策略库、通信功能接口、自毁脚本;
所述主流程脚本,用于在确定出所述虚拟机完成启动时,触发所述口令策略库;基于所述通信功能接口,经预设的消息通道,将所述口令策略库发来的虚拟机口令发送给外部的消息监控平台;基于所述通信功能接口,在接收到所述消息监控平台返回的确认消息时,将所述虚拟机的访问密码设置为所述虚拟机口令,并启动所述自毁脚本;
所述口令策略库,用于根据内部存储的口令生成策略,生成虚拟机口令,将所述虚拟机口令发送给所述主流程脚本;
所述自毁脚本,用于执行自毁处理。
进一步地,所述消息通道包括:因特网,或,所述消息监控平台对应的专用消息通道。
进一步地,所述主流程脚本,还用于判断所述消息通道是否完成初始化,若是,执行所述基于所述通信功能接口,经预设的消息通道,将所述口令策略库发来的虚拟机口令发送给外部的消息监控平台,否则,生成相应的第一错误信息,并将所述第一错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机,并结束。
进一步地,所述主流程脚本,还用于在确定出存在异常情况时,生成相应的第二错误信息,并将所述第二错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机;在确定出所述消息通道已完成初始化时,基于所述通信功能接口,经所述消息通道,将所述第二错误信息发送给所述消息监控平台;
所述异常情况包括:所述口令生成工具启动失败、所述口令生成策略加载失败、无法生成所述虚拟机口令、生成的所述虚拟机口令异常、预设时间段内未接收到所述确认消息、无法设置所述访问密码、所述自毁处理执行失败中的任意一种。
进一步地,所述口令策略库中预存有至少一个口令生成策略;
所述口令策略库,具体用于从所述至少一个口令生成策略中随机确定出一口令生成策略,并根据确定出的口令生成策略,生成虚拟机口令。
进一步地,所述主流程脚本,还用于在将所述虚拟机的访问密码设置为所述虚拟机口令之后,将所述虚拟机的访问状态由拒绝访问更改为允许访问,然后执行所述启动所述自毁脚本。
第三方面,本发明提供了一种虚拟机口令处理系统,包括:
至少一个上述任一所述的口令生成工具、每一个所述口令生成工具对应的虚拟机、虚拟机总控制台;
每一个所述口令生成工具均位于与其相对应的虚拟机中;
每一个所述虚拟机,均用于在接收到所述虚拟机总控制台的启动命令时,执行启动处理,以及在完成启动时通知内部的口令生成工具。
进一步地,该口令生成系统还包括:消息监控平台,用于在接收到任一所述口令生成工具发来的虚拟机口令时,向该口令生成工具返回确认消息;在接收到任一所述口令生成工具发来的错误信息时,执行异常处理。
本发明提供了一种虚拟机口令处理方法、系统及一种口令生成工具,该方法包括:虚拟机中的口令生成工具在确定出该虚拟机完成启动时,根据内部存储的口令生成策略生成虚拟机口令;经预设的消息通道,将虚拟机口令发送给外部的消息监控平台;在接收到消息监控平台返回的确认消息时,将虚拟机的访问密码设置为该虚拟机口令;然后执行自毁处理。利用虚拟机中的口令生成工具自动生成口令,并以该口令作为虚拟机的访问密码,且口令生成工具执行自毁以避免工具相关信息泄露。因此,本发明能够提高虚拟机的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种虚拟机口令处理方法的流程图;
图2是本发明一实施例提供的另一种虚拟机口令处理方法的流程图;
图3是本发明一实施例提供的一种口令生成工具的示意图;
图4是本发明一实施例提供的一种虚拟机口令处理系统的示意图;
图5是本发明一实施例提供的另一种虚拟机口令处理系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种虚拟机口令处理方法,应用于虚拟机中的口令生成工具,可以包括以下步骤:
步骤101:在确定出所述虚拟机完成启动时,根据内部存储的口令生成策略,生成虚拟机口令。
步骤102:经预设的消息通道,将所述虚拟机口令发送给外部的消息监控平台。
步骤103:在接收到所述消息监控平台返回的确认消息时,将所述虚拟机的访问密码设置为所述虚拟机口令。
步骤104:执行自毁处理。
本发明实施例提供了一种虚拟机口令处理方法,虚拟机中的口令生成工具在确定出该虚拟机完成启动时,根据内部存储的口令生成策略生成虚拟机口令;经预设的消息通道,将虚拟机口令发送给外部的消息监控平台;在接收到消息监控平台返回的确认消息时,将虚拟机的访问密码设置为该虚拟机口令;然后执行自毁处理。利用虚拟机中的口令生成工具自动生成口令,并以该口令作为虚拟机的访问密码,且口令生成工具执行自毁以避免工具相关信息泄露。因此,本发明实施例能够提高虚拟机的安全性。
在本发明一个实施例中,集群环境的管理人员或者运维人员,可以将口令生成工具相关组件预制进一模板系统中,并进行自启动设置。模板系统配置完毕后即可以该模板系统为模板,以生成系统镜像。
如此,基于这一系统镜像,可以进行虚拟机的搭建。通常情况下,基于同一系统镜像,可以搭建若干虚拟机。同时,由于已将口令生成工具相关组件预制进模板系统中,故搭建出的各虚拟机中均包括这一口令生成工具。
在本发明一个实施例中,可以由一虚拟机总控制台,利用生成的系统镜像与物理服务器资源,以搭建虚拟机。
同时,由于运维人员进行了自启动设置,故虚拟机完成启动后,其中的口令生成工具即可自启动。
在本发明一个实施例中,任一虚拟机在完成启动后,可以通知其中的口令生成工具,如此,该口令生成工具可以确定出虚拟机已完成启动。
当然,在本发明另一实施例中,对于任一虚拟机,当该虚拟机完成启动时,其中的口令生成工具可以监测到这一操作,故同样可以确定出虚拟机已完成启动。
在本发明一个实施例中,所述口令生成工具中预存有至少一个口令生成策略;
所述根据内部存储的口令生成策略,生成虚拟机口令,包括:从所述至少一个口令生成策略中随机确定出一口令生成策略,并根据确定出的口令生成策略,生成虚拟机口令。
详细地,口令生成工具中可以预存有至少一个口令生成策略,当需要生成虚拟机口令时,可以随机选择其一,并根据选择出的口令生成策略,来生成虚拟机口令。通常情况下,生成的这一虚拟机口令较为复杂。
当然,在本发明另一实施例中,运维人员也可以对口令生成工具的相关配置信息进行按需设置,比如可以不设置为随机选择口令生成策略,而预先确定好一口令生成策略,如此,口令生成工具将直接根据这一确定好的口令生成策略来生成虚拟机口令。
详细地,步骤101中生成的虚拟机口令可以作为虚拟机的访问密码,故口令生成工具在生成虚拟机口令后,可以将其发送给外部的第三方,如此,运维人员即可从该第三方中获取到这一虚拟机口令,从而根据该虚拟机口令远程登录虚拟机。
基于此,在本发明的一个实施例中,所述消息通道包括:因特网,或,所述消息监控平台对应的专用消息通道。
详细地,消息通道可以为因特网,也可以为特殊消息通道。本发明实施例中,可以将将除因特网以外的所有通道统称为特殊消息通道。比如,消息监控平台这一第三方对应的专用消息通道即可以为一特殊消息通道。当然,利用该专用消息通道以传输信息时,无需联网。
在本发明一个实施例中,在上述进行自启动设置的同时,运维人员还可以根据具体集群环境,指定发送消息方式,即确定消息通道。
通常情况下,无论是因特网还是特殊消息通道,均需要进行初始化。如此,在向消息监控平台发送虚拟机口令时,首先需要保证消息通道已完成初始化。
因此,在本发明的一个实施例中,在步骤102之前进一步包括:判断所述消息通道是否完成初始化,若是,执行步骤102,否则,生成相应的第一错误信息,并将所述第一错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机,并结束当前流程。
详细地,上述第一错误信息可以包括消息通道未完成初始化,以及可以包括未能完成初始化的具体起因。
详细地,若消息通道初始化异常,通常不能成功将虚拟机口令发送至消息监控平台,故可以生成相应的错误信息,并将该错误信息输出至虚拟机的物理文件中。比如,可以将错误信息记入日志文件,并输出日志文件到机器磁盘卷。
如此,由于消息监控平台未能接收到虚拟机口令,运维人员即可认为存在异常。同时由于生成的错误信息不能发送至消息监控平台,故运维人员可以通过查看虚拟机磁盘卷内的日志文件,以明确异常起因,从而可以针对异常进行修复,比如可以重新搭建虚拟机。
既然存在异常,为避免异常因素所可能带来的虚拟机被非法攻破情况,在只要生成异常对应的错误信息,即可强制关闭虚拟机。
在本发明一个实施例中,该方法可以进一步包括:在确定出存在异常情况时,生成相应的第二错误信息,并将所述第二错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机;在确定出所述消息通道已完成初始化时,经所述消息通道,将所述第二错误信息发送给所述消息监控平台;
所述异常情况包括:所述口令生成工具启动失败、所述口令生成策略加载失败、无法生成所述虚拟机口令、生成的所述虚拟机口令异常、预设时间段内未接收到所述确认消息、无法设置所述访问密码、所述自毁处理执行失败中的任意一种。
详细地,口令生成工具启动失败可以包括工具读取路径错误、工具安装失败等。
详细地,无法设置所述访问密码可以包括工具权限不足,修改命令错误等。
详细地,自毁处理执行失败可以包括自毁脚本启动失败、自毁过程受到影响等。
详细地,对于口令生成工具启动失败、口令生成策略加载失败、无法生成虚拟机口令、生成的虚拟机口令异常等任一异常情况,这些异常情况通常是在步骤102之前所可能出现的。因此,在存在这些异常情况后,除了生成错误信息并存至虚拟机物理文件、强制关闭虚拟机之外,还可以进一步确定是否需要将错误信息发送给消息监控平台。如此,可以进一步判断消息通道是否能够完成初始化,若是,则发送该错误信息,该错误信息可以为当前存在的具体异常情况,若否,则不发送该错误信息。
详细地,对于预设时间段内未接收到所述确认消息、无法设置所述访问密码、所述自毁处理执行失败等任一异常情况,这些异常情况通常是在步骤102之前所可能出现的。因此,在存在这些异常情况后,由于消息通道已完成初始化,故除了生成错误信息并存至虚拟机物理文件、强制关闭虚拟机之外,还可以通过消息通道将生成的错误信息发送给消息监控平台。
本发明实施例中,对于上述第二错误信息,由于消息监控平台和虚拟机物理文件中均记录有错误信息,故运维人员一方面可以通过查看消息监控平台接收到的异常信息以进行修复,另一方面,同样可以直接查看虚拟机磁盘卷内的日志文件以进行修复。
在本发明一个实施例中,在步骤103之后、步骤104之前,进一步包括:将所述虚拟机的访问状态由拒绝访问更改为允许访问。
详细地,口令生成工具运行期间,虚拟机可以是拒绝远程访问的。如此,在口令生成工具成功将生成的虚拟机口令设置为虚拟机的访问密码之后,以及在进行自毁处理之前,口令生成工具对虚拟机状态进行修改,以允许远程访问。
如图2所示,本发明一个实施例提供了另一种虚拟机口令处理方法,具体包括以下步骤:
步骤201:集群环境的运维人员将口令生成工具相关组件预制进一模板系统中,并进行自启动设置。
本发明实施例中,该自启动设置可以包括:设置虚拟机启动后,虚拟机中的口令生成工具自启动;设置口令生成工具运行期间,虚拟机状态为拒绝任何访问;设置消息通道为因特网;设置口令生成策略选取方式为随机选取。
步骤202:模板系统配置完毕后,基于该模板系统以生成系统镜像。
详细地,运维人员将工具相关组件预制进模板系统中、进行自启动设置并检测消息队列通信状况,检测无误后,可以将模板系统打包成模板镜像。
通常情况下,生成的系统镜像文件可重复使用。生成好的镜像相当于是准备工作,交付人员在搭建虚拟机的时候除了第一次制作模板以外,其他场景均可针对搭建需求使用已经生成好的镜像文件,所以整个搭建流程耗时不会受制作镜像的时间影响。
步骤203:虚拟机总控制台基于系统镜像,搭建至少一个虚拟机。
详细地,可以由一虚拟机总控制台,利用生成的系统镜像与物理服务器资源,以搭建虚拟机。
详细地,搭建好的每一个虚拟机中,均存在一口令生成工具。
详细地,搭建虚拟机时,运维人员选择已经打包好的系统镜像后,可以通过hyper-v工具生成虚拟机。
步骤204:虚拟机总控制台针对至少一个虚拟机中的每一个虚拟机均执行:当监测到当前虚拟机搭建完毕时,控制当前虚拟机进行启动。
步骤205:当前虚拟机中的口令生成工具X在确定出当前虚拟机完成启动时,从内部存储的至少一个口令生成策略中随机确定出一口令生成策略。
详细地,口令生成工具中预存有至少一个口令生成策略。
详细地,虚拟机启动后,其中的口令生成工具自动执行,无需运维人员远程登录进行相关操作。
步骤206:口令生成工具X根据确定出的口令生成策略,生成虚拟机口令。
步骤207:口令生成工具X判断预设的消息通道是否完成初始化,若是,执行步骤208,否则,生成相应的第一错误信息,并将第一错误信息输出至虚拟机的物理文件中,以及触发预设的强制关机命令以关闭虚拟机,并结束当前流程。
对应地,消息监控平台当接收到口令生成工具X发来的第一错误信息时,可以执行异常处理,比如记录第一错误信息,并通知相应运维人员。
步骤208:口令生成工具X经消息通道,将虚拟机口令发送给消息监控平台。
步骤209:消息监控平台在接收到口令生成工具X发来的虚拟机口令时,向口令生成工具X返回确认消息。
详细地,消息监控平台在接收到该虚拟机口令时,可以对该虚拟机口令进行存储,并记录该虚拟机口令为上述当前虚拟机的访问密码。
详细地,消息监控平台可以将虚拟机口令发送给运维人员,运维人员即可根据该虚拟机口令作为访问密码,以远程登录虚拟机。
步骤210:口令生成工具X在接收到消息监控平台返回的确认消息时,将当前虚拟机的访问密码设置为虚拟机口令。
如此,用户远程访问上述当前虚拟机时,该当前虚拟机将根据该虚拟机口令,对用户远程访问所用的访问密码进行验证,经验证两者一致时,才允许访问。
详细地,可以利用生成的虚拟机口令对当前虚拟机的初始访问密码,或称初始口令进行更新替换。其中,当前虚拟机的初始口令可以为运维人员的预设密码。另外,当前虚拟机也可以没有初始口令,即初始口令为空。
步骤211:口令生成工具X将当前虚拟机的访问状态由拒绝访问更改为允许访问。
在本发明另一实施例中,口令生成工具X可以将这一更改处理的结果发送给消息监控平台。同时,口令生成工具X也可以在接收到消息监控平台的相应回复后,才继续执行步骤212。
步骤212:口令生成工具X执行自毁处理。
详细地,口令生成工具可以启动工具的自毁机制以实现自我毁灭,防止工具相关信息泄露。通常情况下,工具自毁后,虚拟机中将不存在工具任何相关组件或信息。
此外,在上述步骤205至步骤212的执行过程中,口令生成工具X可以同时对此执行过程中出现的各个异常情况进行监控,在确定出存在下述任一异常情况时,生成相应的第二错误信息,并将第二错误信息输出至虚拟机的物理文件中,以及触发预设的强制关机命令以关闭虚拟机;以及在确定出消息通道已完成初始化时,经消息通道,将第二错误信息发送给消息监控平台。
对应地,消息监控平台当接收到口令生成工具X发来的第二错误信息时,可以执行异常处理,比如记录第二错误信息,并通知相应运维人员。
详细地,上述异常情况包括:所述口令生成工具启动失败、口令生成策略加载失败、无法生成虚拟机口令、生成的虚拟机口令异常、预设时间段内未接收到确认消息、无法设置访问密码、自毁处理执行失败等。
如图3所示,本发明一个实施例提供了一种口令生成工具,所述口令生成工具位于虚拟机中,包括:
主流程脚本301、口令策略库302、通信功能接口303、自毁脚本304;
所述主流程脚本301,用于在确定出所述虚拟机完成启动时,触发所述口令策略库302;基于所述通信功能接口303,经预设的消息通道,将所述口令策略库302发来的虚拟机口令发送给外部的消息监控平台;基于所述通信功能接口303,在接收到所述消息监控平台返回的确认消息时,将所述虚拟机的访问密码设置为所述虚拟机口令,并启动所述自毁脚本304;
所述口令策略库302,用于根据内部存储的口令生成策略,生成虚拟机口令,将所述虚拟机口令发送给所述主流程脚本301;
所述自毁脚本304,用于执行自毁处理。
在本发明一个实施例中,主流程脚本可以读取口令策略库的口令生成接口以触发口令策略库。
在本发明一个实施例中,口令生成工具在全部工具相关流程成功执行完毕后,可以启动自毁脚本,以删除工具所有文件,从而防止信息泄露。详细地,这一全部工具相关流程可以包括:虚拟机口令生成成功、虚拟机口令发送给消息监控平台成功、修改虚拟机密码为虚拟机口令成功、控制虚拟机允许远程访问成功等。
通常情况下,自毁脚本主要用于删除工具所有组件,以及删除自毁脚本本身。
在本发明一个实施例中,口令生成工具执行过程中出现任何异常时,口令生成工具可以生成错误信息、将错误信息输入虚拟机的物理文件、强制关闭虚拟机、将错误信息经消息通道发送给消息监控平台等,但可以不启动自毁脚本。
在本发明一个实施例中,所述消息通道包括:因特网,或,所述消息监控平台对应的专用消息通道。
在本发明一个实施例中,所述主流程脚本301,还用于判断所述消息通道是否完成初始化,若是,执行所述基于所述通信功能接口303,经预设的消息通道,将所述口令策略库302发来的虚拟机口令发送给外部的消息监控平台,否则,生成相应的第一错误信息,并将所述第一错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机,并结束。
在本发明一个实施例中,所述主流程脚本301,还用于在确定出存在异常情况时,生成相应的第二错误信息,并将所述第二错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机;在确定出所述消息通道已完成初始化时,基于所述通信功能接口303,经所述消息通道,将所述第二错误信息发送给所述消息监控平台;
所述异常情况包括:所述口令生成工具启动失败、所述口令生成策略加载失败、无法生成所述虚拟机口令、生成的所述虚拟机口令异常、预设时间段内未接收到所述确认消息、无法设置所述访问密码、所述自毁处理执行失败中的任意一种。
在本发明一个实施例中,所述口令策略库302中预存有至少一个口令生成策略;
所述口令策略库302,具体用于从所述至少一个口令生成策略中随机确定出一口令生成策略,并根据确定出的口令生成策略,生成虚拟机口令。
在本发明一个实施例中,所述主流程脚本301,还用于在将所述虚拟机的访问密码设置为所述虚拟机口令之后,将所述虚拟机的访问状态由拒绝访问更改为允许访问,然后执行所述启动所述自毁脚本304。
如图4所示,本发明实施例提供了一种虚拟机口令处理系统,包括:至少一个上述任一所述的口令生成工具401、每一个所述口令生成工具401对应的虚拟机402、虚拟机总控制台403;
每一个所述口令生成工具401均位于与其相对应的虚拟机402中;
每一个所述虚拟机402,均用于在接收到所述虚拟机总控制台403的启动命令时,执行启动处理,以及在完成启动时通知内部的口令生成工具401。
详细地,虚拟机总控制台可以统一控制每一个虚拟机。详细地,虚拟机总控制台在确定出任一虚拟机搭建完成时,可以命令该虚拟机启动。
在本发明一个实施例中,请参考图5,该口令生成系统还包括:消息监控平台501,用于在接收到任一所述口令生成工具401发来的虚拟机口令时,向该口令生成工具401返回确认消息;在接收到任一所述口令生成工具401发来的错误信息时,执行异常处理。
通常情况下,对于消息监控平台来说,如果接收到虚拟机口令,则可以视为虚拟机工具正常运行,如果接收到异常信息,则可以由消息监控平台通知相关管理人员查看异常情况。
详细地,消息监控平台在接收到口令生成工具发来的虚拟机口令时,可以记录这一虚拟机口令为该口令生成工具所在的虚拟机的访问密码,并向该口令生成工具返回确认消息;在接收到发来的错误信息,如上述第一错误信息、第二错误信息等时,可以执行异常处理,如记录错误信息并通知相应运维人员。
对应地,运维人员在接收到消息监控平台的通知时,可以经消息监控平台查看错误信息,也可以直接查看虚拟机磁盘卷内的日志文件,从而可以相应修复,比如可以重新搭建虚拟机、重新启动虚拟机等。
综上所述,本发明实施例提供了一种集群机器口令自动生成工具,这一工具支持预先内嵌至系统镜像内部,通过该系统镜像搭建完毕虚拟机之后,工具会在初始启动时自动运行,并根据预制口令生成策略将虚拟机访问密码修改为符合口令标准的复杂密码,并将新密码传递至消息监控平台。这一整个流程一旦出现任何异常,将立刻停止密码生成操作,并记录相关错误信息,以及强制关机,不允许机器继续运行,直到由运维人员解决相关问题后重新启动机器并正常运行工具完成。
该口令生成工具可以解决以下几个关于虚拟机口令的痛点:在虚拟机初始化的时候就自动完成针对既定口令策略的复杂口令生成,而不是由资源交付人员手动生成,减少人为手动影响;增加了安全保护机制,如果不通过复杂口令交付环节,则无法正常使用搭建完毕的虚拟机;在整个交付过程完成之后,会启动工具的自毁机制,防止工具的相关信息被机器使用人员或其他人员获得,从而造成密码策略等相关算法文件泄露。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
综上所述,本发明的各个实施例至少具有如下有益效果:
1、本发明实施例中,虚拟机中的口令生成工具在确定出该虚拟机完成启动时,根据内部存储的口令生成策略生成虚拟机口令;经预设的消息通道,将虚拟机口令发送给外部的消息监控平台;在接收到消息监控平台返回的确认消息时,将虚拟机的访问密码设置为该虚拟机口令;然后执行自毁处理。利用虚拟机中的口令生成工具自动生成口令,并以该口令作为虚拟机的访问密码,且口令生成工具执行自毁以避免工具相关信息泄露。因此,本发明实施例能够提高虚拟机的安全性。
2、本发明实施例中,口令生成工具可以解决以下几个关于虚拟机口令的痛点:在虚拟机初始化的时候就自动完成针对既定口令策略的复杂口令生成,而不是由资源交付人员手动生成,减少人为手动影响;增加了安全保护机制,如果不通过复杂口令交付环节,则无法正常使用搭建完毕的虚拟机;在整个交付过程完成之后,会启动工具的自毁机制,防止工具的相关信息被机器使用人员或其他人员获得,从而造成密码策略等相关算法文件泄露。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃····〃”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (3)
1.一种虚拟机口令处理方法,其特征在于,应用于虚拟机中的口令生成工具,包括:
S1:在确定出所述虚拟机完成启动时,根据内部存储的口令生成策略,生成虚拟机口令;
S2:经预设的消息通道,将所述虚拟机口令发送给外部的消息监控平台;
S3:在接收到所述消息监控平台返回的确认消息时,将所述虚拟机的访问密码设置为所述虚拟机口令;
S4:执行自毁处理;
所述消息通道包括:因特网,或,所述消息监控平台对应的专用消息通道;
和/或,
在S2之前进一步包括:判断所述消息通道是否完成初始化,若是,执行S2,否则,生成相应的第一错误信息,并将所述第一错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机,并结束当前流程;
进一步包括:在确定出存在异常情况时,生成相应的第二错误信息,并将所述第二错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机;在确定出所述消息通道已完成初始化时,经所述消息通道,将所述第二错误信息发送给所述消息监控平台;
所述异常情况包括:所述口令生成工具启动失败、所述口令生成策略加载失败、无法生成所述虚拟机口令、生成的所述虚拟机口令异常、预设时间段内未接收到所述确认消息、无法设置所述访问密码、所述自毁处理执行失败中的任意一种;
所述口令生成工具中预存有至少一个口令生成策略;
所述根据内部存储的口令生成策略,生成虚拟机口令,包括:从所述至少一个口令生成策略中随机确定出一口令生成策略,并根据确定出的口令生成策略,生成虚拟机口令;
和/或,
在S3之后、S4之前,进一步包括:将所述虚拟机的访问状态由拒绝访问更改为允许访问。
2.一种口令生成工具,其特征在于,所述口令生成工具位于虚拟机中,包括:主流程脚本、口令策略库、通信功能接口、自毁脚本;
所述主流程脚本,用于在确定出所述虚拟机完成启动时,触发所述口令策略库;基于所述通信功能接口,经预设的消息通道,将所述口令策略库发来的虚拟机口令发送给外部的消息监控平台;基于所述通信功能接口,在接收到所述消息监控平台返回的确认消息时,将所述虚拟机的访问密码设置为所述虚拟机口令,并启动所述自毁脚本;
所述口令策略库,用于根据内部存储的口令生成策略,生成虚拟机口令,将所述虚拟机口令发送给所述主流程脚本;
所述自毁脚本,用于执行自毁处理;
所述消息通道包括:因特网,或,所述消息监控平台对应的专用消息通道;
和/或,
所述主流程脚本,还用于判断所述消息通道是否完成初始化,若是,执行所述基于所述通信功能接口,经预设的消息通道,将所述口令策略库发来的虚拟机口令发送给外部的消息监控平台,否则,生成相应的第一错误信息,并将所述第一错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机,并结束;
所述主流程脚本,还用于在确定出存在异常情况时,生成相应的第二错误信息,并将所述第二错误信息输出至所述虚拟机的物理文件中,以及触发预设的强制关机命令以关闭所述虚拟机;在确定出所述消息通道已完成初始化时,基于所述通信功能接口,经所述消息通道,将所述第二错误信息发送给所述消息监控平台;
所述异常情况包括:所述口令生成工具启动失败、所述口令生成策略加载失败、无法生成所述虚拟机口令、生成的所述虚拟机口令异常、预设时间段内未接收到所述确认消息、无法设置所述访问密码、所述自毁处理执行失败中的任意一种;
所述口令策略库中预存有至少一个口令生成策略;
所述口令策略库,具体用于从所述至少一个口令生成策略中随机确定出一口令生成策略,并根据确定出的口令生成策略,生成虚拟机口令;
和/或,
所述主流程脚本,还用于在将所述虚拟机的访问密码设置为所述虚拟机口令之后,将所述虚拟机的访问状态由拒绝访问更改为允许访问,然后执行所述启动所述自毁脚本。
3.一种虚拟机口令处理系统,其特征在于,包括:
至少一个如权利要求2所述的口令生成工具、每一个所述口令生成工具对应的虚拟机、虚拟机总控制台;
每一个所述口令生成工具均位于与其相对应的虚拟机中;
每一个所述虚拟机,均用于在接收到所述虚拟机总控制台的启动命令时,执行启动处理,以及在完成启动时通知内部的口令生成工具;
还包括:消息监控平台,用于在接收到任一所述口令生成工具发来的虚拟机口令时,向该口令生成工具返回确认消息;在接收到任一所述口令生成工具发来的错误信息时,执行异常处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711257020.7A CN108009423B (zh) | 2017-12-04 | 2017-12-04 | 一种虚拟机口令处理方法、系统及一种口令生成工具 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711257020.7A CN108009423B (zh) | 2017-12-04 | 2017-12-04 | 一种虚拟机口令处理方法、系统及一种口令生成工具 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108009423A CN108009423A (zh) | 2018-05-08 |
| CN108009423B true CN108009423B (zh) | 2021-06-22 |
Family
ID=62056175
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711257020.7A Active CN108009423B (zh) | 2017-12-04 | 2017-12-04 | 一种虚拟机口令处理方法、系统及一种口令生成工具 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108009423B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101957900A (zh) * | 2010-10-26 | 2011-01-26 | 中国航天科工集团第二研究院七○六所 | 一种可信虚拟机平台 |
| CN102202052A (zh) * | 2011-04-20 | 2011-09-28 | 李计兰 | 一种基于虚拟机技术的信息系统密码管理方法 |
| CN102402655A (zh) * | 2010-09-17 | 2012-04-04 | 上海中标软件有限公司 | 一种虚拟机动态密码设置方法 |
| US8196193B2 (en) * | 2007-12-07 | 2012-06-05 | Pistolstar, Inc. | Method for retrofitting password enabled computer software with a redirection user authentication method |
| CN102663278A (zh) * | 2012-03-09 | 2012-09-12 | 浪潮通信信息系统有限公司 | 云计算模式物联网平台数据处理安全保护方法 |
| CN102708018A (zh) * | 2012-04-20 | 2012-10-03 | 华为技术有限公司 | 一种异常处理方法及系统、代理设备与控制装置 |
| CN102930213A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于虚拟机的安全监控系统和安全监控方法 |
| CN104503861A (zh) * | 2012-04-20 | 2015-04-08 | 华为技术有限公司 | 一种异常处理方法及系统、代理设备与控制装置 |
| CN106055385A (zh) * | 2016-06-06 | 2016-10-26 | 四川大学 | 监控虚拟机进程的系统和方法、过滤page fault异常的方法 |
-
2017
- 2017-12-04 CN CN201711257020.7A patent/CN108009423B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8196193B2 (en) * | 2007-12-07 | 2012-06-05 | Pistolstar, Inc. | Method for retrofitting password enabled computer software with a redirection user authentication method |
| CN102402655A (zh) * | 2010-09-17 | 2012-04-04 | 上海中标软件有限公司 | 一种虚拟机动态密码设置方法 |
| CN101957900A (zh) * | 2010-10-26 | 2011-01-26 | 中国航天科工集团第二研究院七○六所 | 一种可信虚拟机平台 |
| CN102202052A (zh) * | 2011-04-20 | 2011-09-28 | 李计兰 | 一种基于虚拟机技术的信息系统密码管理方法 |
| CN102663278A (zh) * | 2012-03-09 | 2012-09-12 | 浪潮通信信息系统有限公司 | 云计算模式物联网平台数据处理安全保护方法 |
| CN102708018A (zh) * | 2012-04-20 | 2012-10-03 | 华为技术有限公司 | 一种异常处理方法及系统、代理设备与控制装置 |
| CN104503861A (zh) * | 2012-04-20 | 2015-04-08 | 华为技术有限公司 | 一种异常处理方法及系统、代理设备与控制装置 |
| CN102930213A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于虚拟机的安全监控系统和安全监控方法 |
| CN106055385A (zh) * | 2016-06-06 | 2016-10-26 | 四川大学 | 监控虚拟机进程的系统和方法、过滤page fault异常的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108009423A (zh) | 2018-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11762986B2 (en) | System for securing software containers with embedded agent | |
| CN106249704B (zh) | 基于完整性控制工业企业系统中端点的通信的方法和装置 | |
| US20140096134A1 (en) | System and method for enforcement of security controls on virtual machines throughout life cycle state changes | |
| US20130227710A1 (en) | System and method for securing leased images in a cloud environment | |
| CN107506663A (zh) | 基于可信bmc的服务器安全启动方法 | |
| US7818625B2 (en) | Techniques for performing memory diagnostics | |
| EP3314515B1 (en) | Notice of intrusion into firmware | |
| WO2020023941A1 (en) | Bare metal device management | |
| US20210034750A1 (en) | Method for a secured start-up of a computer system, and configuration comprising a computer system and an external storage medium connected to the computer system | |
| CN101369141B (zh) | 用于可编程数据处理设备的保护单元 | |
| CN110874231A (zh) | 终端版本更新的方法、设备和存储介质 | |
| CN106911744B (zh) | 一种镜像文件的管理方法和管理装置 | |
| CN112162825A (zh) | 设备配置方法、装置、设备及存储介质 | |
| US20190354298A1 (en) | System and Method for Repurposing or Disposing of an IT Asset | |
| US20210194904A1 (en) | Security management of an autonomous vehicle | |
| CN110990124A (zh) | 云主机恢复方法和装置 | |
| US10742412B2 (en) | Separate cryptographic keys for multiple modes | |
| CN108009423B (zh) | 一种虚拟机口令处理方法、系统及一种口令生成工具 | |
| CN110581849B (zh) | 历史已修复漏洞的监测方法、装置、设备及存储介质 | |
| CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
| JP2021002204A (ja) | 正当性確認機器 | |
| CN111506897B (zh) | 数据处理方法和装置 | |
| CN113868639A (zh) | Linux系统加固方法、装置、计算机设备和存储介质 | |
| CN108228219B (zh) | 一种带外刷新bios时验证bios合法性的方法及装置 | |
| CN112464225A (zh) | 一种请求处理方法、请求处理装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210527 Address after: No. 1036, Shandong high tech Zone wave road, Ji'nan, Shandong Applicant after: INSPUR GENERAL SOFTWARE Co.,Ltd. Address before: 250100 No. 2877 Kehang Road, Sun Village Town, Jinan High-tech District, Shandong Province Applicant before: SHANDONG INSPUR GENESOFT INFORMATION TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |