CN113742715B - 基于虚拟机的操作系统授权方法、装置、系统及计算设备 - Google Patents

基于虚拟机的操作系统授权方法、装置、系统及计算设备 Download PDF

Info

Publication number
CN113742715B
CN113742715B CN202111292733.3A CN202111292733A CN113742715B CN 113742715 B CN113742715 B CN 113742715B CN 202111292733 A CN202111292733 A CN 202111292733A CN 113742715 B CN113742715 B CN 113742715B
Authority
CN
China
Prior art keywords
authorization
key value
virtual machine
operating system
initial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111292733.3A
Other languages
English (en)
Other versions
CN113742715A (zh
Inventor
王家华
刘仕豪
曹军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Uniontech Software Technology Co Ltd
Original Assignee
Uniontech Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Uniontech Software Technology Co Ltd filed Critical Uniontech Software Technology Co Ltd
Priority to CN202210101236.9A priority Critical patent/CN114357434A/zh
Priority to CN202111292733.3A priority patent/CN113742715B/zh
Publication of CN113742715A publication Critical patent/CN113742715A/zh
Application granted granted Critical
Publication of CN113742715B publication Critical patent/CN113742715B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种基于虚拟机的操作系统授权方法、装置、系统及计算设备,其中方法包括步骤:在操作系统安装于虚拟机后第一次启动时,获取操作系统的键值文件生成的初始键值,并获取所述虚拟机的初始设备信息;将所述初始键值和初始设备信息发送至授权认证服务器;以及获取用户输入的授权序列号,并将所述授权序列号发送至所述授权认证服务器,以便授权认证服务器将所述初始键值和初始设备信息与所述授权序列号进行绑定后存储,以对所述虚拟机安装的操作系统进行授权。根据本发明的技术方案,能实现准确控制用户对虚拟机安装的操作系统的授权使用。

Description

基于虚拟机的操作系统授权方法、装置、系统及计算设备
技术领域
本发明涉及虚拟机技术领域,特别涉及一种基于虚拟机的操作系统授权方法、授权装置、授权控制系统及计算设备。
背景技术
虚拟机是指通过软件模拟的具有完整硬件系统功能、且运行在一个完全隔离环境中的完整的计算机系统。在实体计算机中创建虚拟机时,会将实体计算机的部分硬盘、内存容量以及CPU等硬件资源作为虚拟机的独立资源使用。每个虚拟机都具有独立的磁盘和操作系统,用户可以像使用实体计算机一样对虚拟机进行操作。
KVM(Kernel-based Virtual Machine)是一个开源的系统虚拟化模块,可集成在Linux的各个主要发行版本中。KVM使用Linux自身的调度器进行管理,核心源码较少,且KVM是基于硬件的完全虚拟化模块,并不是基于软件模拟。
现有技术中,需要对操作系统等软件的授权认证进行管理。例如,在KVM虚拟环境中安装操作系统软件时,需要根据用户的使用方式来限定操作系统软件的使用权。对于实体计算机而言,在实际的物理主机环境中存在真实的设备,可通过获取真实的设备信息(如主机信息、主板信息、硬盘信息等),来确定用户使用的操作系统所部署的主机环境,通过将用户使用的操作系统软件与主机环境进行一一绑定,可以限定用户对操作系统的授权使用。
但是,在KVM虚拟环境中安装使用操作系统时,无法按照上述授权管理方式与主机环境对应的唯一信息进行绑定。具体地,由于在虚拟环境中所获取的设备信息并不是真实的物理设备信息,往往不具有唯一性,并且存在虚拟机配置时出现变更或增删的可能性,因此,根据现有的授权管理方式,无法准确判断用户是否获得对操作系统软件的授权许可。
为此,需要一种基于虚拟机的操作系统授权方法来解决上述技术方案中存在的问题。
发明内容
为此,本发明提供一种基于虚拟机的操作系统授权方法、授权装置及授权控制系统,以力图解决或者至少缓解上面存在的问题。
根据本发明的一个方面,提供了一种基于虚拟机的操作系统授权方法,包括步骤:在操作系统安装于虚拟机后第一次启动时,获取操作系统的键值文件生成的初始键值,并获取所述虚拟机的初始设备信息;将所述初始键值和初始设备信息发送至授权认证服务器;以及获取用户输入的授权序列号,并将所述授权序列号发送至所述授权认证服务器,以便授权认证服务器将所述初始键值和初始设备信息与所述授权序列号进行绑定后存储,以对所述虚拟机安装的操作系统进行授权。
可选地,在根据本发明的基于虚拟机的操作系统授权方法中,还包括步骤:在操作系统运行过程中,获取操作系统的键值文件生成的新的键值,并获取所述虚拟机的新的设备信息;将所述新的键值和新的设备信息发送至授权认证服务器,以便授权认证服务器将所述新的键值与所述初始键值进行比对得到第一比对结果,将所述新的设备信息与所述初始设备信息进行比对得到第二比对结果,并根据所述第一比对结果和第二比对结果,来确定所述虚拟机安装的操作系统的授权认证结果;获取所述授权认证服务器返回的授权认证结果。
可选地,在根据本发明的基于虚拟机的操作系统授权方法中,根据所述第一比对结果和第二比对结果,来确定所述虚拟机安装的操作系统的授权认证结果包括:如果第一比对结果为所述新的键值与初始键值相同,且第二比对结果为所述新的设备信息与初始设备信息相同,则确定授权认证成功。
可选地,在根据本发明的基于虚拟机的操作系统授权方法中,根据所述第一比对结果和第二比对结果,来确定所述虚拟机安装的操作系统的授权认证结果包括:如果第一比对结果为所述新的键值与初始键值不同,和/或,第二比对结果为所述新的设备信息与初始设备信息不同,则确定授权认证失败。
可选地,在根据本发明的基于虚拟机的操作系统授权方法中,在获取操作系统的键值文件生成的初始键值之前,包括步骤:在所述操作系统内生成所述键值文件,并对所述键值文件进行加密处理。
可选地,在根据本发明的基于虚拟机的操作系统授权方法中,所述设备信息为UUID值,获取所述虚拟机的初始设备信息包括:从虚拟机配置文件中获取虚拟机的UUID值。
根据本发明的一个方面,提供了一种授权装置,布置在虚拟机的操作系统上,包括:第一处理单元,适于在操作系统安装于虚拟机后第一次启动时,获取操作系统的键值文件生成的初始键值,并获取所述虚拟机的初始设备信息,将所述初始键值和初始设备信息发送至授权认证服务器;第二处理单元,适于获取用户输入的授权序列号,并将所述授权序列号发送至所述授权认证服务器,以便授权认证服务器将所述初始键值和初始设备信息与所述授权序列号进行绑定后存储,以对所述虚拟机安装的操作系统进行授权。
根据本发明的一个方面,提供了一种授权控制系统,包括:虚拟机,所述虚拟机中适于安装操作系统,所述操作系统上布置有授权装置,所述授权装置适于执行如上所述的方法;以及授权认证服务器,与所述授权装置相连,适于获取所述授权装置发送的初始键值、初始设备信息以及授权序列号,并将所述初始键值和初始设备信息与所述授权序列号进行绑定后存储,以便对所述虚拟机安装的操作系统进行授权。
可选地,在根据本发明的授权控制系统中,所述系统包括一个或多个客户端,所述客户端部署有所述虚拟机。
根据本发明的一个方面,提供了一种计算设备,包括:至少一个处理器;以及存储器,存储有程序指令,其中,所述程序指令被配置为适于由所述至少一个处理器执行,所述程序指令包括用于执行如上所述的基于虚拟机的操作系统授权方法的指令。
根据本发明的一个方面,提供了一种存储有程序指令的可读存储介质,当所述程序指令被计算设备读取并执行时,使得所述计算设备执行如上所述方法。
根据本发明的技术方案,提供了一种基于虚拟机的操作系统授权方法,通过在虚拟机安装的操作系统内生成键值文件,在操作系统安装后第一次启动时,基于键值文件来生成唯一的键值,该键值可唯一标识虚拟机环境。通过将该键值和虚拟机的UUID值一起上传至授权认证服务器,授权认证服务器通过将键值和虚拟机的UUID值一起与用户输入的授权序列号进行绑定,以便用户获得在虚拟机使用操作系统的授权许可。这样,本发明在对虚拟机操作系统进行授权时,通过增设可唯一标识虚拟机的键值,能实现准确控制用户对虚拟机安装的操作系统的授权使用。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明一个实施例的授权控制系统100的示意图;
图2示出了根据本发明一个实施例的计算设备200的示意图;
图3示出了根据本发明一个实施例的基于虚拟机的操作系统授权方法300的流程图;以及
图4示出了根据本发明一个实施例的授权装置400的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的授权控制系统100的示意图。
如图1所示,授权控制系统100包括授权认证服务器120、与授权认证服务器120相连的一个或多个客户端110。其中,客户端110中可以部署虚拟机115,虚拟机115适于安装操作系统114并获得对操作系统的授权。
授权认证服务器120用于管理和控制用户对虚拟机中安装的操作系统114的授权使用。本发明对授权认证服务器的具体实现不作限制。例如,授权认证服务器120可以实现为桌面电脑、笔记本电脑、处理器芯片、手机、平板电脑等计算设备,但不限于此,也可以是驻留在计算设备上的应用程序。
另外,本发明对客户端110的具体设备类型也不做限制。例如,客户端110可以实现为桌面电脑、笔记本电脑、手机、平板电脑等计算设备。
在客户端110中创建虚拟机115时,虚拟机115可以生成一个与虚拟机相对应的唯一的设备信息,该设备信息可以存储在虚拟机配置文件中。
在一种实现方式中,虚拟机可以实现为KVM虚拟机,设备信息例如为虚拟机的UUID值。
根据本发明的一个实施例,虚拟机115安装的操作系统114上布置有授权装置400,授权装置400与授权认证服务器120通信连接。在虚拟机115中安装操作系统114后,授权装置400会在虚拟机115的操作系统114内随机创建生成键值文件(KEY文件),并对键值文件进行加密处理。
当虚拟机115中安装的操作系统114第一次启动时,操作系统114内的键值文件可以生成一个唯一的键值作为初始键值。这里,由于键值文件是随机创建的,并进行了加密处理,这样,基于键值文件生成的键值可以保证唯一性,从而可以唯一标识虚拟机。授权装置400可以获取键值文件生成的初始键值,并从虚拟机配置文件中获取虚拟机的设备信息(UUID),随后将获取到的初始键值和初始设备信息发送至授权认证服务器120。
并且,授权装置400还可以获取用户输入的授权序列号,并将授权序列号发送至授权认证服务器120。
授权认证服务器120可以将初始键值和初始设备信息与授权序列号进行绑定后存储,以便对虚拟机中安装的操作系统114进行授权。这里,授权认证服务器120在将初始键值和初始设备信息与授权序列号进行绑定后,可以向部署在客户端的虚拟机115返回授权成功的状态,使用户获得在虚拟机115使用操作系统114的授权许可。
根据本发明的一个实施例,虚拟机115中的操作系统114在进行授权之后的运行过程中,还通过授权装置400自动与授权认证服务器120保持间断通信。并且,授权装置400在与授权认证服务器120通信时,还会进一步对操作系统114进行授权认证。
具体地,虚拟机115中的操作系统114在运行过程中,授权装置400会再次获取虚拟机中的操作系统114的键值文件生成的键值(新的键值),并再次从虚拟机配置文件中获取虚拟机的设备信息(新的设备信息)。随后,授权装置400将新的键值和新的设备信息发送至授权认证服务器120。授权认证服务器120可以将新的键值与初始键值进行比对,得到第一比对结果,并将新的设备信息与初始设备信息进行比对,得到第二比对结果。授权认证服务器120根据第一比对结果和第二比对结果,可以确定虚拟机安装的操作系统114的授权认证结果,并将授权认证结果返回至授权装置400。
在一个实施例中,客户端110的授权装置400适于执行根据本发明的基于虚拟机的操作系统授权方法300。本发明的基于虚拟机的操作系统授权方法300将在下文中详述。
在一个实施例中,客户端110、授权认证服务器120分别可以实现为一种计算设备200,使得本发明的基于虚拟机的操作系统授权方法300可以在计算设备200中执行。
图2示出了根据本发明一个实施例的计算设备200的示意图。
如图2所示,在基本的配置202中,计算设备200典型地包括系统存储器206和一个或者多个处理器204。存储器总线208可以用于在处理器204和系统存储器206之间的通信。
取决于期望的配置,处理器204可以是任何类型的处理,包括但不限于:微处理器(UP)、微控制器(UC)、数字信息处理器(DSP)或者它们的任何组合。处理器204可以包括诸如一级高速缓存210和二级高速缓存212之类的一个或者多个级别的高速缓存、处理器核心214和寄存器216。示例的处理器核心214可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器218可以与处理器204一起使用,或者在一些实现中,存储器控制器218可以是处理器204的一个内部部分。
取决于期望的配置,系统存储器206可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器206可以包括操作系统220、一个或者多个应用222以及程序数据224。应用222实际上是多条程序指令,其用于指示处理器204执行相应的操作。在一些实施方式中,应用222可以布置为在操作系统上使得处理器204利用程序数据224进行操作。
计算设备200还包括储存设备232,储存设备232包括可移除储存器236和不可移除储存器238。
计算设备200还可以包括储存接口总线234。储存接口总线234实现了从储存设备232(例如,可移除储存器236和不可移除储存器238)经由总线/接口控制器230到基本配置202的通信。操作系统220、应用222以及数据224的至少一部分可以存储在可移除储存器236和/或不可移除储存器238上,并且在计算设备200上电或者要执行应用222时,经由储存接口总线234而加载到系统存储器206中,并由一个或者多个处理器204来执行。
计算设备200还可以包括有助于从各种接口设备(例如,输出设备242、外设接口244和通信设备246)到基本配置202经由总线/接口控制器230的通信的接口总线240。示例的输出设备242包括图像处理单元248和音频处理单元250。它们可以被配置为有助于经由一个或者多个A/V端口252与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口244可以包括串行接口控制器254和并行接口控制器256,它们可以被配置为有助于经由一个或者多个I/O端口258和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备246可以包括网络控制器260,其可以被布置为便于经由一个或者多个通信端口264与一个或者多个其他计算设备262通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中以编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
在根据本发明的实施例中,计算设备200被配置为执行根据本发明的基于虚拟机的操作系统授权方法300。其中,计算设备200的应用中包含用于执行本发明的基于虚拟机的操作系统授权方法300的多条程序指令,这些程序指令可以指示处理器执行本发明的基于虚拟机的操作系统授权方法300,以便计算设备200通过执行本发明的基于虚拟机的操作系统授权方法300能够获得虚拟机中安装的操作系统的授权使用许可。
根据本发明的一个实施例,计算设备200中部署有虚拟机115,虚拟机中可以安装操作系统114,并且,在虚拟机安装的操作系统114上布置有授权装置400。授权装置400中包含用于执行本发明的基于虚拟机的操作系统授权方法300的多条程序指令,使得本发明的基于虚拟机的操作系统授权方法300可以在授权装置400中执行,授权装置400通过执行本发明的基于虚拟机的操作系统授权方法300,能够实现对虚拟机中安装的操作系统114进行授权。
图3示出了根据本发明一个实施例的基于虚拟机的操作系统授权方法300的流程图。基于虚拟机的操作系统授权方法300可以在客户端110(例如前述计算设备200)的授权装置400中执行。授权装置400可以与授权认证服务器120通信连接。
在一个实施例中,虚拟机可以实现为KVM虚拟机。虚拟机中安装的操作系统114可以实现为Linux操作系统,但应当指出,本发明不限于虚拟机及其安装的操作系统的具体类型。
图3所示,方法300始于步骤S310。
在步骤S310中,在操作系统安装于虚拟机后,当操作系统第一次启动时,获取操作系统中的键值文件生成的初始键值,并获取虚拟机的初始设备信息。
需要说明的是,在执行方法300之前,预先在计算设备200中创建虚拟机。在计算设备200中创建虚拟机时,会生成一个与虚拟机相对应的唯一的设备信息,该设备信息可以存储在虚拟机配置文件中。在一种实现方式中,设备信息例如为虚拟机的UUID值。这样,可以从虚拟机配置文件中获取虚拟机的UUID值,作为虚拟机的初始设备信息。
在一个实施例中,在虚拟机中安装操作系统后,首先会在虚拟机的操作系统内随机创建生成键值文件(KEY文件),并对键值文件进行加密处理。该键值文件可以在操作系统第一次启动时生成一个用于标识虚拟机的唯一的键值,即初始键值。这里,由于键值文件是随机创建的,并进行了加密处理,这样,基于键值文件生成的键值可以保证唯一性,从而可以唯一标识虚拟机环境,避免了多个虚拟机的操作系统在创建键值文件、基于键值文件生成键值时出现重复数值的情况。
应当指出,本发明不限于对键值文件进行加密处理的具体加密方法,现有技术中所有的加密方法均在本发明的保护范围之内。
在一种实现方式中,基于键值文件生成的键值的长度可以为32位,以进一步降低在基于键值文件生成键值时出现重复的可能性。
随后,在步骤S320中,将在步骤S310中获取到的初始键值和初始设备信息发送至授权认证服务器120。
最后,在步骤S330中,获取用户输入的授权序列号,并将授权序列号发送至授权认证服务器120。授权认证服务器120可以将初始键值和初始设备信息与授权序列号进行绑定后存储,以便对虚拟机中安装的操作系统进行授权。这里,授权认证服务器120在将初始键值和初始设备信息与授权序列号进行绑定后,可以向虚拟机返回授权成功的状态,使用户获得在虚拟机使用操作系统的授权许可。
根据本发明的一个实施例,在执行上述步骤S310~S330之后,获得了对虚拟机中安装的操作系统的授权使用许可。接下来,虚拟机中的操作系统在运行过程中,还通过授权装置400自动与授权认证服务器120保持间断通信。并且,授权装置400在与授权认证服务器120通信时,还会进一步对操作系统进行授权认证。
具体地,虚拟机中的操作系统在运行过程中,授权装置400会再次获取虚拟机中的操作系统的键值文件生成的键值(新的键值),并再次从虚拟机配置文件中获取虚拟机的设备信息(新的设备信息)。这里,为了便于与上文中的键值、设备信息进行区分,将再次获取的键值称为“新的键值”,并将再次获取的设备信息称为“新的设备信息”。
接着,将新的键值和新的设备信息发送至授权认证服务器120。授权认证服务器120将新的键值与初始键值进行比对,得到第一比对结果,并将新的设备信息与初始设备信息进行比对,得到第二比对结果。随后,授权认证服务器120可以根据第一比对结果和第二比对结果,可以确定虚拟机安装的操作系统的授权认证结果,并将授权认证结果返回至授权装置400,以便授权装置400在操作系统运行过程中获取授权认证服务器120返回的授权认证结果,将授权认证结果呈现给用户。
可以理解的是,第一比对结果也即是新的键值与初始键值是否相同的结果,第二比对结果也即是新的设备信息与初始设备信息是否相同的结果。授权认证结果也即是授权认证成功或失败的结果。
在根据第一比对结果和第二比对结果,来确定虚拟机安装的操作系统的授权认证结果的具体判断依据如下:如果第一比对结果为新的键值与初始键值相同,且第二比对结果为新的设备信息与初始设备信息相同,授权认证服务器120可以确定授权认证成功,并且可以向虚拟机中的授权装置400返回授权认证成功的状态。如果第一比对结果为新的键值与初始键值不同,和/或,第二比对结果为新的设备信息与初始设备信息不同,授权认证服务器120可以确定授权认证失败,并且可以向虚拟机中的授权装置返回授权认证失败的状态。
需要说明的是,当新的键值与初始键值相同、并且新的设备信息与初始设备信息相同的情况下,可以确定虚拟机中运行的操作系统是正常进行授权后使用的,从而,本次对操作系统的授权认证通过。
第一比对结果为新的键值与初始键值不同,和/或,第二比对结果为新的设备信息与初始设备信息不同,具体包括以下三种情况:
(1)新的键值与初始键值不同、并且新的设备信息与初始设备信息相同。在此情况下,可能是操作系统被重新安装,或者是系统文件损坏,因此,会返回本次对操作系统的授权认证失败的状态。用户可以重新在虚拟机安装操作系统,或者通过执行第一次对操作系统进行授权时的步骤S310~S330,来重新对虚拟机安装的操作系统进行授权。
(2)新的键值与初始键值相同、并且新的设备信息与初始设备信息不同。在此情况下,可能是已安装在虚拟机的操作系统镜像被拷贝复制到其他设备中使用,或者操作系统中的键值文件被拷贝复制在另一套操作系统中冒充已授权用户进行使用,因此,会返回本次对操作系统的授权认证失败的状态。
(3)新的键值与初始键值不同、并且新的设备信息与初始设备信息不同。在此情况下,可能是新安装在虚拟机中的操作系统还未执行过上述步骤S310~S330来进行授权。另外,还可能是综合上述情况(1)和(2)中的问题。
图4示出了根据本发明一个实施例的授权装置400示意图。授权装置400布置在计算设备100中部署的虚拟机的操作系统上,授权装置400适于执行本发明的基于虚拟机的操作系统授权方法300。
如图4所示,授权装置400包括第一处理单元410和第二处理单元420。其中,在操作系统安装于虚拟机后第一次启动时,第一处理单元410获取操作系统的键值文件生成的初始键值,并获取虚拟机的初始设备信息,随后将初始键值和初始设备信息发送至授权认证服务器120。第二处理单元420可以获取用户输入的授权序列号,并将授权序列号发送至授权认证服务器120,以便授权认证服务器120将初始键值和初始设备信息与授权序列号进行绑定后存储,从而实现对虚拟机安装的操作系统进行授权。
应当指出,第一处理单元410用于执行前述步骤S310和S320,第二处理单元420用于执行前述步骤S330。这里,第一处理单元410和第二处理单元420的具体执行逻辑参见前文方法300中对步骤S310~S330的描述,此处不再赘述。
根据本发明的基于虚拟机的操作系统的授权方案,通过在虚拟机安装的操作系统内生成键值文件,在操作系统安装后第一次启动时,基于键值文件来生成唯一的键值,该键值可唯一标识虚拟机环境。通过将该键值和虚拟机的UUID值一起上传至授权认证服务器,授权认证服务器通过将键值和虚拟机的UUID值一起与用户输入的授权序列号进行绑定,以便用户获得在虚拟机使用操作系统的授权许可。这样,本发明在对虚拟机操作系统进行授权时,通过增设可唯一标识虚拟机的键值,能实现准确控制用户对虚拟机安装的操作系统的授权使用。
这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如可移动硬盘、U盘、软盘、CD-ROM或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被所述机器执行时,所述机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的所述程序代码中的指令,执行本发明的基于虚拟机的操作系统授权方法。
以示例而非限制的方式,可读介质包括可读存储介质和通信介质。可读存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在可读介质的范围之内。
在此处所提供的说明书中,算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与本发明的示例一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。

Claims (9)

1.一种基于虚拟机的操作系统授权方法,包括步骤:
在操作系统安装于虚拟机后第一次启动时,获取操作系统的键值文件生成的初始键值,并获取所述虚拟机的初始设备信息;
将所述初始键值和初始设备信息发送至授权认证服务器;
获取用户输入的授权序列号,并将所述授权序列号发送至所述授权认证服务器,以便授权认证服务器将所述初始键值和初始设备信息与所述授权序列号进行绑定后存储,以对所述虚拟机安装的操作系统进行授权;
在操作系统运行过程中,获取操作系统的键值文件生成的新的键值,并获取所述虚拟机的新的设备信息;
将所述新的键值和新的设备信息发送至授权认证服务器,以便授权认证服务器将所述新的键值与所述初始键值进行比对得到第一比对结果,将所述新的设备信息与所述初始设备信息进行比对得到第二比对结果,并根据所述第一比对结果和第二比对结果,来确定所述虚拟机安装的操作系统的授权认证结果;
获取所述授权认证服务器返回的授权认证结果。
2.如权利要求1所述的方法,其中,根据所述第一比对结果和第二比对结果,来确定所述虚拟机安装的操作系统的授权认证结果包括:
如果第一比对结果为所述新的键值与初始键值相同,且第二比对结果为所述新的设备信息与初始设备信息相同,则确定授权认证成功。
3.如权利要求1所述的方法,其中,根据所述第一比对结果和第二比对结果,来确定所述虚拟机安装的操作系统的授权认证结果包括:
如果第一比对结果为所述新的键值与初始键值不同,和/或,第二比对结果为所述新的设备信息与初始设备信息不同,则确定授权认证失败。
4.如权利要求1-3中任一项所述的方法,其中,在获取操作系统的键值文件生成的初始键值之前,包括步骤:
在所述操作系统内生成所述键值文件,并对所述键值文件进行加密处理。
5.如权利要求1-3中任一项所述的方法,其中,所述设备信息为UUID值,获取所述虚拟机的初始设备信息包括:
从虚拟机配置文件中获取虚拟机的UUID值。
6.一种授权装置,布置在虚拟机的操作系统上,包括:
第一处理单元,适于在操作系统安装于虚拟机后第一次启动时,获取操作系统的键值文件生成的初始键值,并获取所述虚拟机的初始设备信息,将所述初始键值和初始设备信息发送至授权认证服务器;
第二处理单元,适于获取用户输入的授权序列号,并将所述授权序列号发送至所述授权认证服务器,以便授权认证服务器将所述初始键值和初始设备信息与所述授权序列号进行绑定后存储,以对所述虚拟机安装的操作系统进行授权;
所述授权装置还适于:
在操作系统运行过程中,获取操作系统的键值文件生成的新的键值,并获取所述虚拟机的新的设备信息;
将所述新的键值和新的设备信息发送至授权认证服务器,以便授权认证服务器将所述新的键值与所述初始键值进行比对得到第一比对结果,将所述新的设备信息与所述初始设备信息进行比对得到第二比对结果,并根据所述第一比对结果和第二比对结果,来确定所述虚拟机安装的操作系统的授权认证结果;
获取所述授权认证服务器返回的授权认证结果。
7.一种授权控制系统,包括:
虚拟机,所述虚拟机中适于安装操作系统,所述操作系统上布置有授权装置,所述授权装置适于执行如权利要求1-5中任一项所述的方法;以及
授权认证服务器,与所述授权装置相连,适于获取所述授权装置发送的初始键值、初始设备信息以及授权序列号,并将所述初始键值和初始设备信息与所述授权序列号进行绑定后存储,以便对所述虚拟机安装的操作系统进行授权;并适于获取所述授权装置发送的新的键值和新的设备信息,将所述新的键值与所述初始键值进行比对得到第一比对结果,将所述新的设备信息与所述初始设备信息进行比对得到第二比对结果,并根据所述第一比对结果和第二比对结果,来确定所述虚拟机安装的操作系统的授权认证结果,并将授权认证结果返回至所述授权装置。
8.一种计算设备,包括:
至少一个处理器;以及
存储器,存储有程序指令,其中,所述程序指令被配置为适于由所述至少一个处理器执行,所述程序指令包括用于执行如权利要求1-5中任一项所述的方法的指令。
9.一种存储有程序指令的可读存储介质,当所述程序指令被计算设备读取并执行时,使得所述计算设备执行如权利要求1-5中任一项所述方法。
CN202111292733.3A 2021-11-03 2021-11-03 基于虚拟机的操作系统授权方法、装置、系统及计算设备 Active CN113742715B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210101236.9A CN114357434A (zh) 2021-11-03 2021-11-03 基于虚拟机的操作系统授权方法、装置、系统及计算设备
CN202111292733.3A CN113742715B (zh) 2021-11-03 2021-11-03 基于虚拟机的操作系统授权方法、装置、系统及计算设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111292733.3A CN113742715B (zh) 2021-11-03 2021-11-03 基于虚拟机的操作系统授权方法、装置、系统及计算设备

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202210101236.9A Division CN114357434A (zh) 2021-11-03 2021-11-03 基于虚拟机的操作系统授权方法、装置、系统及计算设备

Publications (2)

Publication Number Publication Date
CN113742715A CN113742715A (zh) 2021-12-03
CN113742715B true CN113742715B (zh) 2022-03-18

Family

ID=78727224

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202210101236.9A Pending CN114357434A (zh) 2021-11-03 2021-11-03 基于虚拟机的操作系统授权方法、装置、系统及计算设备
CN202111292733.3A Active CN113742715B (zh) 2021-11-03 2021-11-03 基于虚拟机的操作系统授权方法、装置、系统及计算设备

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202210101236.9A Pending CN114357434A (zh) 2021-11-03 2021-11-03 基于虚拟机的操作系统授权方法、装置、系统及计算设备

Country Status (1)

Country Link
CN (2) CN114357434A (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114510685B (zh) * 2022-01-28 2024-05-14 统信软件技术有限公司 一种授权状态的重置方法、授权状态的更新方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108400875A (zh) * 2018-03-21 2018-08-14 苏州科达科技股份有限公司 基于键值的授权认证方法、系统、电子设备、存储介质
CN112182550A (zh) * 2020-11-30 2021-01-05 统信软件技术有限公司 应用程序的授权方法、授权系统、激活装置及计算设备
CN112751832A (zh) * 2020-12-18 2021-05-04 湖南麒麟信安科技股份有限公司 一种虚拟机操作系统在线授权认证方法、设备和存储介质
CN113343185A (zh) * 2021-08-02 2021-09-03 统信软件技术有限公司 一种客户端应用的授权方法、计算设备及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8555377B2 (en) * 2010-04-29 2013-10-08 High Cloud Security Secure virtual machine
CN103258151B (zh) * 2012-10-30 2016-01-20 中国科学院沈阳自动化研究所 一种实时授权的软件License控制方法
EP2913956B1 (en) * 2012-11-22 2017-01-04 Huawei Technologies Co., Ltd. Management control method and device for virtual machines

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108400875A (zh) * 2018-03-21 2018-08-14 苏州科达科技股份有限公司 基于键值的授权认证方法、系统、电子设备、存储介质
CN112182550A (zh) * 2020-11-30 2021-01-05 统信软件技术有限公司 应用程序的授权方法、授权系统、激活装置及计算设备
CN112751832A (zh) * 2020-12-18 2021-05-04 湖南麒麟信安科技股份有限公司 一种虚拟机操作系统在线授权认证方法、设备和存储介质
CN113343185A (zh) * 2021-08-02 2021-09-03 统信软件技术有限公司 一种客户端应用的授权方法、计算设备及存储介质

Also Published As

Publication number Publication date
CN114357434A (zh) 2022-04-15
CN113742715A (zh) 2021-12-03

Similar Documents

Publication Publication Date Title
EP3805968B1 (en) Technologies for secure hardware and software attestation for trusted i/o
US10185828B2 (en) Systems and methods using virtual UEFI path for secure firmware handling in multi-tenant or server information handling system environments
US10318736B2 (en) Validating operating firmware of a periperhal device
US9768952B1 (en) Removable circuit for unlocking self-encrypting data storage devices
US9626531B2 (en) Secure control of self-encrypting storage devices
CN112182550A (zh) 应用程序的授权方法、授权系统、激活装置及计算设备
US10482278B2 (en) Remote provisioning and authenticated writes to secure storage devices
US11797313B2 (en) Method for securely configuring an information system
WO2019022832A1 (en) OFF-LINE ACTIVATION FOR APPLICATION (S) INSTALLED ON A COMPUTER DEVICE
JP2017033537A (ja) 外部不揮発性メモリに間接アクセスするセキュリティデバイス
US10255438B2 (en) Operating system agnostic validation of firmware images
US10747884B2 (en) Techniques for coordinating device boot security
TW201539240A (zh) 目標裝置中資料抹除技術
CN113157290B (zh) 一种多系统安装方法、计算设备及存储介质
US20170132418A1 (en) System and method updating disk encryption software and performing pre-boot compatibility verification
US11190519B2 (en) Dock administration using a token
CN113742715B (zh) 基于虚拟机的操作系统授权方法、装置、系统及计算设备
CN114925336A (zh) 一种激活软件的方法及系统
CN113536361B (zh) 一种可信基准库的实现方法、装置及计算设备
CN111935716B (zh) 一种认证方法、认证系统及计算设备
CN114880648A (zh) 操作系统的批量离线激活方法、在线激活方法及激活系统
JP2023544001A (ja) アクセラレータカードのセキュリティモードの静的構成
CN113515414A (zh) 可编程逻辑器件的验证
US20230237162A1 (en) Systems and methods for remote secure erasure of fingerprint data from information handling systems
CN113934700A (zh) 共享文件夹访问控制方法、访问方法及访问控制系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant