技術(shù)領(lǐng)域

本發(fā)明涉及云計(jì)算安全技術(shù)領(lǐng)域，特制一種面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)及其方法。

背景技術(shù)

計(jì)算機(jī)的應(yīng)用模式大體經(jīng)歷了以大型機(jī)為主體的集中式架構(gòu)(數(shù)據(jù)中心1.0)、以PC機(jī)為主體的客戶/服務(wù)器分布式計(jì)算架構(gòu)(數(shù)據(jù)中心2.0)、以虛擬化技術(shù)為核心面向服務(wù)的體系結(jié)構(gòu)(SOA)及基于Web2.0應(yīng)用特征的新型架構(gòu)(數(shù)據(jù)中心3.0)。計(jì)算機(jī)的應(yīng)用模式、技術(shù)架構(gòu)及實(shí)現(xiàn)特征的演變是云計(jì)算發(fā)展的時(shí)代背景。

云計(jì)算的實(shí)質(zhì)是網(wǎng)絡(luò)下的應(yīng)用，是由IP和IT技術(shù)共同構(gòu)建的。從發(fā)展的角度來看，“云”的技術(shù)和目標(biāo)是一個(gè)逐步演化的過程。比如，Web技術(shù)出現(xiàn)時(shí)，就具備了云計(jì)算的應(yīng)用特征有了統(tǒng)一界面的雛形。隨著服務(wù)器應(yīng)用平臺(tái)上的虛擬化技術(shù)的成熟和Web統(tǒng)一界面的推出，虛擬化和Web走向結(jié)合，使得云計(jì)算可以在一個(gè)整合的架構(gòu)上統(tǒng)一實(shí)現(xiàn)。

虛擬化是一個(gè)廣義的術(shù)語，在計(jì)算機(jī)方面通常是指計(jì)算元件在虛擬的基礎(chǔ)上而不是真實(shí)的基礎(chǔ)上運(yùn)行。虛擬化技術(shù)可以擴(kuò)大硬件的容量，簡化軟件的重新配置過程。CPU的虛擬化技術(shù)可以單CPU模擬多CPU并行，允許一個(gè)平臺(tái)同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，并且應(yīng)用程序都可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響，從而顯著提高計(jì)算機(jī)的工作效率。

虛擬化技術(shù)與多任務(wù)以及超線程技術(shù)是完全不同的。多任務(wù)是指在一個(gè)操作系統(tǒng)中多個(gè)程序同時(shí)并行運(yùn)行，而在虛擬化技術(shù)中，則可以同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，而且每一個(gè)操作系統(tǒng)中都有多個(gè)程序運(yùn)行，每一個(gè)操作系統(tǒng)都運(yùn)行在一個(gè)虛擬的CPU或者是虛擬主機(jī)上；而超線程技術(shù)只是單CPU模擬雙CPU來平衡程序運(yùn)行性能，這兩個(gè)模擬出來的CPU是不能分離的，只能協(xié)同工作。

虛擬化技術(shù)也與目前VMware?Workstation等同樣能達(dá)到虛擬效果的軟件不同，是一個(gè)巨大的技術(shù)進(jìn)步，具體表現(xiàn)在減少軟件虛擬機(jī)相關(guān)開銷和支持更廣泛的操作系統(tǒng)方面。

但隨著大規(guī)模windows虛擬機(jī)的部署，如何保障登錄安全成為直接困擾人們的問題，因此需要一種機(jī)制，既能夠免去管理種類繁多的登錄密碼，又能夠保障登錄安全。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問題之一在于提供一種面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)，保障windows虛擬機(jī)登錄安全，尤其是大規(guī)模windows虛擬機(jī)管理的情況下，有效的windows一次性密碼管理。

本發(fā)明解決的技術(shù)問題之二在于提供一種面向windows虛擬機(jī)的一次性密碼管理系統(tǒng)的管理方法；保障windows虛擬機(jī)登錄安全。

本發(fā)明解決上述技術(shù)問題之一的技術(shù)方案是：包括有請(qǐng)求處理單元、安全驗(yàn)證單元、消息傳遞單元和密碼生成單元；

所述的請(qǐng)求處理單元用于監(jiān)聽終端用戶的請(qǐng)求，并經(jīng)過簡單的分類處理后輸出給相應(yīng)的安全驗(yàn)證單元，并等待一次性密碼返回消息封裝后返回給終端用戶；

所述的安全驗(yàn)證單元用于驗(yàn)證用戶的合法性、用戶是否擁有與請(qǐng)求相關(guān)的相應(yīng)權(quán)限，并根據(jù)驗(yàn)證情況駁回用戶請(qǐng)求并將錯(cuò)誤信息等傳遞給請(qǐng)求處理單元或?qū)⒄?qǐng)求消息輸出給消息傳遞單元；

所述的消息傳遞單元用于根據(jù)用戶請(qǐng)求功能劃分接收到的消息，并將消息分發(fā)到各自的等待隊(duì)列，之后傳遞給指定的服務(wù)節(jié)點(diǎn)，等待密碼生成單元(13)處理，接收密碼返回結(jié)果；

所述的密碼生成單元用于為當(dāng)前windows虛擬機(jī)生成一次性登錄密碼，并將密碼返回給消息傳遞單元。

所述的請(qǐng)求處理單元請(qǐng)求命令的結(jié)構(gòu)包括虛擬機(jī)標(biāo)識(shí)、請(qǐng)求名稱；所述的虛擬機(jī)標(biāo)識(shí)于標(biāo)識(shí)被操作的虛擬機(jī)，是區(qū)分一個(gè)虛擬機(jī)與其他虛擬機(jī)的全局唯一標(biāo)識(shí)；請(qǐng)求名稱用于標(biāo)識(shí)用戶發(fā)出獲取windows虛擬機(jī)一次性密碼的操作。

所述的安全驗(yàn)證單元的安全驗(yàn)證包括X509認(rèn)證、權(quán)限驗(yàn)證；其中，X509認(rèn)證用于密碼真實(shí)性確定；權(quán)限驗(yàn)證用于驗(yàn)證用戶的級(jí)別，確定用戶是否擁有對(duì)該虛擬機(jī)鏡像進(jìn)行在線定制操作。

本發(fā)明解決上述技術(shù)問題之二的技術(shù)方案是：

按如下步驟進(jìn)行消息傳遞處理和密碼生成：

消息傳遞處理步驟：

步驟A1：云控制器端定位被操作虛擬機(jī)所運(yùn)行的集群，將獲取一次性密碼消息傳遞到指定的集群控制器；

步驟A2：集群控制器定位被操作虛擬機(jī)所運(yùn)行的節(jié)點(diǎn)，將獲取一次性消息傳遞到指定的節(jié)點(diǎn)控制器；

步驟A3：節(jié)點(diǎn)控制器定位被操作的windows虛擬機(jī)所在域，將獲取一次性密碼詳細(xì)傳遞到被操作的windows虛擬機(jī)所在的域；