本發明設計并實現了一種虛擬化環境下身份認證方法，具體包括以下步驟：首先，將服務器虛擬化環境設置成只允許本地IP遠程連接到虛擬機。然后，注冊并登記遠程虛擬機用戶的基本信息，并為用戶唯一分配與其相對應的USB Key硬件設備。隨后，擁有相應USB Key的遠程用戶向主服務器發送用戶名與密碼等信息請求主服務器認證，當通過主服務器的身份認證后，主服務器會返回給遠程用戶一個隨機數，并將該隨機數告知從服務器，遠程用戶必須在有效時間內將該隨機數與自己的身份信息發送給從服務器，向從服務器發起二次認證。當全部認證都通過后，從服務器開啟相應虛擬機，并通過傳輸代理與遠程用戶進行通信，這樣遠程用戶就成功登陸到了虛擬化環境下的遠程桌面。

技術領域

本發明屬于云計算技術領域，更具體地，涉及一種虛擬化環境下身份認證方法。

背景技術

云計算代表著一種新的商業計算模式，其在各方面的實際應用上還有很多不確定的地方，面臨著很多的安全挑戰。其中，對于云平臺中用戶數據安全的問題尤其突出，主要表現在如下方面：在云中虛擬化的效率要求多個組織的虛擬機共存于同一物理資源上。雖然傳統的數據中心的安全仍然適用于云環境，物理隔離和基于硬件的安全不能保護防止在同一服務器上虛擬機之間的攻擊。管理訪問是通過互聯網，而不是傳統數據中心模式中堅持的受控制的和限制的直接或到現場的連接。這增加了風險和暴露，將需要對系統控制和訪問控制限制的變化進行嚴密監控。

目前，現有的云平臺基本都提供了遠程用戶遠程連接到虛擬機的方法，但此方法是直接進行連接的，并未對連接用戶做任何的限制，這使得任何用戶都可以遠程連接到虛擬機，進行遠程桌面映射，這使得虛擬化環境變得極不安全。

發明內容

針對現有技術的缺陷，本發明的目的在于提供一種虛擬化環境下遠程連接到虛擬機時的身份認證方法，旨在在當前基礎上加強虛擬化遠程桌面連接的安全、可控管理，防止惡意用戶登陸到虛擬機遠程桌面，從而提高系統的整體的安全等級。

為實現上述目的，本發明提供了一種虛擬化環境下身份認證方法，包括以下步驟：

(1)將服務器虛擬化環境設置成只允許本地IP遠程連接到虛擬機；

(2)注冊并登記遠程虛擬機用戶的基本信息，并為用戶唯一分配與其相對應的USBKey硬件設備；

(3)當遠程用戶連接到遠程虛擬化環境，進行遠程連接桌面時，必須先進行USBKey的身份認證；

(4)若遠程用戶通過USB Key認證，遠程用戶向主服務器發送用戶名與密碼等信息請求主服務器認證，否則認證失??；

(5)若通過主服務器的身份認證，主服務器返回給遠程用戶一個隨機數，并將該隨機數告知從服務器，否則認證失敗；

(6)遠程用戶在有效的時間內將該隨機數與自己的身份信息發送給從服務器，向從服務器發起二次認證；

(7)若通過從服務器認證，從服務器開啟相應的虛擬機，并通過傳輸代理與遠程用戶進行通信，這樣遠程用戶就成功登陸到了虛擬化環境下的遠程桌面，認證通過，否則認證失敗。

通過將服務器虛擬化環境設成只允許本地IP遠程連接到虛擬機，使得遠程用戶不能直接進行遠程桌面連接，必須通過傳輸代理程序進行轉發，而代理程序只會為通過了認證的用戶服務，這使得用戶要想連接到遠程虛擬機，就無法繞過身份認證。

USB Key與用戶用戶保持唯一的對應關系。

從服務器與用戶都會從主服務器獲得相同的隨機數，用戶從主服務器獲得的隨機數只在一定時間內有效，超時認證從服務器會將該隨機數設為無效。

通過本發明所構思的以上技術方案，與現有技術相比，本發明具有以下的有益效果：