[发明专利]面向windows虚拟机的一次性密码管理系统及其方法

说明书

技术领域

本发明涉及云计算安全技术领域，特制一种面向windows虚拟机的一次性密码管理系统及其方法。

背景技术

计算机的应用模式大体经历了以大型机为主体的集中式架构(数据中心1.0)、以PC机为主体的客户/服务器分布式计算架构(数据中心2.0)、以虚拟化技术为核心面向服务的体系结构(SOA)及基于Web2.0应用特征的新型架构(数据中心3.0)。计算机的应用模式、技术架构及实现特征的演变是云计算发展的时代背景。

云计算的实质是网络下的应用，是由IP和IT技术共同构建的。从发展的角度来看，“云”的技术和目标是一个逐步演化的过程。比如，Web技术出现时，就具备了云计算的应用特征有了统一界面的雏形。随着服务器应用平台上的虚拟化技术的成熟和Web统一界面的推出，虚拟化和Web走向结合，使得云计算可以在一个整合的架构上统一实现。

虚拟化是一个广义的术语，在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术可以扩大硬件的容量，简化软件的重新配置过程。CPU的虚拟化技术可以单CPU模拟多CPU并行，允许一个平台同时运行多个操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率。

虚拟化技术与多任务以及超线程技术是完全不同的。多任务是指在一个操作系统中多个程序同时并行运行，而在虚拟化技术中，则可以同时运行多个操作系统，而且每一个操作系统中都有多个程序运行，每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上；而超线程技术只是单CPU模拟双CPU来平衡程序运行性能，这两个模拟出来的CPU是不能分离的，只能协同工作。

虚拟化技术也与目前VMware Workstation等同样能达到虚拟效果的软件不同，是一个巨大的技术进步，具体表现在减少软件虚拟机相关开销和支持更广泛的操作系统方面。

但随着大规模windows虚拟机的部署，如何保障登录安全成为直接困扰人们的问题，因此需要一种机制，既能够免去管理种类繁多的登录密码，又能够保障登录安全。

发明内容

本发明解决的技术问题之一在于提供一种面向windows虚拟机的一次性密码管理系统，保障windows虚拟机登录安全，尤其是大规模windows虚拟机管理的情况下，有效的windows一次性密码管理。

本发明解决的技术问题之二在于提供一种面向windows虚拟机的一次性密码管理系统的管理方法；保障windows虚拟机登录安全。

本发明解决上述技术问题之一的技术方案是：包括有请求处理单元、安全验证单元、消息传递单元和密码生成单元；

所述的请求处理单元用于监听终端用户的请求，并经过简单的分类处理后输出给相应的安全验证单元，并等待一次性密码返回消息封装后返回给终端用户；

所述的安全验证单元用于验证用户的合法性、用户是否拥有与请求相关的相应权限，并根据验证情况驳回用户请求并将错误信息等传递给请求处理单元或将请求消息输出给消息传递单元；

所述的消息传递单元用于根据用户请求功能划分接收到的消息，并将消息分发到各自的等待队列，之后传递给指定的服务节点，等待密码生成单元(13)处理，接收密码返回结果；

所述的密码生成单元用于为当前windows虚拟机生成一次性登录密码，并将密码返回给消息传递单元。

所述的请求处理单元请求命令的结构包括虚拟机标识、请求名称；所述的虚拟机标识于标识被操作的虚拟机，是区分一个虚拟机与其他虚拟机的全局唯一标识；请求名称用于标识用户发出获取windows虚拟机一次性密码的操作。

所述的安全验证单元的安全验证包括X509认证、权限验证；其中，X509认证用于密码真实性确定；权限验证用于验证用户的级别，确定用户是否拥有对该虚拟机镜像进行在线定制操作。

本发明解决上述技术问题之二的技术方案是：

按如下步骤进行消息传递处理和密码生成：

消息传递处理步骤：

步骤A1：云控制器端定位被操作虚拟机所运行的集群，将获取一次性密码消息传递到指定的集群控制器；

步骤A2：集群控制器定位被操作虚拟机所运行的节点，将获取一次性消息传递到指定的节点控制器；

步骤A3：节点控制器定位被操作的windows虚拟机所在域，将获取一次性密码详细传递到被操作的windows虚拟机所在的域；