CN105721441A - 一种虚拟化环境下身份认证方法 - Google Patents
一种虚拟化环境下身份认证方法 Download PDFInfo
- Publication number
- CN105721441A CN105721441A CN201610041952.7A CN201610041952A CN105721441A CN 105721441 A CN105721441 A CN 105721441A CN 201610041952 A CN201610041952 A CN 201610041952A CN 105721441 A CN105721441 A CN 105721441A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- random number
- virtual machine
- long
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明设计并实现了一种虚拟化环境下身份认证方法,具体包括以下步骤:首先,将服务器虚拟化环境设置成只允许本地IP远程连接到虚拟机。然后,注册并登记远程虚拟机用户的基本信息,并为用户唯一分配与其相对应的USB Key硬件设备。随后,拥有相应USB Key的远程用户向主服务器发送用户名与密码等信息请求主服务器认证,当通过主服务器的身份认证后,主服务器会返回给远程用户一个随机数,并将该随机数告知从服务器,远程用户必须在有效时间内将该随机数与自己的身份信息发送给从服务器,向从服务器发起二次认证。当全部认证都通过后,从服务器开启相应虚拟机,并通过传输代理与远程用户进行通信,这样远程用户就成功登陆到了虚拟化环境下的远程桌面。
Description
技术领域
本发明属于云计算技术领域,更具体地,涉及一种虚拟化环境下身份认证方法。
背景技术
云计算代表着一种新的商业计算模式,其在各方面的实际应用上还有很多不确定的地方,面临着很多的安全挑战。其中,对于云平台中用户数据安全的问题尤其突出,主要表现在如下方面:在云中虚拟化的效率要求多个组织的虚拟机共存于同一物理资源上。虽然传统的数据中心的安全仍然适用于云环境,物理隔离和基于硬件的安全不能保护防止在同一服务器上虚拟机之间的攻击。管理访问是通过互联网,而不是传统数据中心模式中坚持的受控制的和限制的直接或到现场的连接。这增加了风险和暴露,将需要对***控制和访问控制限制的变化进行严密监控。
目前,现有的云平台基本都提供了远程用户远程连接到虚拟机的方法,但此方法是直接进行连接的,并未对连接用户做任何的限制,这使得任何用户都可以远程连接到虚拟机,进行远程桌面映射,这使得虚拟化环境变得极不安全。
发明内容
针对现有技术的缺陷,本发明的目的在于提供一种虚拟化环境下远程连接到虚拟机时的身份认证方法,旨在在当前基础上加强虚拟化远程桌面连接的安全、可控管理,防止恶意用户登陆到虚拟机远程桌面,从而提高***的整体的安全等级。
为实现上述目的,本发明提供了一种虚拟化环境下身份认证方法,包括以下步骤:
(1)将服务器虚拟化环境设置成只允许本地IP远程连接到虚拟机;
(2)注册并登记远程虚拟机用户的基本信息,并为用户唯一分配与其相对应的USBKey硬件设备;
(3)当远程用户连接到远程虚拟化环境,进行远程连接桌面时,必须先进行USBKey的身份认证;
(4)若远程用户通过USBKey认证,远程用户向主服务器发送用户名与密码等信息请求主服务器认证,否则认证失败;
(5)若通过主服务器的身份认证,主服务器返回给远程用户一个随机数,并将该随机数告知从服务器,否则认证失败;
(6)远程用户在有效的时间内将该随机数与自己的身份信息发送给从服务器,向从服务器发起二次认证;
(7)若通过从服务器认证,从服务器开启相应的虚拟机,并通过传输代理与远程用户进行通信,这样远程用户就成功登陆到了虚拟化环境下的远程桌面,认证通过,否则认证失败。
通过将服务器虚拟化环境设成只允许本地IP远程连接到虚拟机,使得远程用户不能直接进行远程桌面连接,必须通过传输代理程序进行转发,而代理程序只会为通过了认证的用户服务,这使得用户要想连接到远程虚拟机,就无法绕过身份认证。
USBKey与用户用户保持唯一的对应关系。
从服务器与用户都会从主服务器获得相同的随机数,用户从主服务器获得的随机数只在一定时间内有效,超时认证从服务器会将该随机数设为无效。
通过本发明所构思的以上技术方案,与现有技术相比,本发明具有以下的有益效果:
1、由于步骤(1)只允许本地IP远程连接到虚拟机,使得远程用户不能直接进行远程桌面连接,必须通过传输代理程序进行转发,而代理程序只会为通过了认证的用户服务,这使得用户要想连接到远程虚拟机,就无法绕过身份认证;
2、由于步骤(2)使用了USBKey硬件,使得即使黑客知道了用户名和口令等信息,如果没有获得到USBKey硬件,依然无法登陆到***。所以克服了距离定义过于敏感的问题;
3、由于步骤(5)使用将随机数同时发送给从服务器和客户,保证了用户不能在没有通过主服务器认证时,直接向从服务器发起认证。
4、由于步骤(5)为从服务器的随机数设置了有效时间,使得连接超时的用户无法连接到从服务器,有效防止了随机数的过期使用问题。
附图说明
图1是本发明虚拟化环境下身份认证方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
如图1所示,本发明虚拟化环境下身份认证方法包括以下步骤:
(1)将服务器虚拟化环境设置成只允许本地IP远程连接到虚拟机;
(2)注册并登记远程虚拟机用户的基本信息,并为用户唯一分配与其相对应的USBKey硬件设备;
(3)当远程用户连接到远程虚拟化环境,进行远程连接桌面时,必须先进行USBKey的身份认证;
(4)若远程用户通过USBKey认证,远程用户向主服务器发送用户名与密码等信息请求主服务器认证,否则认证失败;
(5)若通过主服务器的身份认证,主服务器返回给远程用户一个随机数,并将该随机数告知从服务器,否则认证失败;
(6)远程用户在有效的时间内将该随机数与自己的身份信息发送给从服务器,向从服务器发起二次认证;
(7)若通过从服务器认证,从服务器开启相应的虚拟机,并通过传输代理与远程用户进行通信,这样远程用户就成功登陆到了虚拟化环境下的远程桌面,认证通过,否则认证失败。
通过将服务器虚拟化环境设成只允许本地IP远程连接到虚拟机,使得远程用户不能直接进行远程桌面连接,必须通过传输代理程序进行转发,而代理程序只会为通过了认证的用户服务,这使得用户要想连接到远程虚拟机,就无法绕过身份认证。
USBKey与用户用户保持唯一的对应关系。
从服务器与用户都会从主服务器获得相同的随机数,用户从主服务器获得的随机数只在一定时间内有效,超时认证从服务器会将该随机数设为无效。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种虚拟化环境下身份认证方法,其特征在于,所述方法包括以下步骤:
(1)将服务器虚拟化环境设置成只允许本地IP远程连接到虚拟机;
(2)注册并登记远程虚拟机用户的基本信息,并为用户唯一分配与其相对应的USBKey硬件设备;
(3)当远程用户连接到远程虚拟化环境,进行远程连接桌面时,必须先进行USBKey的身份认证;
(4)若远程用户通过USBKey认证,远程用户向主服务器发送用户名与密码等信息请求主服务器认证,否则认证失败;
(5)若通过主服务器的身份认证,主服务器返回给远程用户一个随机数,并将该随机数告知从服务器,否则认证失败;
(6)远程用户在有效的时间内将该随机数与自己的身份信息发送给从服务器,向从服务器发起二次认证;
(7)若通过从服务器认证,从服务器开启相应的虚拟机,并通过传输代理与远程用户进行通信,这样远程用户就成功登陆到了虚拟化环境下的远程桌面,认证通过,否则认证失败。
2.根据权利要求1所述的方法,其特征在于,通过将服务器虚拟化环境设成只允许本地IP远程连接到虚拟机,使得远程用户不能直接进行远程桌面连接,必须通过传输代理程序进行转发,而代理程序只会为通过了认证的用户服务,使得用户要想连接到远程虚拟机,就无法绕过身份认证。
3.根据权利要求1或2所述的方法,其特征在于,所述USBKey与用户保持唯一的对应关系。
4.根据权利要求1或2所述的方法,其特征在于,从服务器与用户都会从主服务器获得相同的随机数,用户从主服务器获得的随机数只在一定时间内有效,超时认证从服务器会将该随机数设为无效。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610041952.7A CN105721441B (zh) | 2016-01-22 | 2016-01-22 | 一种虚拟化环境下身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610041952.7A CN105721441B (zh) | 2016-01-22 | 2016-01-22 | 一种虚拟化环境下身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105721441A true CN105721441A (zh) | 2016-06-29 |
CN105721441B CN105721441B (zh) | 2020-06-02 |
Family
ID=56154917
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610041952.7A Active CN105721441B (zh) | 2016-01-22 | 2016-01-22 | 一种虚拟化环境下身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105721441B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106330577A (zh) * | 2016-11-11 | 2017-01-11 | 郑州云海信息技术有限公司 | 一种虚拟化管理平台中管理节点切换方法及*** |
CN109583182A (zh) * | 2018-11-29 | 2019-04-05 | 北京元心科技有限公司 | 启动远程桌面的方法、装置、电子设备及计算机存储介质 |
CN111092731A (zh) * | 2019-11-04 | 2020-05-01 | 西安万像电子科技有限公司 | 认证方法及服务器 |
CN111723042A (zh) * | 2020-07-02 | 2020-09-29 | 宏远智控科技(北京)有限公司 | 远程高速usb透传方法、装置及设备 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101697540A (zh) * | 2009-10-15 | 2010-04-21 | 浙江大学 | 一种p2p服务请求用户身份认证方法 |
US20140331089A1 (en) * | 2013-05-03 | 2014-11-06 | International Business Machines Corporation | Enabling remote debugging of virtual machines running in a cloud environment |
CN104184743A (zh) * | 2014-09-10 | 2014-12-03 | 西安电子科技大学 | 面向云计算平台的三层认证***及认证方法 |
CN104378206A (zh) * | 2014-10-20 | 2015-02-25 | 中国科学院信息工程研究所 | 一种基于USB-Key的虚拟桌面安全认证方法及*** |
CN104506625A (zh) * | 2014-12-22 | 2015-04-08 | 国云科技股份有限公司 | 一种提升云数据库元数据节点可靠性的方法 |
CN104579694A (zh) * | 2015-02-09 | 2015-04-29 | 浙江大学 | 一种身份认证方法及*** |
CN104811455A (zh) * | 2015-05-18 | 2015-07-29 | 成都卫士通信息产业股份有限公司 | 一种云计算身份认证方法 |
CN105187362A (zh) * | 2014-06-23 | 2015-12-23 | 中兴通讯股份有限公司 | 一种桌面云客户端和服务端之间连接认证的方法及装置 |
-
2016
- 2016-01-22 CN CN201610041952.7A patent/CN105721441B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101697540A (zh) * | 2009-10-15 | 2010-04-21 | 浙江大学 | 一种p2p服务请求用户身份认证方法 |
US20140331089A1 (en) * | 2013-05-03 | 2014-11-06 | International Business Machines Corporation | Enabling remote debugging of virtual machines running in a cloud environment |
CN105187362A (zh) * | 2014-06-23 | 2015-12-23 | 中兴通讯股份有限公司 | 一种桌面云客户端和服务端之间连接认证的方法及装置 |
CN104184743A (zh) * | 2014-09-10 | 2014-12-03 | 西安电子科技大学 | 面向云计算平台的三层认证***及认证方法 |
CN104378206A (zh) * | 2014-10-20 | 2015-02-25 | 中国科学院信息工程研究所 | 一种基于USB-Key的虚拟桌面安全认证方法及*** |
CN104506625A (zh) * | 2014-12-22 | 2015-04-08 | 国云科技股份有限公司 | 一种提升云数据库元数据节点可靠性的方法 |
CN104579694A (zh) * | 2015-02-09 | 2015-04-29 | 浙江大学 | 一种身份认证方法及*** |
CN104811455A (zh) * | 2015-05-18 | 2015-07-29 | 成都卫士通信息产业股份有限公司 | 一种云计算身份认证方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106330577A (zh) * | 2016-11-11 | 2017-01-11 | 郑州云海信息技术有限公司 | 一种虚拟化管理平台中管理节点切换方法及*** |
CN109583182A (zh) * | 2018-11-29 | 2019-04-05 | 北京元心科技有限公司 | 启动远程桌面的方法、装置、电子设备及计算机存储介质 |
CN109583182B (zh) * | 2018-11-29 | 2021-06-04 | 北京元心科技有限公司 | 启动远程桌面的方法、装置、电子设备及计算机存储介质 |
CN111092731A (zh) * | 2019-11-04 | 2020-05-01 | 西安万像电子科技有限公司 | 认证方法及服务器 |
CN111723042A (zh) * | 2020-07-02 | 2020-09-29 | 宏远智控科技(北京)有限公司 | 远程高速usb透传方法、装置及设备 |
CN111723042B (zh) * | 2020-07-02 | 2022-05-10 | 宏远智控科技(北京)有限公司 | 远程高速usb透传方法、装置及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN105721441B (zh) | 2020-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112073400B (zh) | 一种访问控制方法、***、装置及计算设备 | |
US8984621B2 (en) | Techniques for secure access management in virtual environments | |
CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
CN105991734B (zh) | 一种云平台管理方法及*** | |
US9529993B2 (en) | Policy-driven approach to managing privileged/shared identity in an enterprise | |
US8875166B2 (en) | Method and cloud security framework for implementing tenant license verification | |
US8091119B2 (en) | Identity based network mapping | |
US9197644B1 (en) | System and method for multitenant management of domains | |
US20100175119A1 (en) | Management of Access Authorization to Web Forums Open to Anonymous Users Within an Organization | |
CN103761600A (zh) | 一种电子政务综合应用平台及方法 | |
CN104052746B (zh) | 异构应用单点登录***及其单点登录方法 | |
CN105721441A (zh) | 一种虚拟化环境下身份认证方法 | |
CN109672680B (zh) | 跨域登录方法 | |
US10305913B2 (en) | Authentication control device and authentication control method | |
CN103618752A (zh) | 一种虚拟机远程桌面安全访问***及方法 | |
CN103377330B (zh) | 一种虚拟资源分配方法及虚拟资源分配*** | |
US9467333B2 (en) | Control system and method for network service and function of virtual desktop application in cloud | |
EP4172818B1 (en) | Shared resource identification | |
CN102571873A (zh) | 一种分布式***中的双向安全审计方法及装置 | |
US8332642B2 (en) | Monitor portal, monitor system, terminal and computer readable medium thereof | |
CN107634973A (zh) | 一种服务接口安全调用方法 | |
CN106453425A (zh) | 一种多用户使用主机插件的权限管理方法及*** | |
CN104579681A (zh) | 互信应用***间身份认证*** | |
CN103166969A (zh) | 一种基于云计算平台的安全云控制器访问方法 | |
CN104967515B (zh) | 一种身份认证方法及服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |