本發(fā)明涉及云系統(tǒng)的身份認(rèn)證領(lǐng)域,尤其涉及一種基于usbkey登錄openstack云系統(tǒng)虛擬機(jī)的裝置和方法。
背景技術(shù):
pki(publickeyinfrastructure),被譽(yù)為現(xiàn)代信息社會(huì)安全的基石,能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明的提供數(shù)據(jù)加密、解密和簽名等密碼服務(wù)所必須的密鑰和證書(shū)管理功能,廣泛應(yīng)用于網(wǎng)上銀行、電子商務(wù)、電子政務(wù)等領(lǐng)域。一個(gè)完整地pki系統(tǒng)是由認(rèn)證機(jī)構(gòu)、密鑰管理中心(kmc)、注冊(cè)機(jī)構(gòu)、目錄服務(wù)、以及安全認(rèn)證應(yīng)用軟件、證書(shū)應(yīng)用服務(wù)等部分組成,其中認(rèn)證機(jī)構(gòu)(certificationauthority,ca)在pki系統(tǒng)中居于核心地位。由于pki提供了良好的安全平臺(tái),所以基于pki的硬件加密設(shè)備,如usbkey,加密ic卡等被國(guó)內(nèi)各大公司制作。
usbkey是網(wǎng)絡(luò)身份認(rèn)證和數(shù)據(jù)保護(hù)的“電子鑰匙”,被越來(lái)越多的用戶(hù)所認(rèn)識(shí)和使用。usbkey根據(jù)硬件芯片的不同分為使用智能卡芯片和不使用智能卡芯片兩種,按照cpu是否內(nèi)置加密算法又分為帶算法的和不帶算法的usbkey,即對(duì)應(yīng)的存儲(chǔ)型key和加密型key。usbkey內(nèi)部的操作系統(tǒng)一般都符合iso7816規(guī)范,一個(gè)設(shè)備有一個(gè)mf文件,多個(gè)df文件和多個(gè)ef文件,里面可以用來(lái)存放證書(shū)信息等數(shù)據(jù)。
openstack是目前最火的開(kāi)源云系統(tǒng),它是由美國(guó)國(guó)家宇航局(nasa)和rackspace合作開(kāi)發(fā)的,其目的是為企業(yè)提供公有云和私有云服務(wù)。openstack是一個(gè)iaas軟件,類(lèi)似與amazon的云基礎(chǔ)架構(gòu)服務(wù)(iaas),具有良好的可擴(kuò)展性和可靠的云部署方案。目前openstack有眾多的版本,隨著新版本的發(fā)放,功能越來(lái)越完善,其系統(tǒng)的穩(wěn)定性也大幅度提高。openstack是一個(gè)龐大的系統(tǒng),有眾多組件組成,例如計(jì)算組件(nova)、網(wǎng)絡(luò)組件(neutron)、存儲(chǔ)組件(swift)和認(rèn)證組件(keystone)等等。其中neutron組件為云系統(tǒng)的網(wǎng)絡(luò)模塊,它控制著整個(gè)網(wǎng)絡(luò)數(shù)據(jù)的流向,甚至包括虛擬機(jī)的網(wǎng)絡(luò)流量都由neutron組件來(lái)操控。neutron組件又包括dhcp-agent、l3-agent和openvswitch-agent服務(wù)。其中openvswitch-agent服務(wù)包括安全組功能,它用來(lái)過(guò)濾流入和流出虛擬機(jī)的流量。虛擬機(jī)可以屬于一個(gè)或者多個(gè)安全組,neutron使用這些安全組的規(guī)則來(lái)阻止或允許虛擬機(jī)的端口,或者流量類(lèi)型的訪問(wèn)。用戶(hù)可以根據(jù)自己的要求來(lái)創(chuàng)建安全組的規(guī)則,規(guī)則定制的要求可以根據(jù)說(shuō)明來(lái)進(jìn)行。
ca中心,又稱(chēng)為數(shù)字證書(shū)認(rèn)證中心,作為電子商務(wù)交易中受信任的第三方,專(zhuān)門(mén)解決公鑰體系中公鑰的合法性問(wèn)題。ca中心為每個(gè)使用公開(kāi)密鑰的用戶(hù)發(fā)放一個(gè)數(shù)字證書(shū),數(shù)字證書(shū)的作用是證實(shí)證書(shū)中列出的用戶(hù)名稱(chēng)和證書(shū)中列出的公開(kāi)密鑰相對(duì)應(yīng)。ca中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書(shū)。用戶(hù)可以將自己的證書(shū)提交到認(rèn)證中心,來(lái)驗(yàn)證證書(shū)的有效性。
云系統(tǒng)的iaas服務(wù)主要是為用戶(hù)提供虛擬機(jī)服務(wù)的,用戶(hù)如果要想登錄到虛擬機(jī),在linux服務(wù)器的情況下,可以使用ssh或者vnc等其他方式登錄;在windows情況的是可以使用rdp協(xié)議登錄。這個(gè)時(shí)候都要將neutron模塊中的安全組規(guī)則打開(kāi),才能允許用戶(hù)訪問(wèn)虛擬機(jī)。如果僅是通過(guò)用戶(hù)名和密碼登錄到虛擬機(jī),安全保障比較低。而且通信的過(guò)程中的采用明文傳輸數(shù)據(jù),就有可能被盜取。所有為了安全登錄到虛擬機(jī),采用usbkey中的數(shù)字證書(shū)登錄到虛擬機(jī),這樣不僅可以用來(lái)保證通信的安全,而且能夠驗(yàn)證用戶(hù)的有效性。
在傳統(tǒng)的登錄的虛擬機(jī)方式無(wú)非就是使用用戶(hù)和密碼的方式。該方法采用明文傳輸,極易遭到非法分子的截獲,不能保證虛擬機(jī)的安全性,且存在密碼容易忘記的問(wèn)題。針對(duì)上述分析,本發(fā)明提出了一種基于usbkey登錄到openstack云系統(tǒng)系統(tǒng)提供的虛擬機(jī)上的裝置和方法,通過(guò)基于usbkey中數(shù)字證書(shū)進(jìn)行安全通信,解析usbkey中的證書(shū),通過(guò)證書(shū)認(rèn)證中心能夠保證證書(shū)的有效性,進(jìn)而安全登錄到虛擬機(jī)。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明主要通過(guò)usbkey中的數(shù)字證書(shū)進(jìn)行用戶(hù)認(rèn)證和安全通信,進(jìn)而登錄虛擬機(jī)的過(guò)程。它主要用到的pki相關(guān)的內(nèi)容,然后結(jié)合openstack的neutron模塊,進(jìn)而完成用戶(hù)到虛擬機(jī)的通信流程,這里面用到ssl加密技術(shù),保證了數(shù)據(jù)通信的安全性、可靠性和唯一性。該發(fā)明有效的保障了虛擬機(jī)的安全性,彌補(bǔ)了使用用戶(hù)名和密碼登錄虛擬機(jī)的弊端。
本發(fā)明涉及到兩個(gè)方面,一個(gè)是使用usbkey登錄云系統(tǒng)過(guò)程。成功登錄到云系統(tǒng),就可以看到該用戶(hù)名下的虛擬機(jī);另一個(gè)是用戶(hù)通過(guò)vnc方式登錄虛擬機(jī)的過(guò)程。
本發(fā)明的技術(shù)方案如下所述:
一種基于usbkey登錄openstack云系統(tǒng)虛擬機(jī)的方法,其特征在于,包括:
用戶(hù)通過(guò)usbkey里面的數(shù)字證書(shū)向云系統(tǒng)發(fā)起連接請(qǐng)求;
所述云系統(tǒng)將獲取到的所述數(shù)字證書(shū)的有效數(shù)據(jù)發(fā)送給ca認(rèn)證中心;
所述ca認(rèn)證中心驗(yàn)證所述數(shù)字證書(shū)的有效性;
認(rèn)證失敗,提示認(rèn)證失敗;認(rèn)證成功,進(jìn)入云系統(tǒng)用戶(hù)的認(rèn)證;
所述云系統(tǒng)用戶(hù)的認(rèn)證失敗,所述云系統(tǒng)拒絕該用戶(hù)進(jìn)入云系統(tǒng);認(rèn)證成功,所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng)。
進(jìn)一步的,所述有效數(shù)據(jù)包括公鑰證書(shū)、有效期、簽名值和擴(kuò)展內(nèi)容。
進(jìn)一步的,所述云系統(tǒng)用戶(hù)的認(rèn)證是將解析到的證書(shū)的序列號(hào)或者用戶(hù)名發(fā)送給云系統(tǒng)的用戶(hù)認(rèn)證模塊。
進(jìn)一步的,所述云系統(tǒng)用戶(hù)的認(rèn)證成功后,進(jìn)行用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失?。淮_認(rèn)成功后,所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng);
設(shè)置一可持續(xù)待機(jī)時(shí)間t1,在用戶(hù)進(jìn)入所述云系統(tǒng)并處于待機(jī)狀態(tài)后,開(kāi)始計(jì)算待機(jī)持續(xù)時(shí)間,所述待機(jī)持續(xù)時(shí)間每過(guò)t1的時(shí)間,重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,退出所述云系統(tǒng);確認(rèn)成功后,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算后續(xù)待機(jī)持續(xù)時(shí)間。
進(jìn)一步的,所述云系統(tǒng)用戶(hù)的認(rèn)證成功后,進(jìn)行用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗;確認(rèn)成功后,所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng);
當(dāng)用戶(hù)進(jìn)行重要操作時(shí),重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作;確認(rèn)成功后,允許操作。
進(jìn)一步的,當(dāng)用戶(hù)進(jìn)行重要操作時(shí),重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作并退出所述云系統(tǒng);確認(rèn)成功后,允許操作,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
進(jìn)一步的,所述用戶(hù)進(jìn)入所述云系統(tǒng)后,向虛擬機(jī)發(fā)出登錄請(qǐng)求;
所述請(qǐng)求到達(dá)安全組,所述安全組獲取請(qǐng)求中用戶(hù)的數(shù)字證書(shū),并將該數(shù)字證書(shū)發(fā)送到所述ca認(rèn)證中心;
所述ca認(rèn)證中心驗(yàn)證該數(shù)字證書(shū)的有效性;
認(rèn)證失敗,所述虛擬機(jī)拒絕所述用戶(hù)登錄;認(rèn)證成功,所述用戶(hù)登錄到所述虛擬機(jī)。
進(jìn)一步的,所述usbkey為具有指紋識(shí)別功能的指紋key或者其他類(lèi)型的usbkey,所述指紋key的用戶(hù)密碼為用戶(hù)指紋,采用用戶(hù)指紋密碼進(jìn)行識(shí)別并登錄所述云系統(tǒng)虛擬機(jī);所述其他類(lèi)型的usbkey的用戶(hù)密碼為鍵盤(pán)或輸入設(shè)備輸入的數(shù)字和/或字符,采用傳統(tǒng)密碼輸入方式進(jìn)行識(shí)別并登錄所述云系統(tǒng)虛擬機(jī)。
根據(jù)本發(fā)明的另一方面,還提供一種登錄openstack云系統(tǒng)虛擬機(jī)的方法,其特征在于,包括
用戶(hù)向虛擬機(jī)發(fā)出登錄請(qǐng)求;
所述請(qǐng)求到達(dá)安全組,所述安全組獲取請(qǐng)求中用戶(hù)的數(shù)字證書(shū),如果沒(méi)有數(shù)字證書(shū),所述虛擬機(jī)拒絕所述用戶(hù)登錄,如果有數(shù)字證書(shū),則所述安全組將該數(shù)字證書(shū)發(fā)送到ca認(rèn)證中心;
所述ca認(rèn)證中心驗(yàn)證該數(shù)字證書(shū)的有效性;
認(rèn)證失敗,所述虛擬機(jī)拒絕所述用戶(hù)登錄;認(rèn)證成功,所述用戶(hù)登錄到所述虛擬機(jī)。
進(jìn)一步的,包括:
usbkey、云系統(tǒng)、ca認(rèn)證中心、用戶(hù)認(rèn)證模塊,其中,
用戶(hù)通過(guò)所述usbkey里面的數(shù)字證書(shū)向云系統(tǒng)發(fā)起連接請(qǐng)求;
所述云系統(tǒng)用于將獲取到的所述數(shù)字證書(shū)的有效數(shù)據(jù)發(fā)送給ca認(rèn)證中心;
所述ca認(rèn)證中心用于驗(yàn)證所述數(shù)字證書(shū)的有效性;
認(rèn)證失敗,提示認(rèn)證失?。徽J(rèn)證成功,進(jìn)入云系統(tǒng)的用戶(hù)認(rèn)證模塊進(jìn)行云系統(tǒng)用戶(hù)的認(rèn)證;
所述云系統(tǒng)用戶(hù)的認(rèn)證失敗,所述云系統(tǒng)拒絕該用戶(hù)進(jìn)入云系統(tǒng);認(rèn)證成功,所述云系統(tǒng)使所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng)。
進(jìn)一步的,所述有效數(shù)據(jù)包括公鑰證書(shū)、有效期、簽名值和擴(kuò)展內(nèi)容。
進(jìn)一步的,所述云系統(tǒng)用戶(hù)認(rèn)證模塊對(duì)解析到的證書(shū)的序列號(hào)或者用戶(hù)名進(jìn)行認(rèn)證。
進(jìn)一步的,還包括用戶(hù)密碼輸入確認(rèn)模塊,用于在所述云系統(tǒng)用戶(hù)的認(rèn)證成功后,進(jìn)行用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失??;確認(rèn)成功后,所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng);
還包括可持續(xù)待機(jī)待機(jī)時(shí)間參數(shù)設(shè)置模塊,用于設(shè)置一可持續(xù)待機(jī)時(shí)間t1;
還包括待機(jī)持續(xù)時(shí)間計(jì)算模塊,用于計(jì)算用戶(hù)待機(jī)持續(xù)時(shí)間,在用戶(hù)進(jìn)入云系統(tǒng)并處于待機(jī)模式后,開(kāi)始計(jì)算待機(jī)持續(xù)時(shí)間,所述待機(jī)持續(xù)時(shí)間每過(guò)t1的時(shí)間,重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,退出所述云系統(tǒng);確認(rèn)成功后,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
進(jìn)一步的,還包括用戶(hù)密碼輸入確認(rèn)模塊,用于在所述云系統(tǒng)用戶(hù)的認(rèn)證成功后,進(jìn)行用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失?。淮_認(rèn)成功后,所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng);
當(dāng)用戶(hù)進(jìn)行重要操作時(shí),重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作;確認(rèn)成功后,允許操作。
進(jìn)一步的,當(dāng)用戶(hù)進(jìn)行重要操作時(shí),重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作并退出所述云系統(tǒng);確認(rèn)成功后,允許操作,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
進(jìn)一步的,還包括安全組,虛擬機(jī),其中,
所述虛擬機(jī)用于接收所述用戶(hù)進(jìn)入所述云系統(tǒng)后向其發(fā)出的登錄請(qǐng)求;
所述安全組接收到所述登錄請(qǐng)求,并獲取所述請(qǐng)求中所述用戶(hù)的數(shù)字證書(shū),并將該數(shù)字證書(shū)發(fā)送到所述ca認(rèn)證中心;
所述ca認(rèn)證中心驗(yàn)證該數(shù)字證書(shū)的有效性;
認(rèn)證失敗,所述虛擬機(jī)拒絕所述用戶(hù)登錄;認(rèn)證成功,所述虛擬機(jī)允許用戶(hù)登錄。
進(jìn)一步的,所述usbkey為具有指紋識(shí)別功能的指紋key或者其他類(lèi)型的usbkey,所述指紋key的用戶(hù)密碼為用戶(hù)指紋,采用用戶(hù)指紋密碼進(jìn)行識(shí)別并登錄所述云系統(tǒng)虛擬機(jī);所述其他類(lèi)型的usbkey的用戶(hù)密碼為鍵盤(pán)或輸入設(shè)備輸入的數(shù)字和/或字符,采用傳統(tǒng)密碼輸入方式進(jìn)行識(shí)別并登錄所述云系統(tǒng)虛擬機(jī)。
根據(jù)本發(fā)明的另一方面,本發(fā)明還提供一種登錄openstack云系統(tǒng)虛擬機(jī)的裝置,包括虛擬機(jī)、安全組、ca認(rèn)證中心,其中,
所述虛擬機(jī)用于接收用戶(hù)向其發(fā)出的登錄請(qǐng)求;
所述安全組接收到所述登錄請(qǐng)求,并獲取所述請(qǐng)求中所述用戶(hù)的數(shù)字證書(shū),如果沒(méi)有獲取到數(shù)字證書(shū),所述虛擬機(jī)拒絕所述用戶(hù)登錄,如果取得數(shù)字證書(shū),則所述安全組將該數(shù)字證書(shū)發(fā)送到所述ca認(rèn)證中心;
所述ca認(rèn)證中心驗(yàn)證該數(shù)字證書(shū)的有效性;
認(rèn)證失敗,所述虛擬機(jī)拒絕所述用戶(hù)登錄;認(rèn)證成功,所述虛擬機(jī)允許用戶(hù)登錄。
有益效果:在該裝置中用戶(hù)采用usbkey登錄虛擬機(jī),不僅能夠保證整個(gè)通信過(guò)程的安全性,還能保證非法用戶(hù)無(wú)法登錄到虛擬機(jī)。尤其采用pki系統(tǒng)中的ca認(rèn)證中心,更能有效的保障了整個(gè)系統(tǒng)的可靠性。同時(shí),采用usbkey登錄虛擬機(jī),用戶(hù)無(wú)需再輸入用戶(hù)名和密碼,認(rèn)證通過(guò)后直接可以登錄到虛擬機(jī),也解決了密碼容易忘記的問(wèn)題,使操作更方便。此外,本發(fā)明通過(guò)ca認(rèn)證中心和用戶(hù)認(rèn)證中心,來(lái)保證用戶(hù)的合法性,通過(guò)安全組的再一次認(rèn)證,杜絕不使用證書(shū)登錄系統(tǒng),而通過(guò)其他方式進(jìn)入虛擬機(jī)的方式,有效的保障了虛擬機(jī)資源的安全性。另外,通過(guò)設(shè)置可持續(xù)待機(jī)時(shí)間以及用戶(hù)密碼或指紋的再確認(rèn)機(jī)制,可防止具有高權(quán)限的用戶(hù)使用完后,忘記拔掉usbkey而被他人進(jìn)入系統(tǒng),刪改數(shù)據(jù)的情況。重要操作中的重新驗(yàn)證機(jī)制,也增強(qiáng)對(duì)重要操作人員的身份確認(rèn),增強(qiáng)了系統(tǒng)的安全性。
附圖說(shuō)明
為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)要地介紹,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明基于usbkey登錄虛擬機(jī)的原理圖;
圖2為本發(fā)明基于usbkey登錄虛擬機(jī)的流程圖。
具體實(shí)施方式
為便于對(duì)本發(fā)明實(shí)施例的理解,下面將結(jié)合附圖以幾個(gè)具體實(shí)施例為例作進(jìn)一步的解釋說(shuō)明,且各個(gè)實(shí)施例并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定。
下面將就本發(fā)明中一種基于usbkey登錄openstack云系統(tǒng)虛擬機(jī)的裝置和方法進(jìn)行詳細(xì)說(shuō)明。
實(shí)施例一:
本發(fā)明實(shí)施例一提供了用戶(hù)基于usbkey登錄到云系統(tǒng)的方法,包括:
(1)用戶(hù)在電腦上插入自己的usbkey向云系統(tǒng)發(fā)起建立ssl安全連接請(qǐng)求,該請(qǐng)求是用戶(hù)通過(guò)瀏覽器打開(kāi)云系統(tǒng),此次請(qǐng)求采用ssl協(xié)議,所以進(jìn)入系統(tǒng)之前,瀏覽器將彈出證書(shū)的對(duì)話框,然后用戶(hù)選擇自己的數(shù)字證書(shū);
(2)云系統(tǒng)對(duì)用戶(hù)證書(shū)身份進(jìn)行驗(yàn)證。驗(yàn)證通過(guò)則與用戶(hù)建立ssl安全通道,反之則拒絕;
(3)云系統(tǒng)將獲取的用戶(hù)數(shù)字證書(shū)的有效數(shù)據(jù),例如公鑰證書(shū)、有效期、簽名值和擴(kuò)展內(nèi)容等,發(fā)送到ca認(rèn)證中心,進(jìn)一步進(jìn)行證書(shū)的驗(yàn)證,防止注銷(xiāo)的證書(shū)登錄系統(tǒng),如果認(rèn)證通過(guò)則進(jìn)入下一步,否則退出系統(tǒng);
(4)云系統(tǒng)將解析得到的用戶(hù)名和證書(shū)序列號(hào)發(fā)送到用戶(hù)認(rèn)證中心進(jìn)行用戶(hù)認(rèn)證,云系統(tǒng)用戶(hù)的認(rèn)證就是將解析到的證書(shū)的序列號(hào)或者用戶(hù)名發(fā)送給云系統(tǒng)的用戶(hù)認(rèn)證模塊,如果數(shù)據(jù)庫(kù)存在該用戶(hù),則進(jìn)入系統(tǒng),否則拒絕進(jìn)入系統(tǒng);
(5)用戶(hù)認(rèn)證后,根據(jù)該用戶(hù)具有的權(quán)限,進(jìn)入到所屬自己資源的云系統(tǒng)。
通過(guò)以上步驟,就完成了一次usbkey登錄到云系統(tǒng)的過(guò)程。
另外,在用戶(hù)登錄到云系統(tǒng)時(shí),還可以通過(guò)如下方式進(jìn)一步增強(qiáng)系統(tǒng)的安全性,如:
在所述云系統(tǒng)用戶(hù)的認(rèn)證成功后,進(jìn)行用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失??;確認(rèn)成功后,所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng);設(shè)置一可持續(xù)待機(jī)時(shí)間t1,在用戶(hù)進(jìn)入所述云系統(tǒng)后,開(kāi)始計(jì)算登錄持續(xù)時(shí)間,所述登錄持續(xù)時(shí)間每過(guò)t1的時(shí)間,重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,退出所述云系統(tǒng);確認(rèn)成功后,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
進(jìn)一步地,所述云系統(tǒng)用戶(hù)的認(rèn)證成功后,進(jìn)行用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失??;確認(rèn)成功后,所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng);當(dāng)用戶(hù)進(jìn)行重要操作時(shí),重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作;確認(rèn)成功后,允許操作。
進(jìn)一步地,當(dāng)用戶(hù)進(jìn)行重要操作時(shí),重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作并退出所述云系統(tǒng);確認(rèn)成功后,允許操作,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
另外,還可以將所述usbkey選擇使用具有指紋識(shí)別功能的指紋key,通過(guò)使用具有指紋識(shí)別功能的指紋key,可以使用戶(hù)登錄云系統(tǒng)時(shí)在key上進(jìn)行指紋認(rèn)證以代替從電腦鍵盤(pán)輸入個(gè)人識(shí)別碼,從物理上徹底杜絕黑客攻擊的途徑,從而有效防止他人盜取用戶(hù)信息,進(jìn)行信息篡改、騙簽等安全隱患。
進(jìn)一步地,設(shè)置一可持續(xù)待機(jī)時(shí)間t2,在用戶(hù)進(jìn)入所述云系統(tǒng)或登錄所述虛擬機(jī)后,開(kāi)始計(jì)算登錄持續(xù)時(shí)間,所述登錄持續(xù)時(shí)間每過(guò)t2的時(shí)間,重復(fù)進(jìn)行用戶(hù)指紋密碼的識(shí)別,認(rèn)證失敗,提示認(rèn)證失敗,退出所述云系統(tǒng)或虛擬機(jī);認(rèn)證成功后,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
進(jìn)一步地,每當(dāng)用戶(hù)進(jìn)行重要操作時(shí),進(jìn)行用戶(hù)指紋密碼的識(shí)別,確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作;認(rèn)證成功后,允許操作。
進(jìn)一步地,每當(dāng)用戶(hù)進(jìn)行重要操作時(shí),進(jìn)行用戶(hù)指紋密碼的識(shí)別,確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作并退出所述云系統(tǒng);確認(rèn)成功后,允許操作,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
實(shí)施例二:
本發(fā)明實(shí)施例二提供了用戶(hù)登錄虛擬機(jī)的方法,包括以下步驟:
(1)在ssl的通信過(guò)程中,用戶(hù)通過(guò)vnc向虛擬機(jī)發(fā)出登錄請(qǐng)求;
(2)根據(jù)libvirt制作虛擬機(jī)的vnc配置,以及nova模塊中配置文件的參數(shù),發(fā)送請(qǐng)求到達(dá)neutron模塊中的安全組,安全組根據(jù)發(fā)送的數(shù)據(jù)請(qǐng)求,檢查是否有公鑰證書(shū)信息。如果有則進(jìn)入步驟(3),否則無(wú)法進(jìn)入虛擬機(jī);
(3)安全組將獲取的證書(shū)信息發(fā)送到ca認(rèn)證中心,驗(yàn)證證書(shū)的有效性,如果證書(shū)有效,則進(jìn)入虛擬機(jī),否則無(wú)法進(jìn)入虛擬機(jī)。ca中心對(duì)該證書(shū)進(jìn)行校驗(yàn),該校驗(yàn)包括用戶(hù)數(shù)字證書(shū)是否在有效期內(nèi),以及對(duì)用戶(hù)dn和擴(kuò)展信息進(jìn)行校驗(yàn)確認(rèn)其是否有效。此處驗(yàn)證證書(shū)的目的是防止用戶(hù)使用其他協(xié)議進(jìn)入虛擬機(jī),保證虛擬機(jī)的安全。比如,分配一個(gè)虛擬機(jī)給用戶(hù),用戶(hù)在虛擬機(jī)上安裝了ssh服務(wù),那么用戶(hù)就會(huì)繞過(guò)vnc的登錄方式登錄到虛擬機(jī),不是使用usbkey的方式登錄到虛擬機(jī),當(dāng)使用ssh登錄虛擬機(jī)時(shí),請(qǐng)求到達(dá)安全組時(shí)可以根據(jù)證書(shū)的認(rèn)證情況攔截該訪問(wèn)請(qǐng)求,當(dāng)然沒(méi)有證書(shū)信息將無(wú)法登錄到虛擬機(jī);再者,即使通過(guò)ssh客戶(hù)端來(lái)訪問(wèn)虛擬機(jī),客戶(hù)端配置好用戶(hù)的數(shù)字證書(shū),如果在安全組功能處驗(yàn)證數(shù)字證書(shū)的有效性也可以登錄到虛擬機(jī)。
通過(guò)以上步驟操作用戶(hù)就可以安全的使用自己虛擬機(jī)。
實(shí)施例三:
本發(fā)明實(shí)施例三對(duì)應(yīng)于實(shí)施例一提供了一種基于usbkey登錄openstack云系統(tǒng)虛擬機(jī)的裝置,包括:usbkey、云系統(tǒng)、ca認(rèn)證中心、用戶(hù)認(rèn)證模塊,其中,用戶(hù)通過(guò)所述usbkey里面的數(shù)字證書(shū)向云系統(tǒng)發(fā)起連接請(qǐng)求;所述云系統(tǒng)用于將獲取到的所述數(shù)字證書(shū)的有效數(shù)據(jù)發(fā)送給ca認(rèn)證中心;所述ca認(rèn)證中心用于驗(yàn)證所述數(shù)字證書(shū)的有效性;認(rèn)證失敗,提示認(rèn)證失敗;認(rèn)證成功,進(jìn)入云系統(tǒng)的用戶(hù)認(rèn)證模塊進(jìn)行云系統(tǒng)用戶(hù)的認(rèn)證;所述云系統(tǒng)用戶(hù)的認(rèn)證失敗,所述云系統(tǒng)拒絕該用戶(hù)進(jìn)入云系統(tǒng);認(rèn)證成功,所述云系統(tǒng)使所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng)。
進(jìn)一步地,所述有效數(shù)據(jù)包括公鑰證書(shū)、有效期、簽名值和擴(kuò)展內(nèi)容。
進(jìn)一步地,所述云系統(tǒng)用戶(hù)認(rèn)證模塊對(duì)解析到的證書(shū)的序列號(hào)或者用戶(hù)名進(jìn)行認(rèn)證。
進(jìn)一步地,還包括用戶(hù)密碼輸入確認(rèn)模塊,用于在所述云系統(tǒng)用戶(hù)的認(rèn)證成功后,進(jìn)行用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失??;確認(rèn)成功后,所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng);還包括可持續(xù)待機(jī)時(shí)間參數(shù)設(shè)置模塊,用于設(shè)置一可持續(xù)待機(jī)時(shí)間t1;還包括登錄持續(xù)時(shí)間計(jì)算模塊,用于計(jì)算用戶(hù)登錄持續(xù)時(shí)間,在用戶(hù)進(jìn)入所述云系統(tǒng)后,開(kāi)始計(jì)算登錄持續(xù)時(shí)間,所述登錄持續(xù)時(shí)間每過(guò)t1的時(shí)間,重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,退出所述云系統(tǒng);確認(rèn)成功后,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
進(jìn)一步地,還包括用戶(hù)密碼輸入確認(rèn)模塊,用于在所述云系統(tǒng)用戶(hù)的認(rèn)證成功后,進(jìn)行用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失??;確認(rèn)成功后,所述用戶(hù)進(jìn)入到所屬自己資源的云系統(tǒng);當(dāng)用戶(hù)進(jìn)行重要操作時(shí),重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作;確認(rèn)成功后,允許操作。
進(jìn)一步地,當(dāng)用戶(hù)進(jìn)行重要操作時(shí),重復(fù)進(jìn)行上述用戶(hù)密碼的輸入確認(rèn),確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作并退出所述云系統(tǒng);確認(rèn)成功后,允許操作,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
進(jìn)一步地,還包括安全組,虛擬機(jī),其中,所述虛擬機(jī)用于接收所述用戶(hù)進(jìn)入所述云系統(tǒng)后向其發(fā)出的登錄請(qǐng)求;所述安全組接收到所述登錄請(qǐng)求,并獲取所述請(qǐng)求中所述用戶(hù)的數(shù)字證書(shū),并將該數(shù)字證書(shū)發(fā)送到所述ca認(rèn)證中心;所述ca認(rèn)證中心驗(yàn)證該數(shù)字證書(shū)的有效性;認(rèn)證失敗,所述虛擬機(jī)拒絕所述用戶(hù)登錄;認(rèn)證成功,所述虛擬機(jī)允許用戶(hù)登錄。
進(jìn)一步地,所述usbkey為具有指紋識(shí)別功能的指紋key。
進(jìn)一步地,還包括可持續(xù)待機(jī)時(shí)間參數(shù)設(shè)置模塊,用于設(shè)置一可持續(xù)待機(jī)時(shí)間t2;還包括登錄持續(xù)時(shí)間計(jì)算模塊,用于計(jì)算用戶(hù)登錄持續(xù)時(shí)間,在用戶(hù)進(jìn)入所述云系統(tǒng)或登錄所述虛擬機(jī)后,開(kāi)始計(jì)算登錄持續(xù)時(shí)間,所述登錄持續(xù)時(shí)間每過(guò)t2的時(shí)間,重復(fù)進(jìn)行用戶(hù)指紋密碼的識(shí)別,認(rèn)證失敗,提示認(rèn)證失敗,退出所述云系統(tǒng)或虛擬機(jī);認(rèn)證成功后,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
進(jìn)一步地,每當(dāng)用戶(hù)進(jìn)行重要操作時(shí),進(jìn)行用戶(hù)指紋密碼的識(shí)別,確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作;認(rèn)證成功后,允許操作。
進(jìn)一步地,每當(dāng)用戶(hù)進(jìn)行重要操作時(shí),進(jìn)行用戶(hù)指紋密碼的識(shí)別,確認(rèn)失敗,提示認(rèn)證失敗,拒絕操作并退出所述云系統(tǒng);確認(rèn)成功后,允許操作,維持所述用戶(hù)的登錄狀態(tài),并重新計(jì)算登錄持續(xù)時(shí)間。
實(shí)施例四:
本發(fā)明實(shí)施例四對(duì)應(yīng)于實(shí)施例二提供了一種登錄openstack云系統(tǒng)虛擬機(jī)的裝置,包括虛擬機(jī)、安全組、ca認(rèn)證中心,其中,所述虛擬機(jī)用于接收用戶(hù)向其發(fā)出的登錄請(qǐng)求;所述安全組接收到所述登錄請(qǐng)求,并獲取所述請(qǐng)求中所述用戶(hù)的數(shù)字證書(shū),如果沒(méi)有獲取到數(shù)字證書(shū),所述虛擬機(jī)拒絕所述用戶(hù)登錄,如果取得數(shù)字證書(shū),則所述安全組將該數(shù)字證書(shū)發(fā)送到所述ca認(rèn)證中心;所述ca認(rèn)證中心驗(yàn)證該數(shù)字證書(shū)的有效性;認(rèn)證失敗,所述虛擬機(jī)拒絕所述用戶(hù)登錄;認(rèn)證成功,所述虛擬機(jī)允許用戶(hù)登錄。
綜上所述,本發(fā)明提出了一種基于usbkey登錄openstack云系統(tǒng)虛擬機(jī)的裝置和方法,用戶(hù)可以使用安全的usbkey來(lái)登錄到虛擬機(jī),可以保證整個(gè)通信過(guò)程的安全性和可靠性;此外,通過(guò)ca認(rèn)證中心和用戶(hù)認(rèn)證中心,來(lái)保證用戶(hù)的合法性,通過(guò)安全組的再一次認(rèn)證,杜絕不使用證書(shū)登錄系統(tǒng),而通過(guò)其他方式進(jìn)入虛擬機(jī)的方式,有效的保障了虛擬機(jī)資源的安全性。
本領(lǐng)域普通技術(shù)人員可以理解:附圖只是一個(gè)實(shí)施例的示意圖,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的。
通過(guò)以上的實(shí)施方式的描述可知,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如rom/ram、磁碟、光盤(pán)等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。
本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其,對(duì)于系統(tǒng)或系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述得比較簡(jiǎn)單,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。以上所描述的系統(tǒng)及系統(tǒng)實(shí)施例僅僅是示意性的,其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施。
以上所述,僅為本發(fā)明較佳的具體實(shí)施方式,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。