访问虚拟机的方法、装置及系统制造方法及图纸

本发明专利技术公开了一种访问虚拟机的方法、装置及系统，涉及数据安全技术领域，能够解决现有技术中当虚拟机受网络控制时，无法基于USBkey认证机制实现虚拟机访问控制的问题。本发明专利技术的方法包括：虚拟机在接收到访问请求后，获取与访问请求相对应的智能密码钥匙中待认证的身份信息；将身份信息通过半虚拟化接口发送给宿主机，以便由宿主机通过网络将身份信息发送给认证服务器，并由宿主机通过网络接收认证服务器对身份信息进行身份认证的认证结果；接收宿主机通过半虚拟化接口发送的认证结果，以便根据认证结果确定智能密码钥匙所对应的用户是否具有访问权限。本发明专利技术主要适用于基于USBkey认证实现虚拟机访问控制的场景中。

Methods, devices and systems for accessing virtual machines

The invention discloses a method, device and system for accessing virtual machines, and relates to the field of data security. It can solve the problem of virtual machine access control in the existing technology when virtual machine is controlled by network, based on USBkey authentication mechanism. The method of the invention comprises: a virtual machine in after receiving the access request, and obtain the access request of smart key corresponding to the identity authentication information; the identity information transmitted through the virtual interface to the host, so that by the host through the network identity information sent to the authentication server, and by the host through the receiving network authentication server authenticates the identity authentication information; receiving host by sending paravirtual interface authentication results, according to the authentication result to determine the corresponding smart key is whether the user has access. The invention is mainly applicable to the scene of virtual machine access control based on USBkey authentication.

【技术实现步骤摘要】
访问虚拟机的方法、装置及系统
本专利技术涉及数据安全
，特别是涉及一种访问虚拟机的方法、装置及系统。
技术介绍
虚拟机技术是指在一个物理机上通过虚拟机软件模拟出一个或多个虚拟机。为了虚拟机内部数据的安全，常常会对虚拟机进行访问控制，使得只有具有访问权限的用户才能访问该虚拟机。现有的一种对虚拟机进行访问控制的实现方式是：当用户需要访问某虚拟机时，需要在物理机上插入USBkey设备，在虚拟机允许该用户访问之前，先获取USBkey设备中的身份信息(例如包括数字证书和私钥)，然后通过网络将该身份信息发送给认证服务器进行身份认证，认证服务器再通过该网络将认证结果返回给虚拟机，由虚拟机根据认证结果确定是否允许该用户访问。然而，当在用户后续访问虚拟机的过程中不需要网络功能，或者禁止虚拟机访问网络时，上述身份认证方式就无法实现。因此，在虚拟机不受网络控制的情况下，如何基于USBkey认证机制实现虚拟机的访问控制是亟待解决的。
技术实现思路
有鉴于此，本专利技术提供的一种访问虚拟机的方法、装置及系统，能够解决现有技术中当虚拟机受网络控制时，无法基于USBkey认证机制实现虚拟机访问控制的问题。本专利技术的目的是采用以下技术方案来实现的：第一方面，本专利技术提供了一种访问虚拟机的方法，所述方法包括：虚拟机在接收到访问请求后，获取与所述访问请求相对应的智能密码钥匙中待认证的身份信息；将所述身份信息通过半虚拟化接口发送给宿主机，以便由所述宿主机通过网络将所述身份信息发送给认证服务器，并由所述宿主机通过网络接收所述认证服务器对所述身份信息进行身份认证的认证结果；接收所述宿主机通过所述半虚拟化接口发送的所述认证结果，以便根据所述认证结果确定所述智能密码钥匙所对应的用户是否具有访问权限。第二方面，本专利技术提供了一种访问虚拟机的方法，所述方法包括：宿主机接收虚拟机通过半虚拟化接口发送的待认证的身份信息，所述身份信息是由所述虚拟机接收到访问请求后，从与所述访问请求相对应的智能密码钥匙中获取的信息；通过网络将所述身份信息发送给认证服务器；通过所述网络接收所述认证服务器发送的对所述身份信息进行身份认证的认证结果；通过所述半虚拟化接口将所述认证结果发送给所述虚拟机，以便所述虚拟机根据所述认证结果确定所述智能密码钥匙所对应的用户是否具有访问权限。第三方面，本专利技术提供了一种虚拟机，所述虚拟机包括：获取单元，用于在接收到访问请求后，获取与所述访问请求相对应的智能密码钥匙中待认证的身份信息；发送单元，用于将所述身份信息通过半虚拟化接口发送给宿主机，以便由所述宿主机通过网络将所述身份信息发送给认证服务器，并由所述宿主机通过网络接收所述认证服务器对所述身份信息进行身份认证的认证结果；接收单元，用于接收所述宿主机通过所述半虚拟化接口发送的所述认证结果，以便根据所述认证结果确定所述智能密码钥匙所对应的用户是否具有访问权限。第四方面，本专利技术提供了一种宿主机，所述宿主机包括：接收单元，用于接收虚拟机通过半虚拟化接口发送的待认证的身份信息，所述身份信息是由所述虚拟机接收到访问请求后，从与所述访问请求相对应的智能密码钥匙中获取的信息；发送单元，用于通过网络将所述身份信息发送给认证服务器；所述接收单元还用于通过所述网络接收所述认证服务器发送的对所述身份信息进行身份认证的认证结果；所述发送单元还用于通过所述半虚拟化接口将所述认证结果发送给所述虚拟机，以便所述虚拟机根据所述认证结果确定所述智能密码钥匙所对应的用户是否具有访问权限。第五方面，本专利技术提供了一种存储介质，所述存储介质存储有多条指令，所述指令适用于由处理器加载并执行如第一方面所述的访问虚拟机的方法；或者加载并执行如第二方面所述的访问虚拟机的方法。第六方面，本专利技术提供了一种电子设备，所述电子设备包括存储介质和处理器；所述处理器，适于实现各指令；所述存储介质，适于存储多条指令；所述指令适于由所述处理器加载并执行如第一方面所述的访问虚拟机的方法；或者加载并执行如第二方面所述的访问虚拟机的方法。第七方面，本专利技术提供了一种访问虚拟机的系统，所述系统包括：虚拟机、宿主机和智能密码钥匙；其中，所述虚拟机包括如第三方面所述的虚拟机；所述宿主机包括如第四方面所述的宿主机；所述智能密码钥匙与所述宿主机或者其他物理机进行物理连接，所述智能密码钥匙是申请访问所述虚拟机所需的设备，包括申请访问所述虚拟机的用户的身份信息。借由上述技术方案，本专利技术提供的访问虚拟机的方法、装置及系统，能够在虚拟机获取到智能密码钥匙(例如USBkey)中的身份信息后，不直接通过网络发送给认证服务器，而是先通过无需网络的半虚拟机化接口将该身份信息发送给宿主机，再由宿主机通过网络转发给认证服务器，且待认证服务器对该身份信息进行认证获得认证结果后，由宿主机通过网络获取认证结果，并通过半虚拟化接口将认证结果转发给虚拟机，从而使得整个认证过程中，虚拟机都不受网络控制，即在虚拟机不受网络控制的情况下，可以基于USBkey认证机制实现虚拟机的访问控制。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1示出了本专利技术实施例提供的一种访问虚拟机的方法的流程图；图2示出了本专利技术实施例提供的一种访问虚拟机的系统结构示意图；图3示出了本专利技术实施例提供的另一种访问虚拟机的系统结构示意图；图4示出了本专利技术实施例提供的另一种访问虚拟机的方法的流程图；图5示出了本专利技术实施例提供的一种访问虚拟机的装置的组成框图；图6示出了本专利技术实施例提供的另一种访问虚拟机的装置的组成框图；图7示出了本专利技术实施例提供的另一种访问虚拟机的装置的组成框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。本专利技术实施例提供了一种访问虚拟机的方法，该方法主要应用于虚拟机侧，如图1所示，所述方法主要包括：101、虚拟机在接收到访问请求后，获取与所述访问请求相对应的智能密码钥匙中待认证的身份信息。其中，智能密码钥匙可以为通用串行总线(UniversalSerialBus，USB)接口的钥匙(即USBkey)，也可以为其他接口的钥匙。当用户需要访问具有身份认证机制的虚拟机时，点击访问虚拟机的控件(例如登录按钮)后，可以触发生成访问请求；虚拟机接收到访问请求后，为了保证虚拟机内部数据的安全，需要先对申请访问的用户的身份信息进行认证，此时可以提示用户插入智能密码钥匙(例如提示用户通过USB接口插入USBkey)；待用户插入智能密码钥匙后，虚拟机可以获取智能密码钥匙中携带的身份信息，以便将该身份信息通过宿主机转发给认证服务器进行身份认证。其中，智能密码钥匙需本文档来自技高网...

【技术保护点】
一种访问虚拟机的方法，其特征在于，所述方法包括：虚拟机在接收到访问请求后，获取与所述访问请求相对应的智能密码钥匙中待认证的身份信息；将所述身份信息通过半虚拟化接口发送给宿主机，以便由所述宿主机通过网络将所述身份信息发送给认证服务器，并由所述宿主机通过网络接收所述认证服务器对所述身份信息进行身份认证的认证结果；接收所述宿主机通过所述半虚拟化接口发送的所述认证结果，以便根据所述认证结果确定所述智能密码钥匙所对应的用户是否具有访问权限。

【技术特征摘要】
1.一种访问虚拟机的方法，其特征在于，所述方法包括：虚拟机在接收到访问请求后，获取与所述访问请求相对应的智能密码钥匙中待认证的身份信息；将所述身份信息通过半虚拟化接口发送给宿主机，以便由所述宿主机通过网络将所述身份信息发送给认证服务器，并由所述宿主机通过网络接收所述认证服务器对所述身份信息进行身份认证的认证结果；接收所述宿主机通过所述半虚拟化接口发送的所述认证结果，以便根据所述认证结果确定所述智能密码钥匙所对应的用户是否具有访问权限。2.根据权利要求1所述的方法，其特征在于，获取与所述访问请求相对应的智能密码钥匙中待认证的身份信息包括：当所述访问请求中携带的网络地址是所述虚拟机所属宿主机的网络地址时，通过所述宿主机与所述智能密码钥匙的物理连接接口，获取所述智能密码钥匙中待认证的身份信息；当所述访问请求中携带的网络地址是独立于所述宿主机的外部终端的网络地址时，通过所述宿主机向所述外部终端发送身份信息获取请求，以便所述外部终端根据所述身份信息获取请求通过物理连接接口获取所连接的所述智能密码钥匙中待认证的身份信息；通过所述宿主机接收所述外部终端发送的所述身份信息。3.根据权利要求1或2所述的方法，其特征在于，所述半虚拟化接口通过virtio机制设置而成。4.根据权利要求1或2所述的方法，其特征在于，所述智能密码钥匙包括USBkey。5.一种访问虚拟机的方法，其特征在于，所述方法包括：宿主机接收虚拟机通过半虚拟化接口发送的待认证的身份信息，所述身份信息是由所述虚拟机接收到访问请求后，从与所述访问请求相对应的智能密码钥匙中获取的信息；通过网络将所述身份信息发送给认证服务器；通过所述网络接收所述认证服务器发送的对所述身份信息进行身份认证的认证结果；通过所述半虚拟化接口将所述认证结果发送给所述虚拟机，以便所述虚拟机根据所述认证结果确定所述智能密码钥匙所对应的用户是否具有访问权限。6.一种虚拟机，其特征在于，所述虚拟机包括：获取单元，用于在接收...

【专利技术属性】
技术研发人员：陈川，唐青昊，
申请(专利权)人：北京奇虎科技有限公司，
类型：发明
国别省市：北京,11