離線(xiàn)虛擬機(jī)安全管理方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種離線(xiàn)虛擬機(jī)安全管理方法和裝置。
【背景技術(shù)】
[0002]現(xiàn)有技術(shù)領(lǐng)域中有這樣一種實(shí)際的場(chǎng)景，由于現(xiàn)場(chǎng)實(shí)施業(yè)務(wù)的開(kāi)展，現(xiàn)場(chǎng)人員需要使用移動(dòng)設(shè)備(如筆記本、平板電腦PAD等)到現(xiàn)場(chǎng)開(kāi)展相關(guān)工作，而不是在辦公室內(nèi)開(kāi)展，據(jù)不完全統(tǒng)計(jì)，現(xiàn)場(chǎng)人員大約有80%的時(shí)間是在外出差開(kāi)展現(xiàn)場(chǎng)工作的。這就決定了現(xiàn)場(chǎng)工作人員不能像傳統(tǒng)的部門(mén)工作人員那樣，每天在辦公室內(nèi)使用固定設(shè)備即可處理完工作事務(wù)，更多的時(shí)候現(xiàn)場(chǎng)工作人員需要在辦公室之外完成工作，所以很多單位開(kāi)發(fā)了移動(dòng)辦公支撐系統(tǒng)。
[0003]但是目前的移動(dòng)設(shè)備有以下問(wèn)題:
[0004]1.多人輪流使用一臺(tái)移動(dòng)設(shè)備，可能造成數(shù)據(jù)的混亂進(jìn)而引發(fā)泄密；
[0005]2.移動(dòng)設(shè)備一旦丟失，盜用者可以通過(guò)磁盤(pán)外掛的方式獲取敏感信息；
[0006]3.系統(tǒng)一旦處于離線(xiàn)狀態(tài)，員工的操作就無(wú)法被監(jiān)管和管理；
[0007]為了實(shí)現(xiàn)移動(dòng)辦公的信息安全，很多單位希望定制安全可靠的移動(dòng)辦公設(shè)備。
[0008]虛擬桌面基礎(chǔ)架構(gòu)(VDI，Virtual Desktop Infrastructure)是許多機(jī)構(gòu)目前正在評(píng)估的全新模式。VDI旨在為智能分布式計(jì)算帶來(lái)出色的響應(yīng)能力和定制化的用戶(hù)體驗(yàn)，并通過(guò)基于服務(wù)器的模式提供管理和安全優(yōu)勢(shì)。它能夠?yàn)檎麄€(gè)桌面映像提供集中化的管理。所有客戶(hù)端計(jì)算、圖形和內(nèi)存資源必須置于數(shù)據(jù)中心內(nèi)，存儲(chǔ)系統(tǒng)必須滿(mǎn)足每位用戶(hù)的操作系統(tǒng)、應(yīng)用和數(shù)據(jù)要求。對(duì)于移動(dòng)辦公的用戶(hù)，可以使用筆記本通過(guò)桌面?zhèn)鬏攨f(xié)議獲取運(yùn)行在數(shù)據(jù)中心服務(wù)器當(dāng)中的虛擬機(jī)桌面。由于桌面?zhèn)鬏攨f(xié)議下發(fā)給客戶(hù)端的只是虛擬機(jī)桌面的圖形顯示，所以具有數(shù)據(jù)不落地的好處，可以有效地解決筆記本丟失、盜用引起的數(shù)據(jù)丟失和數(shù)據(jù)泄露的問(wèn)題。
[0009]然而，由于VDI需要持久的網(wǎng)絡(luò)連接，因此不適于要求離線(xiàn)移動(dòng)性的場(chǎng)合。

【發(fā)明內(nèi)容】

[0010]本發(fā)明提供一種離線(xiàn)虛擬機(jī)安全管理方法和裝置，用以解決離線(xiàn)狀態(tài)下特別是移動(dòng)場(chǎng)景中無(wú)法對(duì)用戶(hù)進(jìn)行安全管理的問(wèn)題。
[0011]本發(fā)明提供了一種離線(xiàn)虛擬機(jī)安全管理方法，所述方法包括:
[0012]宿主機(jī)預(yù)裝宿主操作系統(tǒng)；
[0013]宿主操作系統(tǒng)中預(yù)植入CA根證書(shū)；
[0014]宿主機(jī)開(kāi)機(jī)時(shí)讀取用戶(hù)UKEY中公鑰證書(shū)內(nèi)容，并通過(guò)預(yù)置的所述CA根證書(shū)來(lái)驗(yàn)證用戶(hù)UKEY中公鑰證書(shū)的合法性，所述用戶(hù)UKEY中公鑰證書(shū)為用戶(hù)向CA申請(qǐng)公鑰證書(shū)和私鑰時(shí)獲得的，公鑰證書(shū)和私鑰預(yù)先寫(xiě)入用戶(hù)UKEY中。
[0015]本發(fā)明還提供一種離線(xiàn)虛擬機(jī)安全管理裝置，所述裝置包括:
[0016]初始化模塊，用于宿主機(jī)中預(yù)裝宿主操作系統(tǒng)；
[0017]證書(shū)設(shè)置模塊，用于在宿主操作系統(tǒng)中預(yù)植入CA根證書(shū)；
[0018]檢驗(yàn)?zāi)K，用于在宿主機(jī)開(kāi)機(jī)時(shí)讀取用戶(hù)UKEY中公鑰證書(shū)內(nèi)容，并通過(guò)預(yù)置的所述CA根證書(shū)來(lái)驗(yàn)證UKEY中公鑰證書(shū)的合法性，所述用戶(hù)UKEY中公鑰證書(shū)為用戶(hù)向CA申請(qǐng)公鑰證書(shū)和私鑰時(shí)獲得的，公鑰證書(shū)和私鑰預(yù)先寫(xiě)入用戶(hù)UKEY中。
[0019]本發(fā)明的離線(xiàn)虛擬機(jī)安全管理方法和裝置，通過(guò)采用上述技術(shù)方案，在宿主機(jī)操作系統(tǒng)中預(yù)植入CA根證書(shū)，并使用CA根證書(shū)對(duì)用戶(hù)UKEY中的公鑰證書(shū)進(jìn)行合法性驗(yàn)證，可以在離線(xiàn)狀態(tài)下對(duì)用戶(hù)身份進(jìn)行認(rèn)證，解決了離線(xiàn)狀態(tài)下特別是移動(dòng)場(chǎng)景中無(wú)法對(duì)用戶(hù)進(jìn)行安全管理的問(wèn)題。
【附圖說(shuō)明】
[0020]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0021]圖1為本發(fā)明實(shí)施例一提供的離線(xiàn)虛擬機(jī)安全管理方法流程圖；
[0022]圖2為本發(fā)明實(shí)施例二提供的離線(xiàn)虛擬機(jī)安全管理方法流程圖；
[0023]圖3為本發(fā)明實(shí)施例三提供的離線(xiàn)虛擬機(jī)安全管理方法流程圖；
[0024]圖4為本發(fā)明實(shí)施例四提供的離線(xiàn)虛擬機(jī)安全管理方法流程圖；
[0025]圖5為本發(fā)明實(shí)施例五提供的離線(xiàn)虛擬機(jī)安全管理裝置結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0026]為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0027]為了滿(mǎn)足現(xiàn)場(chǎng)實(shí)施和移動(dòng)辦公的安全要求，解決由于移動(dòng)設(shè)備丟失造成的數(shù)據(jù)泄露和離線(xiàn)狀態(tài)下的數(shù)據(jù)安全管理以及多人輪流造成的管理混亂，本發(fā)明提出了一種在離線(xiàn)狀態(tài)下實(shí)現(xiàn)安全管理的方案。
[0028]圖1為本發(fā)明實(shí)施例一提供的離線(xiàn)虛擬機(jī)安全管理方法流程圖，具體包括以下步驟:
[0029]101，宿主機(jī)預(yù)裝宿主操作系統(tǒng)。
[0030]宿主機(jī)可以是一個(gè)移動(dòng)設(shè)備，例如筆記本、PAD等，也可以是一臺(tái)PC。
[0031]201，宿主操作系統(tǒng)中預(yù)植入CA根證書(shū)。
[0032]301，宿主機(jī)開(kāi)機(jī)時(shí)讀取用戶(hù)UKEY中公鑰證書(shū)內(nèi)容，并通過(guò)預(yù)置的所述CA根證書(shū)來(lái)驗(yàn)證用戶(hù)UKEY中公鑰證書(shū)的合法性，所述用戶(hù)UKEY中公鑰證書(shū)為用戶(hù)向CA申請(qǐng)公鑰證書(shū)和私鑰時(shí)獲得的，公鑰證書(shū)和私鑰預(yù)先寫(xiě)入用戶(hù)UKEY中。
[0033]這里的公鑰證書(shū)(通常也稱(chēng)為數(shù)字證書(shū))就是互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet (因特網(wǎng))上驗(yàn)證身份的方式，其作用類(lèi)似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是由一個(gè)權(quán)威機(jī)構(gòu)-----CA機(jī)構(gòu)，又稱(chēng)為證書(shū)授權(quán)(Certificate Authority)中心發(fā)行的，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。
[0034]數(shù)字證書(shū)在用戶(hù)公鑰后附加了用戶(hù)信息及CA的簽名。公鑰是密鑰對(duì)的一部分，另一部分是私鑰。公鑰公之于眾，誰(shuí)都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對(duì)應(yīng)的私鑰解密。為確保只有某個(gè)人才能閱讀自己的信件，發(fā)送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實(shí)發(fā)件人的身份，發(fā)送者要用自己的私鑰對(duì)信件進(jìn)行簽名；收件人可使用發(fā)送者的公鑰對(duì)簽名進(jìn)行驗(yàn)證，以確認(rèn)發(fā)送者的身份。
[0035]在本實(shí)施例中，CA根證書(shū)為標(biāo)志CA身份的證書(shū)，一個(gè)CA只有一個(gè)CA根證書(shū)，而用戶(hù)向CA申請(qǐng)的公鑰證書(shū)對(duì)于每一個(gè)用戶(hù)來(lái)說(shuō)都是不同的，屬于該用戶(hù)專(zhuān)用的公鑰證書(shū)，每個(gè)用戶(hù)也對(duì)應(yīng)一個(gè)UKEY，通過(guò)CA根證書(shū)可以驗(yàn)證每一個(gè)用戶(hù)在CA申請(qǐng)的公鑰證書(shū)的合法性，也就是驗(yàn)證每一個(gè)用戶(hù)UKEY中公鑰證書(shū)的合法性，例如:由于UKEY中公鑰證書(shū)后附加了 CA簽名，該簽名為CA使用自己的私鑰對(duì)每個(gè)用戶(hù)的公鑰證書(shū)中的信息進(jìn)行加密得到的，而CA根證書(shū)中包含CA公鑰，使用CA根證書(shū)中的CA公鑰解密CA簽名，即可以驗(yàn)證用戶(hù)UKEY中公鑰證書(shū)的合法性。
[0036]UKEY為一個(gè)存儲(chǔ)密鑰和用戶(hù)信息的載體，其具體的形式可以是一個(gè)U盤(pán)，可以在宿主機(jī)開(kāi)機(jī)前連接到宿主機(jī)上，也可以是在宿主機(jī)開(kāi)機(jī)時(shí)提示用戶(hù)連接到宿主機(jī)上，需要說(shuō)明的是，這里只是方便UKEY理解的一個(gè)例子，并不限制UKEY的具體形式、連接方式和連接時(shí)間等，例如也可以通過(guò)宿主機(jī)的其它接口連接到宿主機(jī)上，相應(yīng)的，UKEY的具體載體也隨著具體連接方式的不同而有所不同。
[0037]在使用CA根證書(shū)驗(yàn)證了用戶(hù)UKEY中公鑰證書(shū)的合法性之后，宿主機(jī)可以根據(jù)結(jié)果進(jìn)行相應(yīng)的操作，例如，如果證書(shū)合法，則允許開(kāi)機(jī)，如果證書(shū)不合法，則終止開(kāi)機(jī)過(guò)程，我們對(duì)驗(yàn)證合法性之后的操作不做任何限制，本領(lǐng)域技術(shù)人員可以根據(jù)不同的情境使用