离线虚拟机安全管理方法和装置的制造方法

离线虚拟机安全管理方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域，尤其涉及一种离线虚拟机安全管理方法和装置。
【背景技术】
[0002]现有技术领域中有这样一种实际的场景，由于现场实施业务的开展，现场人员需要使用移动设备(如笔记本、平板电脑PAD等)到现场开展相关工作，而不是在办公室内开展，据不完全统计，现场人员大约有80%的时间是在外出差开展现场工作的。这就决定了现场工作人员不能像传统的部门工作人员那样，每天在办公室内使用固定设备即可处理完工作事务，更多的时候现场工作人员需要在办公室之外完成工作，所以很多单位开发了移动办公支撑系统。
[0003]但是目前的移动设备有以下问题:
[0004]1.多人轮流使用一台移动设备，可能造成数据的混乱进而引发泄密；
[0005]2.移动设备一旦丢失，盗用者可以通过磁盘外挂的方式获取敏感信息；
[0006]3.系统一旦处于离线状态，员工的操作就无法被监管和管理；
[0007]为了实现移动办公的信息安全，很多单位希望定制安全可靠的移动办公设备。
[0008]虚拟桌面基础架构(VDI，Virtual Desktop Infrastructure)是许多机构目前正在评估的全新模式。VDI旨在为智能分布式计算带来出色的响应能力和定制化的用户体验，并通过基于服务器的模式提供管理和安全优势。它能够为整个桌面映像提供集中化的管理。所有客户端计算、图形和内存资源必须置于数据中心内，存储系统必须满足每位用户的操作系统、应用和数据要求。对于移动办公的用户，可以使用笔记本通过桌面传输协议获取运行在数据中心服务器当中的虚拟机桌面。由于桌面传输协议下发给客户端的只是虚拟机桌面的图形显示，所以具有数据不落地的好处，可以有效地解决笔记本丢失、盗用引起的数据丢失和数据泄露的问题。
[0009]然而，由于VDI需要持久的网络连接，因此不适于要求离线移动性的场合。

【发明内容】

[0010]本发明提供一种离线虚拟机安全管理方法和装置，用以解决离线状态下特别是移动场景中无法对用户进行安全管理的问题。
[0011]本发明提供了一种离线虚拟机安全管理方法，所述方法包括:
[0012]宿主机预装宿主操作系统；
[0013]宿主操作系统中预植入CA根证书；
[0014]宿主机开机时读取用户UKEY中公钥证书内容，并通过预置的所述CA根证书来验证用户UKEY中公钥证书的合法性，所述用户UKEY中公钥证书为用户向CA申请公钥证书和私钥时获得的，公钥证书和私钥预先写入用户UKEY中。
[0015]本发明还提供一种离线虚拟机安全管理装置，所述装置包括:
[0016]初始化模块，用于宿主机中预装宿主操作系统；
[0017]证书设置模块，用于在宿主操作系统中预植入CA根证书；
[0018]检验模块，用于在宿主机开机时读取用户UKEY中公钥证书内容，并通过预置的所述CA根证书来验证UKEY中公钥证书的合法性，所述用户UKEY中公钥证书为用户向CA申请公钥证书和私钥时获得的，公钥证书和私钥预先写入用户UKEY中。
[0019]本发明的离线虚拟机安全管理方法和装置，通过采用上述技术方案，在宿主机操作系统中预植入CA根证书，并使用CA根证书对用户UKEY中的公钥证书进行合法性验证，可以在离线状态下对用户身份进行认证，解决了离线状态下特别是移动场景中无法对用户进行安全管理的问题。
【附图说明】
[0020]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0021]图1为本发明实施例一提供的离线虚拟机安全管理方法流程图；
[0022]图2为本发明实施例二提供的离线虚拟机安全管理方法流程图；
[0023]图3为本发明实施例三提供的离线虚拟机安全管理方法流程图；
[0024]图4为本发明实施例四提供的离线虚拟机安全管理方法流程图；
[0025]图5为本发明实施例五提供的离线虚拟机安全管理装置结构示意图。
【具体实施方式】
[0026]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0027]为了满足现场实施和移动办公的安全要求，解决由于移动设备丢失造成的数据泄露和离线状态下的数据安全管理以及多人轮流造成的管理混乱，本发明提出了一种在离线状态下实现安全管理的方案。
[0028]图1为本发明实施例一提供的离线虚拟机安全管理方法流程图，具体包括以下步骤:
[0029]101，宿主机预装宿主操作系统。
[0030]宿主机可以是一个移动设备，例如笔记本、PAD等，也可以是一台PC。
[0031]201，宿主操作系统中预植入CA根证书。
[0032]301，宿主机开机时读取用户UKEY中公钥证书内容，并通过预置的所述CA根证书来验证用户UKEY中公钥证书的合法性，所述用户UKEY中公钥证书为用户向CA申请公钥证书和私钥时获得的，公钥证书和私钥预先写入用户UKEY中。
[0033]这里的公钥证书(通常也称为数字证书)就是互联网通信中标志通信各方身份信息的一系列数据，提供了一种在Internet (因特网)上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个权威机构-----CA机构，又称为证书授权(Certificate Authority)中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
[0034]数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。
[0035]在本实施例中，CA根证书为标志CA身份的证书，一个CA只有一个CA根证书，而用户向CA申请的公钥证书对于每一个用户来说都是不同的，属于该用户专用的公钥证书，每个用户也对应一个UKEY，通过CA根证书可以验证每一个用户在CA申请的公钥证书的合法性，也就是验证每一个用户UKEY中公钥证书的合法性，例如:由于UKEY中公钥证书后附加了 CA签名，该签名为CA使用自己的私钥对每个用户的公钥证书中的信息进行加密得到的，而CA根证书中包含CA公钥，使用CA根证书中的CA公钥解密CA签名，即可以验证用户UKEY中公钥证书的合法性。
[0036]UKEY为一个存储密钥和用户信息的载体，其具体的形式可以是一个U盘，可以在宿主机开机前连接到宿主机上，也可以是在宿主机开机时提示用户连接到宿主机上，需要说明的是，这里只是方便UKEY理解的一个例子，并不限制UKEY的具体形式、连接方式和连接时间等，例如也可以通过宿主机的其它接口连接到宿主机上，相应的，UKEY的具体载体也随着具体连接方式的不同而有所不同。
[0037]在使用CA根证书验证了用户UKEY中公钥证书的合法性之后，宿主机可以根据结果进行相应的操作，例如，如果证书合法，则允许开机，如果证书不合法，则终止开机过程，我们对验证合法性之后的操作不做任何限制，本领域技术人员可以根据不同的情境使用