专利名称:一种基于虚拟机技术的信息系统密码管理方法
技术领域:
本发明涉及一种基于虚拟机技术的信息系统密码管理方法。
背景技术:
随着信息化的发展,信息系统在政府机关、事业单位和大型企业应用越来越广泛, 信息系统日益增大,管理的数据也随之增多。有的单位自行成立信息技术部门,负责本单位的信息系统开发和维护。但是对于大多数的单位来说,由于人力成本或者机构编制所限,其自身的信息管理部门并不具备直接开发本单位信息系统的能力,甚至对一些专业技能要求比较高的系统维护操作比如数据库监控优化都无力完成,其信息系统的开发和运行维护很大程度上依赖于外包的专业化软件公司。软件外包给数据安全带来了难题,因为信息系统管理的数据涉及政府机密或者企业的商业机密,并不适合让外包企业的人员直接访问。即便是不涉密的信息系统,如果缺乏有效监管措施,完全放任外包方运维,那么一旦出现因运维误操作导致的信息系统停止运行的事故,很难进行事故分析并追究责任。为解决这个问题,可以采取两方面的措施。一方面是从管理上入手。对涉密数据管理严格的单位会制定相应的密码管理制度,规定所有涉密系统密码由本单位信息安全员专人管理,外单位人员不仅要签订保密协议,而且当其访问涉密数据或者登录涉密系统时,须由本单位的信息安全员负责输入密码, 并监督其进行维护操作直至退出登录。这样做可以部分解决涉密系统密码管理问题,但仍然存在缺点。首先是人力成本的浪费,涉密单位必须配备专职的信息安全员,对外包厂商操作进行全过程的监控。信息安全员要时刻监视操作者的系统维护操作,无法给所在单位直接创造价值。其次是监督难以到位,信息安全员很难时刻监视操作人员的每一个操作,而且受限于专业技术水平,信息安全员也难以了解所有系统操作的技术细节。第三是难以追究责任,一旦出现由外包方操作人员误操作造成的运维事故(某些运维操作所造成的影响并不是立刻显现的,而是会在运维操作结束后的一段时间内逐步爆发出来),由于缺乏现场记录,难以分析事故原因并追究责任。另一方面是从技术上入手。典型的做法是加强系统监控,努力确保操作人员的所有操作都能被记录下来,以此提供事后分析与追究责任的依据。通过在涉密系统的服务器上安装配置监控程序,可以监控涉密操作并记录下来。但是这样做会加大服务器的运行负担,更严重的一个漏洞是,如果某些运行维护操作需要系统管理员的权限来进行,那么运行维护人员在进行正常操作的同时,会同时具备系统管理员权限,他能够让监控程序停止工作,也可以抹去或者篡改监控日志。这样一来,在技术上就无法保证对运行维护人员的操作进行可靠监控
发明内容
本发明的目的是提供一种技术方法来解决信息系统密码管理问题。首先简单介绍一下本发明中用到的虚拟机技术。虚拟机(VM)技术是支持多操作系统并行运行在单个物理计算机上的一种技术。如附图1所示,宿主机为真实的计算机,在宿主机上安装了操作系统以及虚拟机软件,由虚拟机软件模拟出多台(图中仅画了两台)虚拟的计算机,虚拟计算机的硬件包括由软件虚拟的CMOS、硬盘以及输入输出设备,在这样的虚拟计算机上可以象真实计算机一样安装操作系统如Windows、Mac OS、Unix和Linux,并安装运行应用程序。虚拟机的硬盘用宿主机上的一个文件模拟出来,虚拟机的硬盘参数以及硬盘上存储的数据都按一定的格式保存在该文件中。通过引入虚拟机技术,在一台实体计算机上模拟出多个虚拟的计算机,在每个虚拟机中安装独立的操作系统,同时配置好涉密系统的登录环境。配置登录环境分为两个步骤,第一个步骤是安装访问涉密系统的终端软件,包括telnet客户端、ftp客户端、数据库访问终端、远程桌面访问终端。第二个步骤是配置好客户端访问涉密系统的账号和密码,使得用户在虚拟机中启动客户端后可以无须手动输入账号密码就能登录涉密系统。在第二个步骤中,需采取一定的技术手段保护涉密系统的账号和密码以避免用户非法获取。当用户需要访问涉密系统时,远程登录虚拟机,通过配置好的涉密系统客户端程序访问涉密系统。用户不直接获得涉密系统的账号和密码,每次登陆虚拟机所分配的虚拟机远程登录密码也不同。用户在虚拟机中使用客户端访问涉密系统,其屏幕活动情况以及控制台输入都会被记录下来。这个监控过程是在宿主机上使用虚拟机软件提供的API截获虚拟屏幕输出以及虚拟控制台的输入来进行的。用户在虚拟机中做的任何操作都在虚拟机内部运行,无法影响虚拟机外的宿主机上运行的监控程序,从而保证了用户对涉密系统的操作被可靠的监控并被完整的记录下来。这样保存下来的操作记录可以作为事后分析和追溯的依据。由于用户在虚拟机中对涉密系统中的所有操作都能被密码管理系统可靠的记录下来,对涉密系统信息安全员的技能要求不再那么苛刻。只要能保证外包方人员的操作都被系统记录下来,信息安全员不需了解涉密系统中所有运行维护操作的技术细节,信息安全员也不需要时刻守在外包方人员身旁亲眼监控其操作。在出现维护事故的时候,可以调出当时的操作录像,请相关专业的专家共同回顾外包方人员的运行维护操作并进行事故分析。
图1为虚拟机技术示意图2为基于虚拟机技术的密码管理系统的结构示意图; 图3为用户通过虚拟机访问涉密系统的过程示意图。
具体实施例方式搭建一个信息系统来实现本发明所提出的基于虚拟机技术的信息系统密码管理方法,该系统以下称为密码管理系统。一个密码管理系统可以对多个涉密信息系统进行管理。如图2所示,密码管理系统由应用服务器、数据库服务器以及若干台宿主机服务器组成。应用服务器给用户提供TOB服务,用户可以使用浏览器与应用服务器进行交互。 数据库服务器保存密码管理相关的信息,包括外包方操作人员管理信息、涉密信息系统情况(比如系统结构、网络地址、涉密等级)、涉密系统账号密码和相应的权限、操作录像信息。宿主机为安装了虚拟机应用软件的服务器,每台宿主机都可以安装和启动多台虚拟机。虚拟机应用软件采用成熟的开放源代码软件,也可以采用商用的虚拟机软件产品并购买其API编程许可。在宿主机上同时还安装虚拟机管理模块程序,该程序通过虚拟机软件的API (应用软件编程接口)监控虚拟机,同时通过网络与应用服务器保持连接,接收应用服务器的指令对虚拟机进行控制。一个密码管理系统中可以有一台或者多台宿主服务器。每台宿主服务器都可以根据服务器性能安装运行多台虚拟机。在实际部署中,根据负载情况,应用服务、数据库服务以及虚拟机管理软件和虚拟机管理模块可以部署在一台或多台服务器上。虚拟机中安装独立的操作系统,在操作系统上安装涉密系统的客户端程序,同时还安装密码配置管理模块程序。该程序为操作系统的后台驻留程序,它与密码管理系统的应用服务器保持通信,接收并反馈应用服务器发出的指令。虚拟机上安装的独立操作系统可以是Windows、Mac 0S、Linux或Unix。以Windows 为例介绍具体实施方式
,Windows虚拟机的远程登录方式为Windows远程桌面,在Mac OS、 Linux或Unix都有相对应的远程桌面技术。在虚拟机的Windows上安装涉密系统的客户端程序,包括telnet客户端、ftp客户端、数据库(如0raCle、SQL Server)访问终端、Windows远程桌面访问终端。同时还安装密码配置管理模块。密码配置管理模块为Windows的后台服务程序,它与密码管理系统的应用服务器通信,接收并反馈应用服务器发出的指令。密码配置管理模块被配置成随虚拟机Windows启动而自动启动。如附图3所示,用户通过虚拟机技术访问涉密系统的过程可分为十个步骤用户登录应用服务器请求访问特定的涉密系统;应用服务器选择一台宿主机通知其虚拟机管理模块;虚拟机管理模块调用虚拟机应用软件API ;虚拟机应用软件启动虚拟机并监控虚拟机运行情况;密码配置管理模块向应用服务器注册;应用服务器告知密码配置管理模块涉密系统登录信息;密码配置管理模块配置涉密系统客户端程序的登录环境;密码配置管理模块通知应用服务器虚拟机已经准备就绪;应用服务器通知用户;用户登录虚拟机并通过涉密系统客户端程序访问涉密系统。以下详细介绍每个步骤。步骤1 当用户需要访问涉密系统时,首先通过浏览器登录密码管理系统与应用服务器进行交互,请求获得需要进行维护操作的涉密系统的访问权限。应用服务器与数据库服务器交互,获取用户的身份和权限,并判断该用户是否能够访问对应的涉密系统。当用户通过验证后,转入下一个步骤,否则拒绝用户的访问请求。步骤2 应用服务器选择一台安装了涉密系统客户端软件的虚拟机,找到安装了该虚拟机的宿主机,与宿主机上的虚拟机管理模块通信,要求启动该虚拟机。步骤3 虚拟机管理模块调用虚拟机应用软件提供的接口 API,要求启动虚拟机。步骤4 虚拟机应用软件启动对应的虚拟机,同时开始对虚拟机的运行进行监控, 监控内容包括录制虚拟机屏幕录像、记录虚拟机控制台的键盘鼠标输入、监控虚拟机网络通信和移动存储设备的读写。步骤5 虚拟机启动后,其中安装的密码配置管理模块也随操作系统同时启动,密码配置管理模块在这个步骤要做三件事。首先清除上次的涉密系统登录信息,其次生成一个随机密码,修改本虚拟机的远程登录密码为该随机密码,在本例中虚拟机的远程登录密码为Windows的用户登录密码;接着与应用服务器通信,向应用服务器注册并告知本虚拟机的远程登录账号和密码(也就是在本步骤中生成的这个随机密码)以及本虚拟机的网络地址。步骤6 应用服务器与密码配置管理模块通信,将用户请求访问的涉密系统登录信息使用加密方式发送给密码配置管理模块。涉密系统登录信息包括访问哪个涉密系统、 涉密系统客户端程序类型、涉密系统的登录账号和密码。步骤7 密码配置管理模块修改相应的涉密系统客户端程序的配置文件,写入涉密系统的登陆账号和密码,并采用一定的技术保护措施使得该登陆账号和密码只能由涉密系统客户端程序读取。步骤8 密码配置管理模块配置好涉密系统客户端登录环境后,与应用服务器通信,告知虚拟机已经准备就绪。步骤9 应用服务器通知用户,将虚拟机的远程登录账号和密码以及网络地址发送给用户。步骤10 用户远程登录到虚拟机操作系统上,启动涉密系统客户端程序,在密码管理系统的监控下访问涉密系统进行运行维护操作。用户退出涉密系统的访问有四种方式。第一种方式是用户访问完涉密系统后,正常退出。虚拟机上运行的密码配置管理模块监测到用户退出远程登录,就会清除涉密系统的登录信息,同时关闭虚拟机。第二种方式是用户访问涉密系统时间超出申请时间引起超时退出。密码管理系统在同意用户提出的涉密系统访问请求时,会根据用户的申请访问时间设定一个访问时长。 用户只能在这个规定时长内访问涉密系统并完成运行维护操作。一旦超过这个访问时长, 密码配置管理模块会清除涉密系统登录信息并强行关闭该虚拟机。第三种方式是用户长时间不操作引起发呆超时而退出。密码管理系统中由系统管理员(即涉密系统所在单位的信息安全员)设定一个发呆超时时间,如果用户持续一段时间不操作虚拟机,并且这段时间超过了管理员设定的发呆超时时间,则密码配置管理模块会清除涉密系统登录信息并关闭该虚拟机。这样避免用户登录虚拟机后因意外情况走动,无人看管客户端而被其他人员非法访问涉密系统。第四种方式是出现意外情况强行退出。虚拟机管理模块在使用虚拟机应用程序提供的API对虚拟机进行监控的过程中,如果发现意外情况,将强行关闭虚拟机。意外情况包括用户访问涉密系统后运行非法的危险操作、密码配置管理模块停止运行、虚拟机的屏幕录像程序停止运行、虚拟机控制台的键盘鼠标输入监控程序停止运行、系统管理员发出停止虚拟机运行的命令。通过使用虚拟机技术,使得真实的涉密系统的账户密码不再直接暴露给用户。用户每次获得的仅仅是一个虚拟机的远程登录密码,而且该密码是一次性的,下次登录时远程登录密码又会被系统重新设置成随机密码。
权利要求
1.一种基于虚拟机技术的信息系统密码管理方法,通过引入虚拟机技术,在一台实体计算机上模拟出多个虚拟的计算机,在每个虚拟机中安装独立的操作系统,同时配置好涉密系统的登录环境;当用户需要访问涉密系统时,远程登录虚拟机,通过配置好的涉密系统客户端程序访问涉密系统;用户不直接获得涉密系统的账号和密码,每次登陆虚拟机的密码也不同。
2.根据权利要求1所述的基于虚拟机技术的信息系统密码管理方法,其特征在于用户通过虚拟机技术访问涉密系统的过程分为十个步骤用户登录应用服务器请求访问特定的涉密系统;应用服务器选择一台宿主机通知其虚拟机管理模块;虚拟机管理模块调用虚拟机应用软件API ;虚拟机应用软件启动虚拟机并监控虚拟机运行情况;密码配置管理模块向应用服务器注册;应用服务器告知密码配置管理模块涉密系统登录信息; 密码配置管理模块配置涉密系统客户端程序的登录环境;密码配置管理模块通知应用服务器虚拟机已经准备就绪;应用服务器通知用户;用户登录虚拟机并通过涉密系统客户端程序访问涉密系统;用户退出涉密系统的访问有四种方式一是用户访问完涉密系统后,正常退出;而是访问涉密系统时间超出申请时间引起超时退出;三是长时间不操作从而发呆超时退出;四是出现意外情况,强行关闭虚拟机。
3.根据权利要求2所述的基于虚拟机技术的信息系统密码管理方法,在宿主机上安装虚拟机管理模块程序,该程序通过虚拟机软件的API即应用软件编程接口来监控虚拟机; 用户在虚拟机中对涉密系统的所有操作都被记录下来作为事后分析和追溯的依据。
4.根据权利要求2所述的基于虚拟机技术的信息系统密码管理方法,虚拟机中安装独立的操作系统;在操作系统上安装涉密系统的客户端程序,同时还安装密码配置管理模块; 密码配置管理模块为操作系统的后台驻留程序。
全文摘要
本发明公开了一种基于虚拟机技术的信息系统密码管理方法,引入虚拟机技术,在实体计算机上模拟出多个虚拟的计算机,在每个虚拟机中安装独立的操作系统,同时配置好涉密系统的登录环境。当用户需要访问涉密系统时,远程登录虚拟机,通过配置好的涉密系统客户端程序访问涉密系统。用户不直接获得涉密系统的账号和密码,每次登陆虚拟机的密码也不同。用户在虚拟机中对涉密系统的所有操作都被记录下来作为事后追溯的依据。
文档编号G06F9/455GK102202052SQ201110098740
公开日2011年9月28日 申请日期2011年4月20日 优先权日2011年4月20日
发明者李计兰 申请人:李计兰