本發(fā)明屬于虛擬化管理系統(tǒng)技術(shù)領(lǐng)域，特別是涉及一種虛擬機遠程訪問方法和裝置。

背景技術(shù)：

隨著計算機和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，云計算已經(jīng)成為當前最熱門的技術(shù)之一，其中云計算涉及的核心技術(shù)虛擬化技術(shù)也日趨發(fā)展，成功應(yīng)用于政治、經(jīng)濟、文化、教育科研等各個行業(yè)。目前，大多數(shù)虛擬化管理平臺的模式采用了B/S(瀏覽器/服務(wù)器)模式，可以借助于瀏覽器進行信息的提交與獲取。虛擬機的管理是虛擬化管理平臺中的重點工作，而如何安全穩(wěn)定的遠程訪問系統(tǒng)中的虛擬機，從而加強虛擬機遠程連接的安全性，防止惡意用戶或者惡意操作的發(fā)生，維護虛擬化管理平臺的穩(wěn)定性，是虛擬化管理平臺的亟待解決的問題。

技術(shù)實現(xiàn)要素：

為解決上述問題，本發(fā)明提供了一種虛擬機遠程訪問方法和裝置，能夠加強虛擬機遠程連接的安全性，防止惡意用戶或者惡意操作的發(fā)生，維護虛擬化管理平臺的穩(wěn)定性。

本發(fā)明提供的一種虛擬機遠程訪問方法，包括：

發(fā)起遠程訪問目標虛擬機的請求；

對用戶身份和訪問合法性進行安全驗證；

當安全驗證通過之后，協(xié)商數(shù)據(jù)加密方式；

獲得目標虛擬機的控制權(quán)，并進行訪問。

優(yōu)選的，在上述虛擬機遠程訪問方法中，

所述發(fā)起遠程訪問目標虛擬機的請求為：

利用瀏覽器在網(wǎng)頁上采用HTML5WebSockets、Canvas和JavaScript發(fā)起遠程訪問目標虛擬機的請求。

優(yōu)選的，在上述虛擬機遠程訪問方法中，

所述對用戶身份和訪問合法性進行安全驗證包括：

對用戶名、用戶密碼、原有會話ID需要訪問的虛擬機ID組成的數(shù)據(jù)組進行安全驗證。

優(yōu)選的，在上述虛擬機遠程訪問方法中，

在所述對用戶身份和訪問合法性進行安全驗證之后，還包括：

通過匹配用戶ID與原會話ID以及比較系統(tǒng)中會話最新時間與當前時間來驗證對話事件的有效性。

優(yōu)選的，在上述虛擬機遠程訪問方法中，

在所述對用戶身份和訪問合法性進行安全驗證之后，還包括：

根據(jù)虛擬化管理平臺中的訪問控制表查詢用戶是否對所述目標虛擬機具有訪問控制權(quán)。

本發(fā)明提供的一種虛擬機遠程訪問裝置，包括：

發(fā)起單元，用于發(fā)起遠程訪問目標虛擬機的請求；

驗證單元，用于對用戶身份和訪問合法性進行安全驗證；

協(xié)商單元，用于當安全驗證通過之后，協(xié)商數(shù)據(jù)加密方式；

訪問單元，用于獲得目標虛擬機的控制權(quán)，并進行訪問。

優(yōu)選的，在上述虛擬機遠程訪問裝置中，

所述發(fā)起單元具體用于利用瀏覽器在網(wǎng)頁上采用HTML5WebSockets、Canvas和JavaScript發(fā)起遠程訪問目標虛擬機的請求。

優(yōu)選的，在上述虛擬機遠程訪問裝置中，

所述驗證單元具體用于對用戶名、用戶密碼、原有會話ID需要訪問的虛擬機ID組成的數(shù)據(jù)組進行安全驗證。

優(yōu)選的，在上述虛擬機遠程訪問裝置中，還包括：

匹配單元，用于通過匹配用戶ID與原會話ID以及比較系統(tǒng)中會話最新時間與當前時間來驗證對話事件的有效性。

優(yōu)選的，在上述虛擬機遠程訪問裝置中，還包括：

查詢單元，用于根據(jù)虛擬化管理平臺中的訪問控制表查詢用戶是否對所述目標虛擬機具有訪問控制權(quán)。

通過上述描述可知，本發(fā)明提供的上述虛擬機遠程訪問方法和裝置，由于該方法包括發(fā)起遠程訪問目標虛擬機的請求；對用戶身份和訪問合法性進行安全驗證；當安全驗證通過之后，協(xié)商數(shù)據(jù)加密方式；獲得目標虛擬機的控制權(quán)，并進行訪問，因此能夠加強虛擬機遠程連接的安全性，防止惡意用戶或者惡意操作的發(fā)生，維護虛擬化管理平臺的穩(wěn)定性。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1為本申請實施例提供的第一種虛擬機遠程訪問方法的示意圖；

圖2為本申請實施例提供的第一種虛擬機遠程訪問裝置的示意圖。

具體實施方式

本發(fā)明的核心思想在于提供一種虛擬機遠程訪問方法和裝置，能夠加強虛擬機遠程連接的安全性，防止惡意用戶或者惡意操作的發(fā)生，維護虛擬化管理平臺的穩(wěn)定性。

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

本申請實施例提供的第一種虛擬機遠程訪問方法如圖1所示，圖1為本申請實施例提供的第一種虛擬機遠程訪問方法的示意圖，該方法包括如下步驟：

S1：發(fā)起遠程訪問目標虛擬機的請求；

具體的，可以是由VNC客戶端novnc來發(fā)起請求。

S2：對用戶身份和訪問合法性進行安全驗證；

具體的，可以在客戶端與服務(wù)器之間設(shè)置一個安全驗證模塊來實現(xiàn)該過程，在這種情況下，就能加強訪問用戶身份的校驗以及傳輸數(shù)據(jù)的安全性。

S3：當安全驗證通過之后，協(xié)商數(shù)據(jù)加密方式；

具體的，可以通過設(shè)置于客戶端與服務(wù)器之間的協(xié)商模塊實現(xiàn)該過程，且可以但不限于采用RSA加密方式。

S4：獲得目標虛擬機的控制權(quán)，并進行訪問。

也就是說，把目標虛擬機的控制權(quán)交給客戶端，使其能夠訪問。

通過上述描述可知，本申請實施例提供的上述第一種虛擬機遠程訪問方法，由于包括發(fā)起遠程訪問目標虛擬機的請求；對用戶身份和訪問合法性進行安全驗證；當安全驗證通過之后，協(xié)商數(shù)據(jù)加密方式；獲得目標虛擬機的控制權(quán)，并進行訪問，因此能夠加強虛擬機遠程連接的安全性，防止惡意用戶或者惡意操作的發(fā)生，維護虛擬化管理平臺的穩(wěn)定性。

本申請實施例提供的第二種虛擬機遠程訪問方法，是在上述第一種虛擬機遠程訪問方法的基礎(chǔ)上，還包括如下技術(shù)特征：

所述發(fā)起遠程訪問目標虛擬機的請求為：

利用瀏覽器在網(wǎng)頁上采用HTML5WebSockets、Canvas和JavaScript發(fā)起遠程訪問目標虛擬機的請求。

具體的，用戶先登陸虛擬化管理平臺，當前會話ID為SessionId，此時用戶需要對虛擬機A進行遠程訪問控制，用戶發(fā)送訪問請求，為了不影響原有基本會話的性能，重新開啟新的會話。

本申請實施例提供的第三種虛擬機遠程訪問方法，是在上述第二種虛擬機遠程訪問方法的基礎(chǔ)上，還包括如下技術(shù)特征：

所述對用戶身份和訪問合法性進行安全驗證包括：

對用戶名、用戶密碼、原有會話ID需要訪問的虛擬機ID組成的數(shù)據(jù)組進行安全驗證。

具體的，會話跳轉(zhuǎn)之后需要對用戶的身份進行重新驗證，用戶需要把用戶名、用戶密碼、原有會話ID及需要訪問的虛擬機ID組成的數(shù)據(jù)組發(fā)送至代理服務(wù)器進行身份的合法性進行驗證，以提高安全性。

本申請實施例提供的第四種虛擬機遠程訪問方法，是在上述第三種虛擬機遠程訪問方法的基礎(chǔ)上，還包括如下技術(shù)特征：

在所述對用戶身份和訪問合法性進行安全驗證之后，還包括：

通過匹配用戶ID與原會話ID以及比較系統(tǒng)中會話最新時間與當前時間來驗證對話事件的有效性。

需要說明的是，代理服務(wù)器在接收到用戶對虛擬機的遠程控制請求之后，安全驗證模塊首先對用戶的管理平臺身份進行二次校驗，根據(jù)用戶名及密碼驗證用戶身份的合法性，身份合法之后，驗證該用戶請求的實時性，通過匹配用戶ID與原會話ID及系統(tǒng)中會話最新時間與當前時間進行比對，驗證對話事件的有效性。

本申請實施例提供的第五種虛擬機遠程訪問方法，是在上述第一種至第四種虛擬機遠程訪問方法中任一種的基礎(chǔ)上，還包括如下技術(shù)特征：

在所述對用戶身份和訪問合法性進行安全驗證之后，還包括：

根據(jù)虛擬化管理平臺中的訪問控制表查詢用戶是否對所述目標虛擬機具有訪問控制權(quán)。

需要說明的是，在身份與會話驗證全部通過之后，仍需根據(jù)虛擬化管理平臺中訪問控制表查詢該用戶是否對該虛擬機具有訪問控制權(quán)，全部校驗通過之后利用安全協(xié)商模塊代理服務(wù)器與客戶端協(xié)商數(shù)據(jù)的加密方法，把虛擬的遠程控制交給客戶端。

本申請實施例提供的第一種虛擬機遠程訪問裝置如圖2所示，圖2為本申請實施例提供的第一種虛擬機遠程訪問裝置的示意圖，該裝置包括：

發(fā)起單元201，用于發(fā)起遠程訪問目標虛擬機的請求，具體的，可以是由VNC客戶端novnc來發(fā)起請求；

驗證單元202，用于對用戶身份和訪問合法性進行安全驗證，具體的，可以在客戶端與服務(wù)器之間設(shè)置一個安全驗證模塊來實現(xiàn)該過程，在這種情況下，就能加強訪問用戶身份的校驗以及傳輸數(shù)據(jù)的安全性；

協(xié)商單元203，用于當安全驗證通過之后，協(xié)商數(shù)據(jù)加密方式，具體的，可以通過設(shè)置于客戶端與服務(wù)器之間的協(xié)商模塊實現(xiàn)該過程，且可以但不限于采用RSA加密方式；

訪問單元204，用于獲得目標虛擬機的控制權(quán)，并進行訪問，也就是說，把目標虛擬機的控制權(quán)交給客戶端，使其能夠訪問。

本申請實施例提供的第二種虛擬機遠程訪問裝置，是在上述第一種虛擬機遠程訪問裝置的基礎(chǔ)上，還包括如下技術(shù)特征：

所述發(fā)起單元具體用于利用瀏覽器在網(wǎng)頁上采用HTML5WebSockets、Canvas和JavaScript發(fā)起遠程訪問目標虛擬機的請求。

具體的，用戶先登陸虛擬化管理平臺，當前會話ID為SessionId，此時用戶需要對虛擬機A進行遠程訪問控制，用戶發(fā)送訪問請求，為了不影響原有基本會話的性能，重新開啟新的會話。

本申請實施例提供的第三種虛擬機遠程訪問裝置，是在上述第二種虛擬機遠程訪問裝置的基礎(chǔ)上，還包括如下技術(shù)特征：

所述驗證單元具體用于對用戶名、用戶密碼、原有會話ID需要訪問的虛擬機ID組成的數(shù)據(jù)組進行安全驗證。

具體的，會話跳轉(zhuǎn)之后需要對用戶的身份進行重新驗證，用戶需要把用戶名、用戶密碼、原有會話ID及需要訪問的虛擬機ID組成的數(shù)據(jù)組發(fā)送至代理服務(wù)器進行身份的合法性進行驗證，以提高安全性。

本申請實施例提供的第四種虛擬機遠程訪問裝置，是在上述第三種虛擬機遠程訪問裝置的基礎(chǔ)上，還包括如下技術(shù)特征：

匹配單元，用于通過匹配用戶ID與原會話ID以及比較系統(tǒng)中會話最新時間與當前時間來驗證對話事件的有效性。

需要說明的是，代理服務(wù)器在接收到用戶對虛擬機的遠程控制請求之后，安全驗證模塊首先對用戶的管理平臺身份進行二次校驗，根據(jù)用戶名及密碼驗證用戶身份的合法性，身份合法之后，驗證該用戶請求的實時性，通過匹配用戶ID與原會話ID及系統(tǒng)中會話最新時間與當前時間進行比對，驗證對話事件的有效性。

本申請實施例提供的第五種虛擬機遠程訪問裝置，是在上述第一種至第四種虛擬機遠程訪問裝置中任一種的基礎(chǔ)上，還包括如下技術(shù)特征：

查詢單元，用于根據(jù)虛擬化管理平臺中的訪問控制表查詢用戶是否對所述目標虛擬機具有訪問控制權(quán)。

需要說明的是，在身份與會話驗證全部通過之后，仍需根據(jù)虛擬化管理平臺中訪問控制表查詢該用戶是否對該虛擬機具有訪問控制權(quán)，全部校驗通過之后利用安全協(xié)商模塊代理服務(wù)器與客戶端協(xié)商數(shù)據(jù)的加密方法，把虛擬的遠程控制交給客戶端。

綜上所述，利用上述方法和裝置，虛擬化管理平臺的用戶在登錄管理平臺之后，因業(yè)務(wù)需求需要對某虛擬機進行遠程控制，為了不影響基本虛擬化管理平臺的操作，需要跨域訪問代理服務(wù)器，由當前管理回話跳轉(zhuǎn)至遠程控制回話，需要代理服務(wù)器重新對用戶身份以及虛擬機遠程連接身份進行驗證，同時需要雙方協(xié)商數(shù)據(jù)加密方法，驗證通過之后，才把虛擬機的遠程控制權(quán)限轉(zhuǎn)交給客戶端，這就能夠加強虛擬機遠程連接的安全性，防止惡意用戶或者惡意操作的發(fā)生，維護虛擬化管理平臺的穩(wěn)定性。

對所公開的實施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實施例中實現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。