一种基于二维码的KVM用户访问授权方法技术领域
本发明涉及计算机技术领域,尤其涉及一种基于二维码的KVM用户访问授权方法。
背景技术
KVM即Keyboard Video Mouse(键盘显示器鼠标)的缩写,中文一般称为切换器,是
计算机机房常见的基础设备,多台计算机主机通过KVM连接到同一套键盘、鼠标和显示器
上,通过按动KVM上的切换按钮,使键盘、鼠标和显示器能连接到不同的主机上,从而实现对
目标主机的操控。KVM的使用,减少了显示器等的数量,节约了机柜空间,方便了对主机的管
理。
传统KVM在主机运维安全上存在不足,特别是在托管机房场景下,A主机和B主机接
在同一KVM上,在未得到授权的情况下,存在A主机的操作人员通过KVM操控B主机的风险。申
请号201510216060.1,名称“一种KVM本地管理系统用户身份验证设计方法”的中国专利申
请采用MCU和EEPROM作为本地管理的主控制器和数据存储芯片,MCU外接该EEPROM,然后通
过校验机制实现KVM上本地管理系统的用户身份验证;该申请采用在KVM上存储用户名及密
码的方式,通过在KVM本地的OSD菜单提示用户输入用户名和密码,然后在KVM上进行校验以
增强KVM用户管理的安全性。该方式存在以下不足:1、单纯的用户名和密码方式很容易口耳
相传,造成泄露,安全性低于每次登录都需要重新授权的方式;2、管理端设置在KVM上,使得
修改用户名和密码都需要在KVM本地操作,对于管理成百上千台主机的大型数据机房来说
相当不便。
基于此,现提供一种基于二维码的KVM用户访问授权方法。
发明内容
本发明技术针对现有技术的不足,提出了一种基于二维码的KVM用户访问授权方
法,通过扫描用户提供的二维码,达到限定用户操作的目的。
本发明的技术方案为:
一种基于二维码的KVM用户访问授权方法,其步骤为:
1)管理端为KVM生成一初始化二维码并保存到KVM中;该初始化二维码包括时钟t
和与该KVM连接的n个主机对应的端口信息;该KVM中具备二维码扫描装置;
2)该管理端为用户i生成一用户二维码;该用户二维码包括该用户i可操作的主机
所对应端口信息m、授权开始时间t1和授权结束时间t2;
3)当该用户i通过该KVM访问主机时,该KVM的二维码扫描装置扫描该用户i的用户
二维码,获取该用户i可操作的主机所对应端口信息m、授权开始时间t1和授权结束时间t2;
4)该KVM根据该用户i可操作的主机所对应端口信息m、授权开始时间t1和授权结
束时间t2控制该用户i对访问端口信息m对应的主机的访问。
进一步的,该初始化二维码还包括密钥k;该管理端通过该密钥k对用户i的用户二
维码进行加密后发送给该用户i;该KVM通过该初始化二维码中的密钥k对该用户i的用户二
维码进行解密,获取该用户i可操作的主机所对应端口信息m、授权开始时间t1和授权结束
时间t2。
进一步的,该KVM中具备一计时器,当该KVM的键盘或鼠标无操作时,该计时器开始
计时;当所记时间超过设定阈值时,该KVM进入屏幕保护状态。
进一步的,该KVM默认处在屏幕保护状态,在屏幕保护状态下,该KVM只显示屏幕保
护信息,而不输出任何主机信息。
进一步的,每一主机对应一个端口。
进一步的,所述端口信息m中包括一个或多个端口。
进一步的,步骤4)的实现方法为:该KVM根据该用户i可操作的主机所对应端口信
息m、授权开始时间t1和授权结束时间t2确定该用户i能否对访问端口信息m对应的主机进
行访问,如果能够访问,则限定该用户i在t1和t2时间范围内操作端口信息m对应的主机,用
户能够在获得授权的端口间切换。
进一步的,当该用户i申请通过该KVM访问主机时,该管理端为用户i生成一用户二
维码。
在本发明中,KVM具备一套管理端软件,用以管理h台KVM(h≥1)。管理方式为:管理
端软件生成、打印二维码,KVM通过扫描、识别二维码来接受管理端的管理。二维码包括初始
化二维码和用户二维码两种。
管理端与KVM交互的二维码是经过密码学工具加密过的,既可采取对称加密方式
也可采取非对称加密方式。当采取对称加密方式时,管理端为h台KVM生成h个不同的对称密
钥k1、k2…kh,第i台KVM保存自己对应的对称密钥ki,i∈[1,h]。管理端用对称密钥加密,
KVM用对称密钥解密。当采取非对称加密方式时,管理端为h台KVM生成h对不同的非对称密
钥对k1、k2…kh,第i台KVM保存自己对应的非对称密钥对ki的私钥,管理端保存全部非对称
密钥对的公钥。管理端用公钥加密,KVM用私钥解密。
如图1所示,KVM中具备二维码扫描装置,管理员或用户可以手动触发该装置进行
二维码扫描。
KVM应先进行初始化,管理端生成初始化二维码,初始化二维码包括时钟t,密钥k
和端口1至n等数据,KVM保存上述信息;端口1至n是与该KVM连接的n个主机对应的端口。管
理端亦保存KVM端口对应信息。
本发明的流程如图2所示,用户向管理员提出操作主机的申请,管理员在管理软件
上生成用户二维码,用户凭用户二维码在KVM上操作,KVM扫描用户二维码限定用户权限。用
户二维码至少包括用户可操作的主机所对应端口m,授权开始时间t1和授权结束时间t2等
信息,这意味着该用户可在t1至t2时间范围内,操作该KVM的m端口对应主机;如果超越时间
范围,用户则需向管理员重新申请操作权限,重新生成用户二维码。
所述端口m可以是单个整数也可以是一个整数集合,当m为整数集合时,意味着整
数集合中每个整数都对应着一个端口,m的取值范围为1至h;(比如一台8口KVM,提供了1到
8,共8个端口,连着8台主机,用户获得授权使用第2、5、6端口连接的主机,即m为集合{2、5、
6})。
所述用户提供的用户二维码是通过密钥k加密过的。
KVM默认处在屏幕保护状态,在屏幕保护状态下,KVM只显示屏幕保护信息,而不输
出任何主机信息。
KVM中具备计时器,当键盘和鼠标无操作时,计时器开始计时,当所记时间超过某
一阈值时,KVM进入屏幕保护状态。
KVM通过扫描用户提供的二维码,以密钥k进行解密,得到用户可操作的主机端口m
和时间范围t1和t2,从而限定用户在t1和t2时间范围内允许操作m端口对应的主机。KVM离
开屏幕保护状态,进入正常工作状态。
用户在离开KVM时也可手动触发屏幕保护按钮使得KVM进入屏幕保护状态。
KVM中可记录用户扫描、授权、待机等事件日志,以供审计。
管理端生成的二维码也可不打印,而是通过拍照保存,KVM通过扫描二维码照片来
识别信息。
与现有技术相比,本发明的有益效果:
本发明以加密后的二维码为信息传递介质,将用户授权信息传递给KVM,授权信息
中限定了用户操作的时间和主机范围,相比用户名和口令方式可做到授权粒度更加细致,
深化了对主机授权的管理,提高了托管机房主机操作的安全性。
附图说明
图1为KVM结构原理图;
图2为本发明方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完
整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施
例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有
其他实施例,都属于本发明保护的范围。
实施例
数据机房管理员管理着100台KVM,每台KVM具备8个端口,连接着8台主机,共计800
台主机,管理员在KVM管理端为这100台KVM进行了初始化。管理端和KVM端的二维码信息传
递采用非对称加密方式。管理端记录了100台KVM的公钥,并通过管理二维码将这100台KVM
的私钥初始化到每台KVM中。管理端也记录了每台KVM所连接的主机信息。
用户A向管理员申请使用s1、s2两台主机各2个小时,从当前时间开始计时。s1和s2
均连接在编号为k的KVM上,连接端口分别为p1和p2。
管理员同意了用户A的申请,并为其生成用户二维码。用户二维码记录了下列信
息,用户的姓名A,KVM编号k,主机名s1、s2,KVM端口p1、p2,授权操作起止时间t1、t2等信息,
用户二维码采用编号为k的KVM的公钥加密。
用户A手持用户二维码在编号为k的KVM上进行扫描,KVM使用本机私钥解密,确认
授权信息,并在本机记录用户A在t时刻登录,在p1、p2端口操作了s1、s2主机,授权时间范围
为t1、t2。
用户A可在t2时刻到来前,利用KVM在p1、p2端口间切换,达到操作s1、s2主机的目
的。
当t2时刻到来时,如果用户A没有操作完成,KVM结束对A的授权,转入屏幕保护状
态。
如果用户A提前操作完成,可以手动触发,使得KVM转入屏幕保护状态。
在授权时间内,如果用户A超过5分钟未操作,KVM将自动转入屏幕保护状态,用户A
可以重新扫描用户二维码,继续操作。