强化安全防护的云系统及其安全防护管理方法.pdf

摘要
申请专利号：	CN201280048183.3	申请日：	2012.09.26
公开号：	CN103842985A	公开日：	2014.06.04
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 15/16申请日:20120926\|\|\|公开
IPC分类号：	G06F15/16; H04L9/32; G06K9/46	主分类号：	G06F15/16
申请人：	李青锺
发明人：	李青锺
地址：	韩国首尔
优先权：	2011.09.29 KR 10-2011-0099399
专利代理机构：	隆天国际知识产权代理有限公司 72003	代理人：	金相允;向勇
PDF下载：	PDF下载

内容摘要

本发明公开了一种为了强化虚拟化的个人用云服务器的安全防护问题的云系统及其安全防护管理方法。为此，本发明提供一种强化安全防护的云系统，包括：控制系统，利用指纹识别和面部识别或生物特征识别执行用户认证，并生成唤醒（wake-on）命令；移动终端设备，识别用户的指纹和面部或生物特征，生成指纹识别信息和面部识别信息或生物特征信息，并且，在连接所述控制系统之后，从所述控制系统发来认证请求时，将与所述认证请求响应而生成的所述指纹识别信息和面部识别信息或生物特征识别信息传输至所述控制系统而完成认证；个人用虚拟化云服务器，响应由所述控制系统发来的唤醒命令而激活之后，只允许所述用户的计算机进行连接，允许使用等级高的1级文件和等级低的2级文件资料，并在所述计算机的用户请求或两人以上的用户连接时，自动关机（shut down）；及计算机，根据所述个人用虚拟化云服务器的允许，获得连接所述个人用虚拟化云服务器的权限之后，运用所述个人用虚拟化云服务器上的资料。

权利要求书

权利要求书
1.  一种强化安全防护的云系统，其特征在于，
包括：
控制系统，利用指纹识别和面部识别或生物特征识别执行用户认证，并生成唤醒命令；
移动终端设备，识别用户的指纹和面部或生物特征，生成指纹识别信息和面部识别信息或生物特征信息，并且，在连接所述控制系统之后，从所述控制系统发来认证请求时，将与所述认证请求响应而生成的所述指纹识别信息和面部识别信息或生物特征识别信息传输至所述控制系统而完成认证；
个人用虚拟化云服务器，响应由所述控制系统发来的唤醒命令而激活之后，只允许所述用户的计算机进行连接，允许使用等级高的1级文件和等级低的2级文件资料，并在所述计算机的用户请求或两人以上的用户连接时，自动关机；
及计算机，根据所述个人用虚拟化云服务器的允许，获得连接所述个人用虚拟化云服务器的权限之后，运用所述个人用虚拟化云服务器上的资料。

2.  根据权利要求1所述的云系统，其特征在于：
所述控制系统包括：
认证数据库，存储注册云服务的用户的指纹信息、面部信息、生物特征信息及注册信息；
控制服务器，核对任意的用户发来的指纹识别信息和面部识别信息或生物特征识别信息是否属于所述认证数据库的指纹信息和面部信息或生物特征信息，当判断属于其时，将用户认证确认信息传输至所述用户的移动终端设备，并与所述用户认证确认信息响应而生成唤醒命令。

3.  根据权利要求2所述的云系统，其特征在于：
所述控制系统与生成的所述唤醒命令响应，终止所述移动终端设备之间的连接，
所述个人用虚拟化云服务器与所述唤醒命令响应，终止所述控制系统之间的连接。

4.  根据权利要求3所述的云系统，其特征在于：
所述控制系统还接收由所述计算机提供的移动终端设备的电话号码信息，核对是否属于所述认证数据库的注册信息，再对所述移动终端设备执行认证。

5.  根据权利要求1所述的云系统，其特征在于：
所述个人用虚拟化云服务器记录已连接用户的日志信息，所述计算机被连接时，周期性地传输所述日志信息。

6.  根据权利要求1所述的云系统，其特征在于：
所述个人用虚拟化云服务器，为了强化对所述1级文件的访问权限，接收由所述计算机提供的生物特征识别信息并执行认证。

7.  一种云系统的安全防护管理方法，其特征在于，
包括如下步骤：
（a）利用指纹识别信息和面部识别信息或生物特征识别信息，在控制系统和任意的移动终端设备之间执行认证；
（b）所述认证完成之后，终止所述控制系统与移动终端设备之间的通信，并利用唤醒命令而激活个人用虚拟化云服务器；
（c）如上所述个人用虚拟化云服务器被激活之后，在所述个人用虚拟化云服务器上，仅允许用户的计算机进行连接；
（d）允许所述计算机连接之后，欲利用所述个人用虚拟化云服务器上的资料时，在所述个人用虚拟化云服务器上，根据资料的重要程度按级别赋予使用权限；
及（e）存在结束工作的所述计算机的用户请求或两人以上的用户连接时，使所述个人用虚拟化云服务器自动关机。

8.  根据权利要求7所述的云系统的安全防护管理方法，其特征在于：
在所述（d）步骤和（e）步骤之间，还包括如下步骤：
（f）在所述个人用虚拟化云服务器上，记录连接的用户的日志信息，并将所述日志信息周期性地传输至所述计算机。

9.  根据权利要求7所述的云系统的安全防护管理方法，其特征在于：
所述（a）步骤，还利用电话号码信息，在所述控制系统和移动终端设备之间进行认证。

10.  根据权利要求7所述的云系统的安全防护管理方法，其特征在于：
所述（d）步骤，欲将使用权限赋予所述个人用虚拟化云服务器上的资料中的等级高的1级文件时，利用生物特征识别信息而认证所述计算机之后，赋予使用权限。

说明书

说明书强化安全防护的云系统及其安全防护管理方法
技术领域
本发明涉及强化安全防护的云系统及其安全防护管理方法，尤其详细地涉及一种用于解决虚拟化的个人用云服务器的安全防护问题的云系统及其安全防护管理方法。
背景技术
当前趋势为，为了有效管理企业的IT资源并节省费用，增加以虚拟化技术为基础的云计算系统架构。此类云计算系统是指在一台超级计算机或几台计算机被连接地如一台计算机运转的相同的硬件平台上，向多个用户提供独立的虚拟机（Virtual Machine）的分布计算机系统。
如台式电脑、平板电脑、笔记本电脑及移动终端设备（手机）等各种设备作为客户端连接于此云计算机系统，由此，各个客户端设备可使用由云计算机系统提供的IT资源。如上所述，统称云计算机系统和与其连接的客户端设备并命名为'云系统'。
但，如上所述的云计算机系统通过符合用户的要求地分割硬件资源并进行使用，提供资源使用的效率性，但一台虚拟机感染恶意代码或bot病毒（bot）时，处于相同硬件平台上的其它虚拟机同时也存在感染恶意代码的危险。
如上所述感染的虚拟机存在被用于引发大规模危害的分布式拒绝服务（Distributed DoS；DDoS）攻击的危险。DoS攻击的一种形态即DDoS攻击，是指分散设置的多个攻击软件以相通的形态将信息量集中至目标网络/服务器的攻击，与一般的DoS攻击相比，更难以检测，且具有更强的破坏力。
并且，现有的云计算机系统通过开放式无线通信网络而连接多个客户端设备，因此，时常维持疏于安全防护的状态。因此，急需要求强化安全防护的新形态的云系统。
发明内容
技术课题
本发明是为解决上述问题而研发，本发明的目的为提供一种强化安全防护的云系统，由云计算机系统生成仅一个用户可连接的个人用虚拟化云服务器，并强化所述虚拟化云服务器的访问权限和用于资料使用的许可权，从而，保护虚拟化云服务器上的资料。
技术方案
为实现如上所述的本发明的目的，本发明的特征在于：
根据本发明的一实施例，提供一种强化安全防护的云系统，包括：控制系统，利用指纹识别和面部识别或生物特征识别执行用户认证，并生成唤醒（wake-on）命令；移动终端设备，识别用户的指纹和面部或生物特征，生成指纹识别信息和面部识别信息或生物特征信息，并且，在连接所述控制系统之后，从所述控制系统发来认证请求时，将与所述认证请求响应而生成的所述指纹识别信息和面部识别信息或生物特征识别信息传输至所述控制系统而完成认证；个人用虚拟化云服务器，响应由所述控制系统发来的唤醒命令而激活之后，只允许所述用户的计算机进行连接，允许使用等级高的1级文件和等级低的2级文件资料，并在所述计算机的用户请求或两人以上的用户连接时，自动关机（shut down）；及计算机，根据所述个人用虚拟化云服务器的允许，获得连接所述个人用虚拟化云服务器的权限之后，运用所述个人用虚拟化云服务器上的资料。
上述的本实施例的所述控制系统包括：认证数据库，存储注册云服务的用户的指纹信息、面部信息、生物特征信息及注册信息；控制服务器，核对任意的用户发来的指纹识别信息和面部识别信息或生物特征识别信息是否属于所述认证数据库的指纹信息和面部信息或生物特征信息，当判断属于其时，将用户认证确认信息传输至所述用户的移动终端设备，并与所述用户认证确认信息响应而生成唤醒（wake-on）命令。
在此情况下，本一实施例中的所述控制系统，与生成的所述唤醒命令响应而终止所述移动终端设备之间的连接，再接收从所述用户的计算机提供的移动终端设备的电话号码信息，核对是否属于所述认证数据库的注册信息，还可对所述移动终端设备执行认证。
并且，本一实施例中，个人用虚拟化云服务器，与所述唤醒命令响应而终止所述控制系统之间的连接，并记录连接的用户的日志信息，所述移动终端设备被连接时，周期性地传输所述日志信息，并为了强化对所述1级文件的访问权限，接收从所述移动终端设备提供的生物特征识别信息并执行认证，从而强化安全防护。
并且，根据本发明的另一实施例，提供一种云系统的安全防护管理方法，包括如下步骤：（a）利用指纹识别信息和面部识别信息或生物特征识别信息而在控制系统和任意的移动终端设备之间执行认证；（b）完成所述认证之后，终止所述控制系统与移动终端设备之间的通信，并利用唤醒（wake-on）命令，激活个人用虚拟化云服务器；（c）如上所述被激活之后，在所述个人用虚拟化云服务器上，只允许用户的计算机进行连接；（d）允许所述计算机连接之后，欲使用所述个人用虚拟化云服务器上的资料时，在所述个人用虚拟化云服务器上，根据资料的重要程度，按级别赋予使用权限；及（e）存在结束工作的所述计算机的用户的请求或两人以上的用户连接时，自动使所述个人用虚拟化云服务器关机（shut down）。
上述所述的本另一实施例的云系统的安全防护管理方法还包括如下步骤：（f）在所述个人用虚拟化云服务器上记录连接的用户的日志信息，并周期性地将所述日志信息传输至所述计算机。
有利效果
根据本发明，具有如下效果：每个用户分别生成个人用的虚拟化云服务器，为了强化所述云服务器的连接，执行通过之前形成的控制系统的用户认证，完成第一次安全防护，并对所述云服务器上的资料的使用执行按级别的认证，完成第二次安全防护，由此，可防止黑客并安全地保护虚拟化云服务器的资料（机密资料等）。
作为对资料的使用且因防止外部黑客而形成的更强化安全防护的方法，具有如下结构：分为1级服务器和2级服务器，1级服务器为不连接网线的封闭性的内部公司网线连接，并且2级服务器和用户的电脑与外部网线连接/断开，中间服务器控制其网线连接情况。此时，因内部网的1级服务器为全公司共用服务器，存在大量开启的情况，2级服务器选择单独服务器或个人虚拟化云服务器2种中的一种方法，其为单独服务器时，关闭服务器而提高安全防护性，其为多人一起使用的共用服务器时，作为共用服务器平台完全被开启，但理论上个别的个人虚拟化云服务器为关闭的状态，其为一侧分别通过内部网与1级服务器连接，一侧通过外部网与外部的用户电脑连接的构造。
并且，内部网1级服务器和2级服务器断开连接，1级-2级中间服务器执行其作用，2级服务器和用户电脑断开连接，控制服务器执行其作用。
并且，根据本发明，具有如下效果：通过控制系统完成认证之后，终止移动终端设备的连接，完成第一次安全防护，个人用虚拟化云服务器仅允许一个用户连接，多个进行连接时或根据一个用户的请求，完成自动关闭虚拟化云服务器的第二次安全防护，从而，防止黑客，而安全保护虚拟化云服务器的资料（机密资料等）。
并且，根据本发明，具有如下效果：作为用于认证用户的方法，使指纹识别和面部识别或生物特征识别符合适用于服务器/客户端环境，由此，在云系统上提供新形态的安全防护设备，从而，强化用户的安全防护。
附图说明
图1为显示以本发明的第一实施例的云系统为例的附图；
图2为显示以根据本发明的第二实施例的云系统10而执行的安全防护管理方法（S200）为例的附图；
图3为显示根据本发明的第二实施例，以在移动终端设备210和控制系统100之间执行认证处理顺序为例的附图；
图4为显示根据本发明的第二实施例，以在移动终端设备210/计算机220和控制系统100之间执行认证处理顺序为例的附图；
图5为显示根据本发明的第二实施例，以在移动终端设备210和个人用虚拟化云服务器300之间执行安全防护管理顺序为例的附图。
具体实施方式
下面，为了使本发明所属技术领域的普通技术人员可容易地实施本发明，参照附图对本发明的优选实施例进行详细说明。
第一实施例
图1为显示以本发明的第一实施例的云系统为例的附图。
如图1所示，本发明的第一实施例的云系统10包括：控制系统100、用户的移动终端设备210、用户的计算机220及个人用虚拟化云服务器300。
首先，本发明的控制系统100位于后文所述的虚拟化云服务器300和各个用户的移动终端设备或虚拟化云服务器300和各个用户的计算机之间，作为用于防御欲连接云计算机系统300A和虚拟化云服务器300的黑客攻击的安全防护装置而执行作用。为了执行作为安全防护装置的作用，安装并运行有如防火墙一样的安全防护软件，并对欲连接个人用虚拟化云服务器300的对象即各个用户执行认证处理。
为了进行如上所述的认证处理，本发明的控制系统100具有认证数据库110（DB）和控制服务器120等。其中，所述认证数据库110对注册云服务（是利用云计算的用户提供服务的总称）的用户，执行存储由各个用户提供的指纹信息、面部信息或生物特征信息及注册信息等的作用。
在此说明的指纹信息为各个用户具有的特有的指纹的总称，面部信息为各个用户分别具有的面部形象的总称，生物特征信息为随着生物特征识别技术的发展而出现的静脉信息或虹膜信息的总称，注册信息定义为包括各个用户分别具有的身份信息（例:身份证号码、地址、年龄、姓名等）和移动终端设备信息（例:移动终端设备的电话号码、移动终端设备的序列号）的更广的概念。
如上所述的认证数据库110为利用数据库管理系统（DBMS）而在计算机系统的存储空间（硬盘或内存）呈现的普通数据结构，是指可自由执行数据的检索（提取）、删除、编辑、添加等的数据存储形态，利用如Oracle、微软数据库管理软件（MSSQL）、Infomix、Sybase、DB2、MYSQL等关系型数据库管理系统（RDBMS）或如Gemston、Orion、O2等面向对象数据库管理系统（OODBMS）及Excelon、Tamino、Sekaiju等XML专用数据库（XML Native Database），从而，符合体现本实施例的目的，为实现自己的功能，也可为具有适当的字段（Field）或元素的形态。
相反，本发明的控制服务器120，在存在任意的用户200欲连接个人用虚拟化云服务器300的请求时，为了认证用户200，首先执行将由用户200提供的指纹识别信息和面部识别信息与数据库110上的指纹信息和面部信息进行核对（检索）的过程。
该检索结果，在认证数据库110上的指纹信息和面部信息中，被判断与用户200的指纹识别信息和面部识别信息或生物特征识别信息一致时，执行将用户认证确认信息传输至用户200的移动终端设备210。所述用户认证确认信息作为对用户的认证请求的肯定的回应，即为响应信息。
并且，本发明的控制服务器120执行将用户认证确认信息传输至用户200的移动终端设备210，并且，同时还执行与所述用户认证确认信息响应，而生成唤醒（wake-on）命令并传输至虚拟化云服务器300的作用。生成的唤醒命令，用于激活虚拟化云服务器300，并在后文进行更详细地说明。
如上所述，本发明的第一实施例的控制系统100具有如下优点：为了防御外部的黑客攻击，而执行用户认证，由此，可一次性切断欲连接虚拟化云服务器300的不法用户。
并且，本发明的用户的移动终端设备210作为多个用户中的一例而显示的客户端设备执行如下作用：为了使用云服务，首先通过上述说明的控制系统100，远程连接于云计算机系统300A，之后从云计算机系统300A生成310个人用虚拟化云服务器300。此时，云计算机系统300A是指已被广泛熟知的系统。
如上所述个人用虚拟化云服务器300被生成时，主要作用如下：本发明的移动终端设备210执行控制系统100之间的认证，以使在用户的计算机220上何时何地都可使用保存于个人用虚拟化云服务器300的资料。
如上所述的移动终端设备210是利用移动通信服务（无线网）的移动设备的总称，并且，其类型例如：W-CDMA智能手机、LTE智能手机、WIBRO智能手机等。
并且，本第一实施例中，作为利用个人用虚拟化云服务器300的IT设备限定了移动终端设备210，但并非将其限定于此，也可以另一IT设备代替。例如，计算机、台式电脑、平板电脑、笔记本电脑、上网本等IT设备（客户端设备）。
欲连接个人用虚拟化云服务器300时，本发明的移动终端设备210首先识别自己（用户）的指纹和面部或生物特征而生成指纹识别信息和面部识别信息或生物特征识别信息。并且，在连接控制系统100的状态下，从所述控制系统100发来认证请求时，本发明的移动终端设备210执行将所与述认证请求响应而生成的所述指纹识别信息和面部识别信息或生物特征识别信息传输至控制系统100的作用。
根据此类功能，在用户200的移动终端设备210和控制服务器之间完成认证，根据此的本发明的移动终端设备210执行激活自己（用户）生成的个人用虚拟化云服务器300的作用。
由此，用户的计算机220获得连接个人用虚拟化云服务器300的权限，由此，可运用个人用虚拟化云服务器300上的资料。
但，为了运用个人用虚拟化云服务器300的资料，通过控制系统100，并非连接个人用虚拟化云服务器300，而是可直接与个人用虚拟化云服务器300通信。
如上所述，本发明的控制系统100将唤醒命令发送至个人用虚拟化云服务器300而激活虚拟化云服务器300时，虚拟化云服务器300通过自动允许以用户的计算机220连接的过程，而在计算机220和个人用虚拟化云服务器300之间进行直接通信，从而，使运用个人用虚拟化云服务器300上的资料。
上述条件使得控制系统100生成的唤醒命令传输至个人用虚拟化云服务器300，同时将与所述唤醒命令响应而终止移动终端设备210连接的命令发送至移动终端设备210，终止控制系统100和移动终端设备210之间的连接。
因此类终止，可完全阻止盗用移动终端设备210的所有者即用户的指纹识别信息和面部识别信息并侵入的其他用户的连接。由此，在控制系统100上第一次完成对前文说明的用户的认证安全防护。
并且，进行直接通信是指在开放的通信网结构中如专用虚拟网络一样运行。上述过程，在后文个人用虚拟化云服务器300上进行更详细地说明。
前文说明的用户的计算机220还可执行增加性的功能，还可作为欲连接个人用虚拟化云服务器300的移动终端设备210的辅助作用的认证装置使用。
为了起到认证装置的作用，本发明的用户的计算机220接收输入的自己的移动终端设备电话号码并传输至控制系统100。由此，本发明的控制系统100通过运用前文说明的指纹识别信息和面部识别信息，并再接收由用户200的计算机220提供的移动终端设备210的电话号码信息，认证是否对应认证数据库110的注册信息，由此，通过对移动终端设备210的认证，使得更有效地运用。此类根据电话号码信息而进行的增加性的认证帮助更强化用户认证而提高安全防护水平。
最后，本发明的个人用虚拟化云服务器300与从控制系统100发来的唤醒（wake-on）命令响应并被自动激活时，执行向控制系统100请求连接中断的功能。此类请求通过控制系统防止其他用户的侵入，并且完成用户认证之后，用于以虚拟化专用网络形态与用户的计算机220进行通信。
即，本发明的个人用虚拟化云服务器300响应唤醒命令并通过虚拟专用网络将允许连接信息传输至完成用户认证的用户的计算机220。由于此类虚拟专用网络的作用，更强化访问性安防保护。
由此，仅获得允许连接的用户的计算机220即自己可利用生成且被激活的个人用虚拟化云服务器300。但，被允许连接的用户的计算机220为了使用个人用虚拟化云服务器300，还必须通过增加性的认证才可。
即，本发明的个人用虚拟化云服务器300根据由用户200所生成的资料的安全防护等级程度，构筑为两个以上的虚拟服务器。例如，在虚拟服务器中的第1虚拟服务器上保管等级高的1级文件，在第2虚拟服务器上保管等级低的2级文件资料。
此时，为了强化对1级文件资料的访问权限，本发明的个人用虚拟化云服务器300接收由用户的计算机220提供的生物特征识别信息并执行认证。生物特征识别信息包括指纹和面部识别，也包括声音、面部、虹膜，声音及静脉分布识别等。此时，生物特征识别信息也可通过移动终端设备210执行认证。
例如，面部识别可根据分析以三维立体方式掌握的面部形态和面部的热分布的方法实现。将指纹，包括如指纹的纹型、方向性及刻度方向等更精细的附加信息的指纹信息适用于个人用虚拟化云服务器300。
如上所述，因强化运用生物特征识别信息的安全防护，从而，更强化对存有1级机密资料的虚拟服务器的连接，因此，具有安全保护用户资料的优点。
并且，本发明的个人用虚拟化云服务器300按如下程序进行：周期性地检测通过外部的通信网络连接的用户，判断两人以上的用户同时进行连接时，执行自动关机（shut down）命令并使关机。
而且，个人用虚拟化云服务器300还可维持自动关机的情况，此情况为有用户的计算机220的用户请求的时。即，用户用自己的计算机220并连接个人用虚拟化云服务器300而使用资料，之后，使得从个人用虚拟化云服务器300退出（log out）时，个人用虚拟化云服务器300执行自动关机命令并关机。
第二实施例
图2为显示以根据本发明的第二实施例的云系统10而执行的安全防护管理方法（S200）为例的附图；
图3为显示根据本发明的第二实施例，以在移动终端设备210和控制系统100之间执行认证处理顺序为例的附图；图4为显示根据本发明的第二实施例，以在移动终端设备210/计算机220和控制系统100之间执行认证处理顺序为例的附图；图5为显示根据本发明的第二实施例，以在移动终端设备210和个人用虚拟化云服务器300之间执行安全防护管理顺序为例的附图。
如图2所示，本发明的第二实施例的云系统10的安全防护管理方法（S200）包括以下步骤：认证移动终端设备（S210）；激活虚拟化云服务器（S230）；允许连接计算机（S240）；赋予按级别设的用户权限（S250）；关闭虚拟化云服务器（S260）及检测日志信息（S270）。
首先，在本发明的S210步骤中，利用指纹识别信息和面部识别信息，在控制系统100和移动终端设备210之间执行认证的过程。参照图3及图4对此过程进行说明。图3所示的移动终端设备210欲连接自己生成的虚拟化云服务器300，首先向控制系统100发出连接请求（S211）。此时，移动终端设备210仅为IT设备的一例。
之后，控制系统100对移动终端设备210的连接请求进行响应，将用户认证确认信息经过无线网络而传输至移动终端设备210（S212）。接收用户认证确认信息的移动终端设备210将借助指纹及面部识别器识别的指纹识别信息和面部识别信息传输至控制系统100（S213）。
之后，控制系统100检索指纹识别信息和面部识别信息是否属于认证数据库110，判断为具有一致的信息时，将以肯定的答复完成的认证发送至移动终端设备210，但不一致时，将以不符的答复拒绝认证发送至移动终端设备210（S214）。
如上所述，利用指纹识别信息和面部识别信息或生物特征识别信息的认证处理具有如下优点：与根据普遍熟知的用户名称及密码的认证相比具有更高的安全防护性。
相反，图4所示的计算机220连接控制系统100（S215）之后，接收第1用户认证确认信息（S216），并输入自己的移动终端设备号码而传输至控制系统（S217）。其它移动终端设备210和控制系统100的处理顺序（S218、S219、S220）与前文说明的（S212、S213、S214）顺序相同。此类利用自己的移动终端设备210的认证与图3情况相比具有更进一步强化安全防护的效果。
下面，参照图1及图5对本发明的S230至S260步骤进行说明。
如图所示，本发明的S230步骤中执行如下过程：完成S210步骤的认证之后，向移动终端设备210报告（S231）并终止控制系统100和移动终端设备210之间的通信，利用唤醒（wake-on）命令而激活个人用虚拟化云服务器300。
并且，个人用虚拟化云服务器300接收由控制系统100传输的唤醒命令时，将响应所述唤醒命令而中断与控制系统100的连接的信息发送至控制系统100（S232），从而，使终止个人用虚拟化云服务器300和控制系统100的通信。
如上所述，控制系统100/移动终端设备210和个人用虚拟化云服务器300/控制系统100之间中断通信的原因是为了个人用虚拟化云服务器300和移动终端设备210之间进行直接通信，并且，更重要的是为了防止通过控制系统100进入的其他用户的侵入。通过此多个步骤，更加强化安全防护。
之后，本发明的S240步骤中，被激活的个人用虚拟化云服务器300将允许连接信息发送至用户的计算机220（S241）时，根据用户的计算机220的接受而完成允许连接。由此，用户的计算机220连接个人用虚拟化云服务器300并可使用云服务器300上的安全防护等级低的资料（S242）。此时，欲使用安全防护等级高的资料时，执行S250步骤。
即，在本发明的S250步骤中，在允许用户的计算机220连接之后，欲使用个人用虚拟化云服务器300上的资料时，在个人用虚拟化云服务器300上执行根据资料的重要程度而按级别赋予使用权限的过程。例如，用户访问等级高的资料时（S242），个人用虚拟化云服务器300立刻将请输入生物特征识别信息的认证请求信息传输至用户的计算机220（S251）。访问安全防护等级低的资料时，继续维持现有的使用。
由此，用户的计算机220与用户认证确认信息响应，识别自己的生物特征信息并将生物特征识别信息传输至个人用虚拟化云服务器300（S252），为正常用户时，接收到完成认证的肯定答复（S253）。由此，用户的计算机220可自由使用安全防护等级高的机密资料（S254）。如上所述生物特征识别信息具有非常利于强化安全防护的优点。
并且，在本发明的S260步骤中，存在结束工作的用户的计算机220的用户的请求（S261）时或两人以上的用户连接（S262）时，执行将个人用虚拟化云服务器300自动关机（shut down）的过程。因此类虚拟化云服务器300的关机，而具有如下优点：防止外部的侵入者，而安全地保存资料。
最后，在本发明的S270步骤中，在完成S260步骤之前，还执行对连接个人用虚拟化云服务器300的用户的日志信息进行记录并周期性地检测，并通过日志信息短信（S271）将所述日志信息的结果以任意设定时间传输至用户的计算机220或移动终端设备210的过程。由此，用户可安全地维护自己生成的虚拟化云服务器300。
第三实施例:
对于网络银行服务，运用用户的电脑直接连接网络银行服务器而使用的一层式服务器系统，并非因黑客攻击而使安全防护严重毁损的水平，或将其架构为多层式服务器系统，且用户的电脑不是通过公众认证书和密码认证连接的方式，
通过公众认证书和密码认证连接时的问题为用户的电脑成为僵尸电脑时，可通过用户的电脑攻击服务器，由此，不使用此方式，
基本上为一种用户的电脑和银行的网络银行服务器不直接连接，中间设有各个用户的个人虚拟化账户服务器，并只通过此服务器而使得与网络银行服务器的信息进行交流的系统。
因此，用户的电脑连接自己的个人虚拟化账户服务器时，与上述方式相同，平时个人虚拟化账户服务器理论上为关闭状态，并且，网线也处于断开状态，在将其唤醒并连接网线时，被打开，并必须通过连接于网线的控制服务器，进行唤醒服务器请求，在接收此请求的服务器上，为了认证为本人，执行将对本人认证的处理发送至本人的手机或智能手机的处理。
此时，本人的智能手机认证在一般的较低级别的步骤中，也可使用将发送至本人的短信上的认证号码，再输入电脑上的方式，为了更高的认证，运用搭载有本人的指纹、面部或生物特征识别信息的智能手机，传输指纹、面部或生物特征识别信息，并且，传输与智能手机的电话号码相关的产品生成号码等，而提高其认证安全防护水平。
控制服务器确认为本人的生物特征认证信息时，只有控制服务器在本人的个人虚拟化账户服务器弹出唤醒信息，才执行唤醒，并且打开个人虚拟化账户服务器时，连接网线，
之后，为了阻止用户的电脑的僵尸电脑，个人虚拟化账户服务器再次对用户的电脑进行僵尸化处理。此时，形成防止试图连接用户的电脑的任意的入侵的防火墙，存在某个小的侵入信号时，其立刻切断用户台式电脑和个人虚拟化账户服务器的连接，并关闭个人虚拟化账户服务器。因此，完全封锁其侵入。
用户本人的个人虚拟化账户服务器为开启状态，但还未与银行的网络银行系统连接。在个人虚拟化账户服务器上，请求银行的网络银行资料时，其请求的值仅使得通过执行银行网络银行服务器和个人虚拟化账户服务器之间内部网连接断开和对请求值的通信功能的中间服务器执行工作，
银行的网络银行服务器并非直接连接个人虚拟化账户服务器，而通过中间服务器间接连接，并且中间服务器与银行的网络银行服务器连接时，断开与个人虚拟化账户服务器的连接，并且，试图与个人虚拟化账户服务器的连接时，先断开与银行的网络银行服务器的连接，而使执行反潜的中间隔壁作用，以获得安全防护的完备性。
本实施例并非仅适用于银行，也适用于连接及使用于政府机关或企业的机密文件的情况。
如上所述，参照附图对本发明的实施例进行了说明，但本发明所属技术领域的普通技术人员应当理解：不变更本发明的技术性思想或必需的特征的情况，以其它具体形态进行实施。因此，上述所述的实施例在所有方面均用于例示，并非用于限定本发明。
附图标记说明
10:云系统           100:控制系统
110:认证数据库      120:控制服务器
200:用户            210:移动终端设备
220:计算机          300:个人用虚拟化云服务器
310:云计算机系统

资源描述

《强化安全防护的云系统及其安全防护管理方法.pdf》由会员分享，可在线阅读，更多相关《强化安全防护的云系统及其安全防护管理方法.pdf（15页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103842985 A (43)申请公布日 2014.06.04 CN 103842985 A (21)申请号 201280048183.3 (22)申请日 2012.09.26 10-2011-0099399 2011.09.29 KR G06F 15/16(2006.01) H04L 9/32(2006.01) G06K 9/46(2006.01) (71)申请人李青锺地址韩国首尔 (72)发明人李青锺 (74)专利代理机构隆天国际知识产权代理有限公司 72003 代理人金相允向勇 (54) 发明名称强化安全防护的云系统及其安全防护管理方法 (。

2、57) 摘要本发明公开了一种为了强化虚拟化的个人用云服务器的安全防护问题的云系统及其安全防护管理方法。为此，本发明提供一种强化安全防护的云系统，包括：控制系统，利用指纹识别和面部识别或生物特征识别执行用户认证，并生成唤醒（wake-on）命令；移动终端设备，识别用户的指纹和面部或生物特征，生成指纹识别信息和面部识别信息或生物特征信息，并且，在连接所述控制系统之后，从所述控制系统发来认证请求时，将与所述认证请求响应而生成的所述指纹识别信息和面部识别信息或生物特征识别信息传输至所述控制系统而完成认证；个人用虚拟化云服务器，响应由所述控制。

3、系统发来的唤醒命令而激活之后，只允许所述用户的计算机进行连接，允许使用等级高的1级文件和等级低的2级文件资料，并在所述计算机的用户请求或两人以上的用户连接时，自动关机（shut down）；及计算机，根据所述个人用虚拟化云服务器的允许，获得连接所述个人用虚拟化云服务器的权限之后，运用所述个人用虚拟化云服务器上的资料。 (30)优先权数据 (85)PCT国际申请进入国家阶段日 2014.03.31 (86)PCT国际申请的申请数据 PCT/KR2012/007741 2012.09.26 (87)PCT国际申请的公布数据 WO2013/048102 KO 201。

4、3.04.04 (51)Int.Cl. 权利要求书 2 页说明书 9 页附图 3 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书9页附图3页 (10)申请公布号 CN 103842985 A CN 103842985 A 1/2 页 2 1. 一种强化安全防护的云系统，其特征在于，包括：控制系统，利用指纹识别和面部识别或生物特征识别执行用户认证，并生成唤醒命令；移动终端设备，识别用户的指纹和面部或生物特征，生成指纹识别信息和面部识别信息或生物特征信息，并且，在连接所述控制系统之后，从所述控制系统发来认证请求时，将与。

5、所述认证请求响应而生成的所述指纹识别信息和面部识别信息或生物特征识别信息传输至所述控制系统而完成认证；个人用虚拟化云服务器，响应由所述控制系统发来的唤醒命令而激活之后，只允许所述用户的计算机进行连接，允许使用等级高的1级文件和等级低的2级文件资料，并在所述计算机的用户请求或两人以上的用户连接时，自动关机；及计算机，根据所述个人用虚拟化云服务器的允许，获得连接所述个人用虚拟化云服务器的权限之后，运用所述个人用虚拟化云服务器上的资料。 2. 根据权利要求 1 所述的云系统，其特征在于：所述控制系统包括：认证数据库，存储注册云服务的用户的指纹信息、面部信。

6、息、生物特征信息及注册信息；控制服务器，核对任意的用户发来的指纹识别信息和面部识别信息或生物特征识别信息是否属于所述认证数据库的指纹信息和面部信息或生物特征信息，当判断属于其时，将用户认证确认信息传输至所述用户的移动终端设备，并与所述用户认证确认信息响应而生成唤醒命令。 3. 根据权利要求 2 所述的云系统，其特征在于：所述控制系统与生成的所述唤醒命令响应，终止所述移动终端设备之间的连接，所述个人用虚拟化云服务器与所述唤醒命令响应，终止所述控制系统之间的连接。 4. 根据权利要求 3 所述的云系统，其特征在于：所述控制系统还接收由所述计算机提供的移动终端。

7、设备的电话号码信息，核对是否属于所述认证数据库的注册信息，再对所述移动终端设备执行认证。 5. 根据权利要求 1 所述的云系统，其特征在于：所述个人用虚拟化云服务器记录已连接用户的日志信息，所述计算机被连接时，周期性地传输所述日志信息。 6. 根据权利要求 1 所述的云系统，其特征在于：所述个人用虚拟化云服务器，为了强化对所述 1 级文件的访问权限，接收由所述计算机提供的生物特征识别信息并执行认证。 7. 一种云系统的安全防护管理方法，其特征在于，包括如下步骤：（a）利用指纹识别信息和面部识别信息或生物特征识别信息，在控制系统和任意的移动终端设备之间。

8、执行认证；（b）所述认证完成之后，终止所述控制系统与移动终端设备之间的通信，并利用唤醒命令而激活个人用虚拟化云服务器；权利要求书 CN 103842985 A 2 2/2 页 3 （c）如上所述个人用虚拟化云服务器被激活之后，在所述个人用虚拟化云服务器上，仅允许用户的计算机进行连接；（d）允许所述计算机连接之后，欲利用所述个人用虚拟化云服务器上的资料时，在所述个人用虚拟化云服务器上，根据资料的重要程度按级别赋予使用权限；及（e）存在结束工作的所述计算机的用户请求或两人以上的用户连接时，使所述个人用虚拟化云服务器自动关机。 8. 根据权利。

9、要求 7 所述的云系统的安全防护管理方法，其特征在于：在所述（d）步骤和（e）步骤之间，还包括如下步骤：（f）在所述个人用虚拟化云服务器上，记录连接的用户的日志信息，并将所述日志信息周期性地传输至所述计算机。 9. 根据权利要求 7 所述的云系统的安全防护管理方法，其特征在于：所述（a）步骤，还利用电话号码信息，在所述控制系统和移动终端设备之间进行认证。 10. 根据权利要求 7 所述的云系统的安全防护管理方法，其特征在于：所述（d）步骤，欲将使用权限赋予所述个人用虚拟化云服务器上的资料中的等级高的 1 级文件时，利用生物特征识别信息而认。

10、证所述计算机之后，赋予使用权限。权利要求书 CN 103842985 A 3 1/9 页 4 强化安全防护的云系统及其安全防护管理方法技术领域 0001 本发明涉及强化安全防护的云系统及其安全防护管理方法，尤其详细地涉及一种用于解决虚拟化的个人用云服务器的安全防护问题的云系统及其安全防护管理方法。背景技术 0002 当前趋势为，为了有效管理企业的 IT 资源并节省费用，增加以虚拟化技术为基础的云计算系统架构。此类云计算系统是指在一台超级计算机或几台计算机被连接地如一台计算机运转的相同的硬件平台上，向多个用户提供独立的虚拟机（Virtual Machine）的。

11、分布计算机系统。 0003 如台式电脑、平板电脑、笔记本电脑及移动终端设备（手机）等各种设备作为客户端连接于此云计算机系统，由此，各个客户端设备可使用由云计算机系统提供的 IT 资源。如上所述，统称云计算机系统和与其连接的客户端设备并命名为云系统。 0004 但，如上所述的云计算机系统通过符合用户的要求地分割硬件资源并进行使用，提供资源使用的效率性，但一台虚拟机感染恶意代码或 bot 病毒（bot）时，处于相同硬件平台上的其它虚拟机同时也存在感染恶意代码的危险。 0005 如上所述感染的虚拟机存在被用于引发大规模危害的分布式拒绝服务（Distribute。

12、d DoS ； DDoS）攻击的危险。DoS 攻击的一种形态即 DDoS 攻击，是指分散设置的多个攻击软件以相通的形态将信息量集中至目标网络 / 服务器的攻击，与一般的 DoS 攻击相比，更难以检测，且具有更强的破坏力。 0006 并且，现有的云计算机系统通过开放式无线通信网络而连接多个客户端设备，因此，时常维持疏于安全防护的状态。因此，急需要求强化安全防护的新形态的云系统。发明内容 0007 技术课题 0008 本发明是为解决上述问题而研发，本发明的目的为提供一种强化安全防护的云系统，由云计算机系统生成仅一个用户可连接的个人用虚拟化云服务器，并强化所述虚拟化。

13、云服务器的访问权限和用于资料使用的许可权，从而，保护虚拟化云服务器上的资料。 0009 技术方案 0010 为实现如上所述的本发明的目的，本发明的特征在于： 0011 根据本发明的一实施例，提供一种强化安全防护的云系统，包括：控制系统，利用指纹识别和面部识别或生物特征识别执行用户认证，并生成唤醒（wake-on）命令；移动终端设备，识别用户的指纹和面部或生物特征，生成指纹识别信息和面部识别信息或生物特征信息，并且，在连接所述控制系统之后，从所述控制系统发来认证请求时，将与所述认证请求响应而生成的所述指纹识别信息和面部识别信息或生物特征识别信息传。

14、输至所述控制系统而完成认证；个人用虚拟化云服务器，响应由所述控制系统发来的唤醒命令而激活之后，只允许所述用户的计算机进行连接，允许使用等级高的1级文件和等级低的2级文件说明书 CN 103842985 A 4 2/9 页 5 资料，并在所述计算机的用户请求或两人以上的用户连接时，自动关机（shut down）；及计算机，根据所述个人用虚拟化云服务器的允许，获得连接所述个人用虚拟化云服务器的权限之后，运用所述个人用虚拟化云服务器上的资料。 0012 上述的本实施例的所述控制系统包括：认证数据库，存储注册云服务的用户的指纹信息、面部信息、生物特征。

15、信息及注册信息；控制服务器，核对任意的用户发来的指纹识别信息和面部识别信息或生物特征识别信息是否属于所述认证数据库的指纹信息和面部信息或生物特征信息，当判断属于其时，将用户认证确认信息传输至所述用户的移动终端设备，并与所述用户认证确认信息响应而生成唤醒（wake-on）命令。 0013 在此情况下，本一实施例中的所述控制系统，与生成的所述唤醒命令响应而终止所述移动终端设备之间的连接，再接收从所述用户的计算机提供的移动终端设备的电话号码信息，核对是否属于所述认证数据库的注册信息，还可对所述移动终端设备执行认证。 0014 并且，本一实施例中，个人用虚拟化云。

16、服务器，与所述唤醒命令响应而终止所述控制系统之间的连接，并记录连接的用户的日志信息，所述移动终端设备被连接时，周期性地传输所述日志信息，并为了强化对所述 1 级文件的访问权限，接收从所述移动终端设备提供的生物特征识别信息并执行认证，从而强化安全防护。 0015 并且，根据本发明的另一实施例，提供一种云系统的安全防护管理方法，包括如下步骤：（a）利用指纹识别信息和面部识别信息或生物特征识别信息而在控制系统和任意的移动终端设备之间执行认证；（b）完成所述认证之后，终止所述控制系统与移动终端设备之间的通信，并利用唤醒（wake-on）命令，激活个人用。

17、虚拟化云服务器；（c）如上所述被激活之后，在所述个人用虚拟化云服务器上，只允许用户的计算机进行连接；（d）允许所述计算机连接之后，欲使用所述个人用虚拟化云服务器上的资料时，在所述个人用虚拟化云服务器上，根据资料的重要程度，按级别赋予使用权限；及（e）存在结束工作的所述计算机的用户的请求或两人以上的用户连接时，自动使所述个人用虚拟化云服务器关机（shut down）。 0016 上述所述的本另一实施例的云系统的安全防护管理方法还包括如下步骤：（f）在所述个人用虚拟化云服务器上记录连接的用户的日志信息，并周期性地将所述日志信息传输至所述计算机。。

18、0017 有利效果 0018 根据本发明，具有如下效果：每个用户分别生成个人用的虚拟化云服务器，为了强化所述云服务器的连接，执行通过之前形成的控制系统的用户认证，完成第一次安全防护，并对所述云服务器上的资料的使用执行按级别的认证，完成第二次安全防护，由此，可防止黑客并安全地保护虚拟化云服务器的资料（机密资料等）。 0019 作为对资料的使用且因防止外部黑客而形成的更强化安全防护的方法，具有如下结构：分为 1 级服务器和 2 级服务器， 1 级服务器为不连接网线的封闭性的内部公司网线连接，并且 2 级服务器和用户的电脑与外部网线连接 / 断开，中间服务器。

19、控制其网线连接情况。此时，因内部网的1级服务器为全公司共用服务器，存在大量开启的情况， 2级服务器选择单独服务器或个人虚拟化云服务器 2 种中的一种方法，其为单独服务器时，关闭服务器而提高安全防护性，其为多人一起使用的共用服务器时，作为共用服务器平台完全被开启，但理论上个别的个人虚拟化云服务器为关闭的状态，其为一侧分别通过内部网与 1 级服务说明书 CN 103842985 A 5 3/9 页 6 器连接，一侧通过外部网与外部的用户电脑连接的构造。 0020 并且，内部网 1 级服务器和 2 级服务器断开连接， 1 级 -2 级中间服务器执行其作用， 2 级。

20、服务器和用户电脑断开连接，控制服务器执行其作用。 0021 并且，根据本发明，具有如下效果：通过控制系统完成认证之后，终止移动终端设备的连接，完成第一次安全防护，个人用虚拟化云服务器仅允许一个用户连接，多个进行连接时或根据一个用户的请求，完成自动关闭虚拟化云服务器的第二次安全防护，从而，防止黑客，而安全保护虚拟化云服务器的资料（机密资料等）。 0022 并且，根据本发明，具有如下效果：作为用于认证用户的方法，使指纹识别和面部识别或生物特征识别符合适用于服务器 / 客户端环境，由此，在云系统上提供新形态的安全防护设备，从而，强化用户的安全。

21、防护。附图说明 0023 图 1 为显示以本发明的第一实施例的云系统为例的附图； 0024 图 2 为显示以根据本发明的第二实施例的云系统 10 而执行的安全防护管理方法（S200）为例的附图； 0025 图 3 为显示根据本发明的第二实施例，以在移动终端设备 210 和控制系统 100 之间执行认证处理顺序为例的附图； 0026 图 4 为显示根据本发明的第二实施例，以在移动终端设备 210/ 计算机 220 和控制系统 100 之间执行认证处理顺序为例的附图； 0027 图 5 为显示根据本发明的第二实施例，以在移动终端设备 210 和个人用虚拟化云服务器 300。

22、之间执行安全防护管理顺序为例的附图。具体实施方式 0028 下面，为了使本发明所属技术领域的普通技术人员可容易地实施本发明，参照附图对本发明的优选实施例进行详细说明。 0029 第一实施例 0030 图 1 为显示以本发明的第一实施例的云系统为例的附图。 0031 如图 1 所示，本发明的第一实施例的云系统 10 包括：控制系统 100、用户的移动终端设备 210、用户的计算机 220 及个人用虚拟化云服务器 300。 0032 首先，本发明的控制系统 100 位于后文所述的虚拟化云服务器 300 和各个用户的移动终端设备或虚拟化云服务器 300 和各个用户的计算机之。

23、间，作为用于防御欲连接云计算机系统 300A 和虚拟化云服务器 300 的黑客攻击的安全防护装置而执行作用。为了执行作为安全防护装置的作用，安装并运行有如防火墙一样的安全防护软件，并对欲连接个人用虚拟化云服务器 300 的对象即各个用户执行认证处理。 0033 为了进行如上所述的认证处理，本发明的控制系统 100 具有认证数据库 110（DB）和控制服务器 120 等。其中，所述认证数据库 110 对注册云服务（是利用云计算的用户提供服务的总称）的用户，执行存储由各个用户提供的指纹信息、面部信息或生物特征信息及注册信息等的作用。 0034 在此说明的指纹信息为各个。

24、用户具有的特有的指纹的总称，面部信息为各个用户说明书 CN 103842985 A 6 4/9 页 7 分别具有的面部形象的总称，生物特征信息为随着生物特征识别技术的发展而出现的静脉信息或虹膜信息的总称，注册信息定义为包括各个用户分别具有的身份信息（例 : 身份证号码、地址、年龄、姓名等）和移动终端设备信息（例:移动终端设备的电话号码、移动终端设备的序列号）的更广的概念。 0035 如上所述的认证数据库 110 为利用数据库管理系统（DBMS）而在计算机系统的存储空间（硬盘或内存）呈现的普通数据结构，是指可自由执行数据的检索（提取）、删除、编。

25、辑、添加等的数据存储形态，利用如 Oracle、微软数据库管理软件（MSSQL）、 Infomix、 Sybase、 DB2、 MYSQL 等关系型数据库管理系统（RDBMS）或如 Gemston、 Orion、 O2 等面向对象数据库管理系统（OODBMS）及 Excelon、 Tamino、 Sekaiju 等 XML 专用数据库（XML Native Database），从而，符合体现本实施例的目的，为实现自己的功能，也可为具有适当的字段（Field）或元素的形态。 0036 相反，本发明的控制服务器 120，在存在任意的用户 200 欲连接个人用。

26、虚拟化云服务器 300 的请求时，为了认证用户 200，首先执行将由用户 200 提供的指纹识别信息和面部识别信息与数据库 110 上的指纹信息和面部信息进行核对（检索）的过程。 0037 该检索结果，在认证数据库110上的指纹信息和面部信息中，被判断与用户200的指纹识别信息和面部识别信息或生物特征识别信息一致时，执行将用户认证确认信息传输至用户 200 的移动终端设备 210。所述用户认证确认信息作为对用户的认证请求的肯定的回应，即为响应信息。 0038 并且，本发明的控制服务器 120 执行将用户认证确认信息传输至用户 200 的移动终端设备 210，并且。

27、，同时还执行与所述用户认证确认信息响应，而生成唤醒（wake-on）命令并传输至虚拟化云服务器 300 的作用。生成的唤醒命令，用于激活虚拟化云服务器 300，并在后文进行更详细地说明。 0039 如上所述，本发明的第一实施例的控制系统 100 具有如下优点：为了防御外部的黑客攻击，而执行用户认证，由此，可一次性切断欲连接虚拟化云服务器 300 的不法用户。 0040 并且，本发明的用户的移动终端设备 210 作为多个用户中的一例而显示的客户端设备执行如下作用：为了使用云服务，首先通过上述说明的控制系统 100，远程连接于云计算机系统 300A，之后。

28、从云计算机系统 300A 生成 310 个人用虚拟化云服务器 300。此时，云计算机系统 300A 是指已被广泛熟知的系统。 0041 如上所述个人用虚拟化云服务器 300 被生成时，主要作用如下：本发明的移动终端设备 210 执行控制系统 100 之间的认证，以使在用户的计算机 220 上何时何地都可使用保存于个人用虚拟化云服务器 300 的资料。 0042 如上所述的移动终端设备 210 是利用移动通信服务（无线网）的移动设备的总称，并且，其类型例如： W-CDMA 智能手机、 LTE 智能手机、 WIBRO 智能手机等。 0043 并且，本第一实施例中，作为。

29、利用个人用虚拟化云服务器 300 的 IT 设备限定了移动终端设备 210，但并非将其限定于此，也可以另一 IT 设备代替。例如，计算机、台式电脑、平板电脑、笔记本电脑、上网本等 IT 设备（客户端设备）。 0044 欲连接个人用虚拟化云服务器 300 时，本发明的移动终端设备 210 首先识别自己（用户）的指纹和面部或生物特征而生成指纹识别信息和面部识别信息或生物特征识别信息。并且，在连接控制系统 100 的状态下，从所述控制系统 100 发来认证请求时，本发明的说明书 CN 103842985 A 7 5/9 页 8 移动终端设备 210 执行将所与。

30、述认证请求响应而生成的所述指纹识别信息和面部识别信息或生物特征识别信息传输至控制系统 100 的作用。 0045 根据此类功能，在用户200的移动终端设备210和控制服务器之间完成认证，根据此的本发明的移动终端设备 210 执行激活自己（用户）生成的个人用虚拟化云服务器 300 的作用。 0046 由此，用户的计算机 220 获得连接个人用虚拟化云服务器 300 的权限，由此，可运用个人用虚拟化云服务器 300 上的资料。 0047 但，为了运用个人用虚拟化云服务器 300 的资料，通过控制系统 100，并非连接个人用虚拟化云服务器 300，而是可直接与个人用虚。

31、拟化云服务器 300 通信。 0048 如上所述，本发明的控制系统 100 将唤醒命令发送至个人用虚拟化云服务器 300 而激活虚拟化云服务器 300 时，虚拟化云服务器 300 通过自动允许以用户的计算机 220 连接的过程，而在计算机 220 和个人用虚拟化云服务器 300 之间进行直接通信，从而，使运用个人用虚拟化云服务器 300 上的资料。 0049 上述条件使得控制系统 100 生成的唤醒命令传输至个人用虚拟化云服务器 300，同时将与所述唤醒命令响应而终止移动终端设备 210 连接的命令发送至移动终端设备 210，终止控制系统 100 和移动终端设备 210 之间。

32、的连接。 0050 因此类终止，可完全阻止盗用移动终端设备 210 的所有者即用户的指纹识别信息和面部识别信息并侵入的其他用户的连接。由此，在控制系统 100 上第一次完成对前文说明的用户的认证安全防护。 0051 并且，进行直接通信是指在开放的通信网结构中如专用虚拟网络一样运行。上述过程，在后文个人用虚拟化云服务器 300 上进行更详细地说明。 0052 前文说明的用户的计算机 220 还可执行增加性的功能，还可作为欲连接个人用虚拟化云服务器 300 的移动终端设备 210 的辅助作用的认证装置使用。 0053 为了起到认证装置的作用，本发明的用户的计算机 220 接收输。

33、入的自己的移动终端设备电话号码并传输至控制系统 100。由此，本发明的控制系统 100 通过运用前文说明的指纹识别信息和面部识别信息，并再接收由用户 200 的计算机 220 提供的移动终端设备 210 的电话号码信息，认证是否对应认证数据库 110 的注册信息，由此，通过对移动终端设备 210 的认证，使得更有效地运用。此类根据电话号码信息而进行的增加性的认证帮助更强化用户认证而提高安全防护水平。 0054 最后，本发明的个人用虚拟化云服务器 300 与从控制系统 100 发来的唤醒（wake-on）命令响应并被自动激活时，执行向控制系统 100 请求连接中断的功。

34、能。此类请求通过控制系统防止其他用户的侵入，并且完成用户认证之后，用于以虚拟化专用网络形态与用户的计算机 220 进行通信。 0055 即，本发明的个人用虚拟化云服务器 300 响应唤醒命令并通过虚拟专用网络将允许连接信息传输至完成用户认证的用户的计算机220。由于此类虚拟专用网络的作用，更强化访问性安防保护。 0056 由此，仅获得允许连接的用户的计算机 220 即自己可利用生成且被激活的个人用虚拟化云服务器300。但，被允许连接的用户的计算机220为了使用个人用虚拟化云服务器 300，还必须通过增加性的认证才可。说明书 CN 103842985 A 8 6。

35、/9 页 9 0057 即，本发明的个人用虚拟化云服务器 300 根据由用户 200 所生成的资料的安全防护等级程度，构筑为两个以上的虚拟服务器。例如，在虚拟服务器中的第 1 虚拟服务器上保管等级高的 1 级文件，在第 2 虚拟服务器上保管等级低的 2 级文件资料。 0058 此时，为了强化对 1 级文件资料的访问权限，本发明的个人用虚拟化云服务器 300 接收由用户的计算机 220 提供的生物特征识别信息并执行认证。生物特征识别信息包括指纹和面部识别，也包括声音、面部、虹膜，声音及静脉分布识别等。此时，生物特征识别信息也可通过移动终端设备 210 执行认证。 0。

36、059 例如，面部识别可根据分析以三维立体方式掌握的面部形态和面部的热分布的方法实现。将指纹，包括如指纹的纹型、方向性及刻度方向等更精细的附加信息的指纹信息适用于个人用虚拟化云服务器 300。 0060 如上所述，因强化运用生物特征识别信息的安全防护，从而，更强化对存有 1 级机密资料的虚拟服务器的连接，因此，具有安全保护用户资料的优点。 0061 并且，本发明的个人用虚拟化云服务器 300 按如下程序进行：周期性地检测通过外部的通信网络连接的用户，判断两人以上的用户同时进行连接时，执行自动关机（shut down）命令并使关机。 0062 而且，个人。

37、用虚拟化云服务器 300 还可维持自动关机的情况，此情况为有用户的计算机 220 的用户请求的时。即，用户用自己的计算机 220 并连接个人用虚拟化云服务器 300 而使用资料，之后，使得从个人用虚拟化云服务器 300 退出（log out）时，个人用虚拟化云服务器 300 执行自动关机命令并关机。 0063 第二实施例 0064 图 2 为显示以根据本发明的第二实施例的云系统 10 而执行的安全防护管理方法（S200）为例的附图； 0065 图 3 为显示根据本发明的第二实施例，以在移动终端设备 210 和控制系统 100 之间执行认证处理顺序为例的附图；图。

38、4 为显示根据本发明的第二实施例，以在移动终端设备 210/ 计算机 220 和控制系统 100 之间执行认证处理顺序为例的附图；图 5 为显示根据本发明的第二实施例，以在移动终端设备 210 和个人用虚拟化云服务器 300 之间执行安全防护管理顺序为例的附图。 0066 如图2所示，本发明的第二实施例的云系统10的安全防护管理方法（S200）包括以下步骤：认证移动终端设备（S210）；激活虚拟化云服务器（S230）；允许连接计算机（S240）；赋予按级别设的用户权限（S250）；关闭虚拟化云服务器（S260）及检测日志信息（S270）。

39、。 0067 首先，在本发明的 S210 步骤中，利用指纹识别信息和面部识别信息，在控制系统 100 和移动终端设备 210 之间执行认证的过程。参照图 3 及图 4 对此过程进行说明。图 3 所示的移动终端设备210欲连接自己生成的虚拟化云服务器300，首先向控制系统100发出连接请求（S211）。此时，移动终端设备 210 仅为 IT 设备的一例。 0068 之后，控制系统100对移动终端设备210的连接请求进行响应，将用户认证确认信息经过无线网络而传输至移动终端设备 210 （S212）。接收用户认证确认信息的移动终端设备 210 将借助指纹及面部识别器识别的指。

40、纹识别信息和面部识别信息传输至控制系统 100 （S213）。 0069 之后，控制系统 100 检索指纹识别信息和面部识别信息是否属于认证数据库 110，说明书 CN 103842985 A 9 7/9 页 10 判断为具有一致的信息时，将以肯定的答复完成的认证发送至移动终端设备 210，但不一致时，将以不符的答复拒绝认证发送至移动终端设备 210（S214）。 0070 如上所述，利用指纹识别信息和面部识别信息或生物特征识别信息的认证处理具有如下优点：与根据普遍熟知的用户名称及密码的认证相比具有更高的安全防护性。 0071 相反，图 4 所示的计算机 220 。

41、连接控制系统 100 （S215）之后，接收第 1 用户认证确认信息（S216），并输入自己的移动终端设备号码而传输至控制系统（S217）。其它移动终端设备 210 和控制系统 100 的处理顺序（S218、 S219、 S220）与前文说明的（S212、 S213、 S214）顺序相同。此类利用自己的移动终端设备 210 的认证与图 3 情况相比具有更进一步强化安全防护的效果。 0072 下面，参照图 1 及图 5 对本发明的 S230 至 S260 步骤进行说明。 0073 如图所示，本发明的 S230 步骤中执行如下过程：完成 S210 步骤的认证之后。

42、，向移动终端设备 210 报告（S231）并终止控制系统 100 和移动终端设备 210 之间的通信，利用唤醒（wake-on）命令而激活个人用虚拟化云服务器 300。 0074 并且，个人用虚拟化云服务器300接收由控制系统100传输的唤醒命令时，将响应所述唤醒命令而中断与控制系统 100 的连接的信息发送至控制系统 100 （S232），从而，使终止个人用虚拟化云服务器 300 和控制系统 100 的通信。 0075 如上所述，控制系统 100/ 移动终端设备 210 和个人用虚拟化云服务器 300/ 控制系统 100 之间中断通信的原因是为了个人用虚拟化。

43、云服务器 300 和移动终端设备 210 之间进行直接通信，并且，更重要的是为了防止通过控制系统 100 进入的其他用户的侵入。通过此多个步骤，更加强化安全防护。 0076 之后，本发明的 S240 步骤中，被激活的个人用虚拟化云服务器 300 将允许连接信息发送至用户的计算机 220（S241）时，根据用户的计算机 220 的接受而完成允许连接。由此，用户的计算机 220 连接个人用虚拟化云服务器 300 并可使用云服务器 300 上的安全防护等级低的资料（S242）。此时，欲使用安全防护等级高的资料时，执行 S250 步骤。 0077 即，在本发明的 S。

44、250 步骤中，在允许用户的计算机 220 连接之后，欲使用个人用虚拟化云服务器 300 上的资料时，在个人用虚拟化云服务器 300 上执行根据资料的重要程度而按级别赋予使用权限的过程。例如，用户访问等级高的资料时（S242），个人用虚拟化云服务器 300 立刻将请输入生物特征识别信息的认证请求信息传输至用户的计算机 220 （S251）。访问安全防护等级低的资料时，继续维持现有的使用。 0078 由此，用户的计算机 220 与用户认证确认信息响应，识别自己的生物特征信息并将生物特征识别信息传输至个人用虚拟化云服务器 300 （S252），为正常用户时，接收。

45、到完成认证的肯定答复（S253）。由此，用户的计算机 220 可自由使用安全防护等级高的机密资料（S254）。如上所述生物特征识别信息具有非常利于强化安全防护的优点。 0079 并且，在本发明的 S260 步骤中，存在结束工作的用户的计算机 220 的用户的请求（S261）时或两人以上的用户连接（S262）时，执行将个人用虚拟化云服务器 300 自动关机（shut down）的过程。因此类虚拟化云服务器 300 的关机，而具有如下优点：防止外部的侵入者，而安全地保存资料。 0080 最后，在本发明的 S270 步骤中，在完成 S260 步骤之前，还。

46、执行对连接个人用虚拟化云服务器 300 的用户的日志信息进行记录并周期性地检测，并通过日志信息短信（S271）说明书 CN 103842985 A 10 8/9 页 11 将所述日志信息的结果以任意设定时间传输至用户的计算机220或移动终端设备210的过程。由此，用户可安全地维护自己生成的虚拟化云服务器 300。 0081 第三实施例 : 0082 对于网络银行服务，运用用户的电脑直接连接网络银行服务器而使用的一层式服务器系统，并非因黑客攻击而使安全防护严重毁损的水平，或将其架构为多层式服务器系统，且用户的电脑不是通过公众认证书和密码认证连接的方式， 0083 通过。

47、公众认证书和密码认证连接时的问题为用户的电脑成为僵尸电脑时，可通过用户的电脑攻击服务器，由此，不使用此方式， 0084 基本上为一种用户的电脑和银行的网络银行服务器不直接连接，中间设有各个用户的个人虚拟化账户服务器，并只通过此服务器而使得与网络银行服务器的信息进行交流的系统。 0085 因此，用户的电脑连接自己的个人虚拟化账户服务器时，与上述方式相同，平时个人虚拟化账户服务器理论上为关闭状态，并且，网线也处于断开状态，在将其唤醒并连接网线时，被打开，并必须通过连接于网线的控制服务器，进行唤醒服务器请求，在接收此请求的服务器上，为了认证为本人，执行将。

48、对本人认证的处理发送至本人的手机或智能手机的处理。 0086 此时，本人的智能手机认证在一般的较低级别的步骤中，也可使用将发送至本人的短信上的认证号码，再输入电脑上的方式，为了更高的认证，运用搭载有本人的指纹、面部或生物特征识别信息的智能手机，传输指纹、面部或生物特征识别信息，并且，传输与智能手机的电话号码相关的产品生成号码等，而提高其认证安全防护水平。 0087 控制服务器确认为本人的生物特征认证信息时，只有控制服务器在本人的个人虚拟化账户服务器弹出唤醒信息，才执行唤醒，并且打开个人虚拟化账户服务器时，连接网线， 0088 之后，为了阻止用户的电脑。

49、的僵尸电脑，个人虚拟化账户服务器再次对用户的电脑进行僵尸化处理。此时，形成防止试图连接用户的电脑的任意的入侵的防火墙，存在某个小的侵入信号时，其立刻切断用户台式电脑和个人虚拟化账户服务器的连接，并关闭个人虚拟化账户服务器。因此，完全封锁其侵入。 0089 用户本人的个人虚拟化账户服务器为开启状态，但还未与银行的网络银行系统连接。在个人虚拟化账户服务器上，请求银行的网络银行资料时，其请求的值仅使得通过执行银行网络银行服务器和个人虚拟化账户服务器之间内部网连接断开和对请求值的通信功能的中间服务器执行工作， 0090 银行的网络银行服务器并非直接连接个人虚拟化账户服务器，而通过中间服务器间接连接，并且中间服务器与银行的网络银行服务器连接时，断开与个人虚拟化账户服务器的连接，并且，试图与个人虚拟化账户服务器的连接时，先断开与银行的网络银行服务器的连接，而使执行反潜的中间隔壁作用。

展开阅读全文