CN103259689A - 一种对设备进行密码变更以及发生故障后密码恢复的方法 - Google Patents
一种对设备进行密码变更以及发生故障后密码恢复的方法 Download PDFInfo
- Publication number
- CN103259689A CN103259689A CN2013102276558A CN201310227655A CN103259689A CN 103259689 A CN103259689 A CN 103259689A CN 2013102276558 A CN2013102276558 A CN 2013102276558A CN 201310227655 A CN201310227655 A CN 201310227655A CN 103259689 A CN103259689 A CN 103259689A
- Authority
- CN
- China
- Prior art keywords
- password
- managed devices
- change
- plan
- ukey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种对设备进行密码变更以及发生故障后密码恢复的方法,属于运维审计技术领域,所涉及到的硬件包括运维审计平台、被管理设备,运维审计平台上安装有运维审计系统,通过运维审计系统对被管理设备进行运维操作,所述方法通过运维入口登录到被管理设备,通过密码变更组件对被管理设备进行密码变更,以及在出现崩溃情况下,恢复被管理设备的密码;运维入口:包括运维单点登录平台、直连运维工具;密码变更组件:包括密码变更调度系统、密码变更策略、密码计划、无源密码Ukey。本发明的一种对设备进行密码变更以及发生故障后密码恢复的方法,在IT密码变更过程中,运维审计平台发生崩溃故障时可快速恢复被管理设备密码。
Description
技术领域
本发明涉及一种运维审计技术领域,具体地说是一种对设备进行密码变更以及发生故障后密码恢复的方法。
背景技术
运维审计系统是一种基于应用层运维协议代理的内网安全审计产品,主要用于主机,网络设备,数据库,应用系统等集中运维领域。能够解决大规模运维审计中的集中管理,单点登录,操作留痕审计,密码自动变更问题。降低运维管理过程中对人的能力要求,提高运维过程中的安全可控性,解决运维过程中的业务发展挑战等问题。
密码变更是运维审计类产品中的一项核心功能,主要为解决在大规模运维审计情况下,代为人工定期修改被管理设备的密码的问题。随着运维管理的发展,数据泄密是运维管理过程中的一个需要重点关注的重大问题,数据泄密的原因最根本的出自于对IT设备的密码管理不善。为提高运维管理中的安全性,国家关于运维内控的法律法规对IT设备的密码变更管理提出了明确的要求,要求定期对被管理设备的密码进行修改,以提高运维管理过程中的安全管理水平,防止数据泄密,非法越权等各种运维安全管理问题。
密码变更代替人工定期对被管理linux,unix,windows,网络设备的密码自动做出变更指令。模拟人工修改被管理设备密码的过程,执行对被管理设备的密码变更操作。由于由程序自动对被管理设备的密码做出变更指令,因此可以解决人工变更账号口令效率低,安全度不高,容易泄密等问题。
密码变更中最核心的问题是如何保证密码变更的可靠性,如何保证在运维审计平台出现崩溃等极端情况下的快速恢复被管理设备的真实密码,恢复原有运维方式上,即密码变更崩溃恢复机制。
目前运维审计产品的密码自动变更中一般采用以下两种办法:
第一种办法:有密码变更计划。变更计划中包含变更时间,和变更时自动生成密码的密码策略。到指定时间点,运维审计产品自动对被管理设备进行密码变更。变更后的密码采用加密方式发送到密码管理员的邮箱中。密码管理员采用专门的软件工具进行密码解密,以满足运维审计平台崩溃时恢复到正常运维的状态的需求。这种情况下,存在一些安全问题。由于密码计划中只是设置了什么时间对目标设备执行强制密码变更,因此存在密码变更出现故障时无法保证密码邮件送达收件人,从而导致变更后的密码丢失的情况。另外由于解密使用软件工具,就存在一种可能性,软件被无限复制,造成密码解密工具扩散,危害密码安全。
第二种办法:有密码变更计划,但是采用纸质方式打印密码信封。同第一种情况一样,密码变更计划中只包含一个密码。到指定时间,运维审计系统立即按照事先的密码策略,执行对目标设备的密码变更。变更成功后,立即通知相关的密码管理员,执行密码变更后的打印保存工作,即纸质介质密码备份工作。在打印密码函时,必须经过更高级密码管理者的同意,当管理者同意以后,才允许对被管理设备账号的密码进行打印输出备份。这种密码变更保存,可以解决设备崩溃时运维持续性问题。但是仍然无法解决,在密码变更过程中失败,无法快速找回丢失的密码问题。另外,纸质密函打印过程中需要审批,打印完成后保存时存在密函查找耗时,耗费大量纸张问题。
发明内容
本发明的技术任务是提供一种对设备进行密码变更以及发生故障后密码恢复的方法。在IT密码变更过程中,运维审计平台发生崩溃等极端故障时快速恢复被管理设备密码,恢复原有运维方式。解决了如下问题:密码变更时保证变更失败快速找回正确密码;每次密码变更时保证相关责任人必须收到密码变更邮件;密码变更邮件确保包含所有可能的设备变更密码;密码解密过程中灵活,可控,既不能让流程过于复杂,又不能让流程过于死板;解密过程安全,既可以防止解密工具被无限复制可能,又能满足设备崩溃时快速恢复被管设备账号口令。
本发明的技术任务是按以下方式实现的,所涉及到的硬件包括运维审计平台、被管理设备,运维审计平台上安装有运维审计系统,被管理设备是运维审计系统的管理对象,通过运维审计系统对被管理设备进行运维操作;所述方法通过运维入口登录到被管理设备,通过密码变更组件对被管理设备进行密码变更,以及在出现崩溃情况下,恢复被管理设备的密码;
运维入口:包括运维单点登录平台、直连运维工具;可通过运维审计系统调用运维单点登录平台登录到被管理设备;或者直接通过直连运维工具登录到被管理设备;
密码变更组件:包括密码变更调度系统、密码变更策略、密码计划、无源密码Ukey;运维审计系统调用密码变更调度系统使用密码变更策略生成密码计划;无源密码Ukey可解密密码计划的加密密码。
所述方法流程为:
(1)、通过运维单点登录平台登录被管理设备,对被管理设备进行运维操作;
(2)、密码变更调度系统根据被管理设备的密码信息,使用密码变更策略生成密码计划;
(3)、密码计划生成,加密后发送到指定邮箱;
(4)、密码变更调度系统根据密码计划,对被管理设备进行密码变更;
(5)、密码变更过程中,若发生故障,放弃此次密码变更过程;
(6)、打开步骤(2)中指定邮箱内的加密后的密码计划,通过无源密码Ukey解密,获取明文密码;
(7)、通过直连运维工具输入明文密码连接到被管理设备上。
通过运维入口登录到被管理设备,通过密码变更组件对被管理设备进行密码变更,以及在出现崩溃情况下,快速恢复被管理设备的密码;
流程为:
(1)、通过运维单点登录平台自动登录被管理设备,对被管理设备进行运维操作;
(2)、密码变更调度系统根据运维审计系统中存储的被管理设备的密码信息,使用密码变更策略生成密码计划,被管理设备的密码信息包括被管理设备的密码变更后的新密码、被管理设备的现有密码;
(3)、密码计划生成以后,将密码计划的密码加密后发送到指定邮箱,通过指定邮箱返回给密码变更调度系统加密密码的收到回执,同时密码变更调度系统会自动进行收信确认;即密码变更调度系统收到来自上述指定邮箱的收到回执,则确定密码计划的密码已经以另一种介质存储到另一台设备上;
(4)、密码变更调度系统根据事先定制的密码变更策略执行密码计划,即对被管理设备进行密码变更;
(5)、密码变更过程包括密码计划生成,密码计划发送,密码计划执行;
(6)、密码变更过程中,若运维审计平台发生故障,立即放弃此次密码变更过程;
(7)、可以通过登录密码变更调度系统,查看每次的密码变更是否执行成功;
(8)、发现密码变更未执行成功,打开步骤(2)中指定邮箱内的密码计划的加密密码,通过无源密码Ukey解密密码获取明文密码;
(9)、通过直连运维工具输入明文密码连接到被管理设备上。
运维入口包括运维单点登录平台、直连运维工具;
运维单点登录平台:运维人员通过运维审计系统调用运维单点登录平台登录到被管理设备、对被管理设备进行运维操作;使用运维单点登录平台时,由运维审计系统自动获取运维审计系统中事先存储的被管理设备的密码,被管理设备的密码为账号与口令,运维审计系统完成被管理设备的密码的输入工作,自动登录到被管理设备上;
直连运维工具:当运维审计平台发生故障时,首先查阅密码变更调度系统发送到指定邮箱中的密码计划的加密密码,然后使用无源密码Ukey解密密码计划的加密密码获取明文密码;获取明文密码以后,越过运维单点登陆平台,使用直连运维工具通过手动输入明文密码,登录到被管理设备上,避免了因运维审计平台发生故障而导致的运维中断。
密码变更组件:包括密码变更调度系统、密码变更策略、密码计划、无源密码Ukey;
密码变更策略包括密码复杂度规则,密码变更周期策略,密码计划生成时间策略,密码计划执行时间策略,密函管理方式;
密码计划则包含被管理设备信息,被管理设备当前使用密码,被管理设备变更后的新密码,变更批次,计划生成时间,计划执行时间;
无源密码Ukey为一个USB Key,是一个无源硬件设备。
打开指定邮箱内的密码计划的加密密码,通过无源密码Ukey解密密码获取明文密码;指定邮箱为密码管理员的邮箱,无源密码Ukey中存储有密码解密程序,另外还存储有密码管理员的注册信息,所述注册信息包含密码管理员的账号、密码管理员的口令;
无源密码Ukey解密密码获取明文密码的步骤流程为:
(1)、使用无源密码Ukey时,首先输入账号与口令;
(2)、无源密码Ukey对上述输入的账号与口令与无源密码Ukey中存储的密码管理员的账号、密码管理员的口令进行对比、认证;
(3)、账号与口令对比不一致,即认证失败,不可以使用无源密码Ukey解密密码;
(4)、账号与口令对比一致,即认证成功,可以使用无源密码Ukey解密定邮箱内的密码计划的加密密码;
(5)、选择要解密的密码,使用无源密码Ukey的密码解密程序进行解密,即可完成解密工作,获得明文密码。
无源密码Ukey有抗强制性写入和复制功能,有效提高无源密码Ukey解密的安全性;当无源密码Ukey丢失以后,可以另行发放新的无源密码Ukey进行解密。
密码变更组件,通过使用运维协议连接到被管理设备上,密码变更组件模拟人工过程对被管理设备进行密码变更操作,运维协议包括telnet运维协议、ssh运维协议、rdp运维协议。
被管理设备,是运维审计系统的管理对象,包括主机设备、网络设备、安全设备。
本发明的一种对设备进行密码变更以及发生故障后密码恢复的方法,包括几个关键的过程。
第一个关键过程是确保每一次真实的密码变更过程能够得到保存,不允许任何的一次密码变更过程丢失。在这一点上,在本发明中,通过指定邮件的自动回复收条进行确认。如果收到收条,当认为执行密码变更的首要要素已经具备。
第二个关键过程是确保每次密码变更计划有限可知。这个环节通过在密码计划中放置两次密码完成。第一个密码是被管理设备当前使用的密码,第二个密码是管理设备将要变更后的密码。这两段密码都是以加密方式存储,防止不法用户获取口令后进行非法操作。
第三个关键过程是运维审计平台崩溃一旦发生时的恢复过程。当崩溃发生时,密码管理员可以立即使用无源密码Ukey,在无源密码Ukey中输入账号和口令,完成密码解密程序的启动,密码解密程序启动以后,打开指定邮箱中存储的加密密码进行解密,解密后的明文密码即可以立即使用。
本发明的一种对设备进行密码变更以及发生故障后密码恢复的方法具有以下优点:
1、确保密码变更结果不丢失,能够送达密码管理员。由于密码计划及计划收条功能,能够保证每次密码变更结果发送给指定邮箱,即密码管理员的邮箱。当发生故障时,能够确保每次密码变更内容完整。在完整内容基础上,进行密码恢复能够确保密码恢复有效。
2、恢复密码时,能够快速确定正确密码。密码计划中包含两个密码,一个是变更前密码,一个是变更后密码。当运维审计平台发生崩溃等极端情况时,可以通过最多2次尝试确定正确密码,减少了密码恢复时间,明确了恢复密码的关键节点。
3、使用无源密码Ukey作为密码解密的关键要素,提高了系统安全性。使用无源密码Ukey方式进行密码的解密,能够保证用双因素方式获取口令。无源密码Ukey是无源硬件设备,不用担心因为电源等其他电子因素导致损坏。同时无源密码Ukey使用时会进行二次口令认证,提高了密码获知门槛,保证了解密过程中的安全性。
4、无源密码Ukey作为密码打印过程中的审批元素,提高了密码管理过程中的灵活性。在把密码计划用密函方式打印输出时,系统会把无源密码Ukey作为打印是否可以进行的审批要素。由于无源密码Ukey是硬件,可以根据实际的作业流程进行灵活配置,因此提高了审批过程中的灵活度。
附图说明
下面结合附图对本发明进一步说明。
附图1为一种对设备进行密码变更以及发生故障后密码恢复的方法的结构框图;
附图2为一种对设备进行密码变更以及发生故障后密码恢复的方法的流程图。
具体实施方式
参照说明书附图和具体实施例对本发明的一种对设备进行密码变更以及发生故障后密码恢复的方法作以下详细地说明。
实施例1:
本发明的一种对设备进行密码变更以及发生故障后密码恢复的方法, 所涉及到的硬件包括运维审计平台、被管理设备,运维审计平台上安装有运维审计系统,被管理设备是运维审计系统的管理对象,通过运维审计系统对被管理设备进行运维操作;所述方法通过运维入口登录到被管理设备,通过密码变更组件对被管理设备进行密码变更,以及在出现崩溃情况下,恢复被管理设备的密码;
运维入口:包括运维单点登录平台、直连运维工具;可通过运维审计系统调用运维单点登录平台登录到被管理设备;或者直接通过直连运维工具登录到被管理设备;
密码变更组件:包括密码变更调度系统、密码变更策略、密码计划、无源密码Ukey;运维审计系统调用密码变更调度系统使用密码变更策略生成密码计划;无源密码Ukey可解密密码计划的加密密码。
所述方法流程为:
(1)、通过运维单点登录平台登录被管理设备,对被管理设备进行运维操作;
(2)、密码变更调度系统根据被管理设备的密码信息,使用密码变更策略生成密码计划;
(3)、密码计划生成,加密后发送到指定邮箱;
(4)、密码变更调度系统根据密码计划,对被管理设备进行密码变更;
(5)、密码变更过程中,若发生故障,放弃此次密码变更过程;
(6)、打开步骤(2)中指定邮箱内的加密后的密码计划,通过无源密码Ukey解密,获取明文密码;
(7)、通过直连运维工具输入明文密码连接到被管理设备上。
运维入口包括运维单点登录平台、直连运维工具;
运维单点登录平台:运维人员通过运维审计系统调用运维单点登录平台登录到被管理设备、对被管理设备进行运维操作;使用运维单点登录平台时,由运维审计系统自动获取运维审计系统中事先存储的被管理设备的密码,被管理设备的密码为账号与口令,运维审计系统完成被管理设备的密码的输入工作,自动登录到被管理设备上;
直连运维工具:当运维审计平台发生故障时,首先查阅密码变更调度系统发送到指定邮箱中的密码计划的加密密码,然后使用无源密码Ukey解密密码计划的加密密码获取明文密码;获取明文密码以后,越过运维单点登陆平台,使用直连运维工具通过手动输入明文密码,登录到被管理设备上,避免了因运维审计平台发生故障而导致的运维中断。
密码变更组件:包括密码变更调度系统、密码变更策略、密码计划、无源密码Ukey;
密码变更策略包括密码复杂度规则,密码变更周期策略,密码计划生成时间策略,密码计划执行时间策略,密函管理方式;
密码计划则包含被管理设备信息,被管理设备当前使用密码,被管理设备变更后的新密码,变更批次,计划生成时间,计划执行时间;
无源密码Ukey为一个USB Key,是一个无源硬件设备。
打开指定邮箱内的密码计划的加密密码,通过无源密码Ukey解密密码获取明文密码;指定邮箱为密码管理员的邮箱,无源密码Ukey中存储有密码解密程序,另外还存储有密码管理员的注册信息,所述注册信息包含密码管理员的账号、密码管理员的口令;
无源密码Ukey解密密码获取明文密码的步骤流程为:
(1)、使用无源密码Ukey时,首先输入账号与口令;
(2)、无源密码Ukey对上述输入的账号与口令与无源密码Ukey中存储的密码管理员的账号、密码管理员的口令进行对比、认证;
(3)、账号与口令对比不一致,即认证失败,不可以使用无源密码Ukey解密密码;
(4)、账号与口令对比一致,即认证成功,可以使用无源密码Ukey解密定邮箱内的密码计划的加密密码;
(5)、选择要解密的密码,使用无源密码Ukey的密码解密程序进行解密,即可完成解密工作,获得明文密码。
无源密码Ukey有抗强制性写入和复制功能,有效提高无源密码Ukey解密的安全性;当无源密码Ukey丢失以后,可以另行发放新的无源密码Ukey进行解密。
密码变更组件,通过使用运维协议连接到被管理设备上,密码变更组件模拟人工过程对被管理设备进行密码变更操作,运维协议包括telnet运维协议、ssh运维协议、rdp运维协议。
被管理设备,是运维审计系统的管理对象,包括主机设备、网络设备、安全设备。
实施例2:
本发明的一种对设备进行密码变更以及发生故障后密码恢复的方法, 所涉及到的硬件包括运维审计平台、被管理设备,运维审计平台上安装有运维审计系统,被管理设备是运维审计系统的管理对象,通过运维审计系统对被管理设备进行运维操作;所述方法通过运维入口登录到被管理设备,通过密码变更组件对被管理设备进行密码变更,以及在出现崩溃情况下,恢复被管理设备的密码;
运维入口:包括运维单点登录平台、直连运维工具;可通过运维审计系统调用运维单点登录平台登录到被管理设备;或者直接通过直连运维工具登录到被管理设备;
密码变更组件:包括密码变更调度系统、密码变更策略、密码计划、无源密码Ukey;运维审计系统调用密码变更调度系统使用密码变更策略生成密码计划;无源密码Ukey可解密密码计划的加密密码。
通过运维入口登录到被管理设备,通过密码变更组件对被管理设备进行密码变更,以及在出现崩溃情况下,快速恢复被管理设备的密码;
流程为:
(1)、通过运维单点登录平台自动登录被管理设备,对被管理设备进行运维操作;
(2)、密码变更调度系统根据运维审计系统中存储的被管理设备的密码信息,使用密码变更策略生成密码计划,被管理设备的密码信息包括被管理设备的密码变更后的新密码、被管理设备的现有密码;
(3)、密码计划生成以后,将密码计划的密码加密后发送到指定邮箱,通过指定邮箱返回给密码变更调度系统加密密码的收到回执,同时密码变更调度系统会自动进行收信确认;即密码变更调度系统收到来自上述指定邮箱的收到回执,则确定密码计划的密码已经以另一种介质存储到另一台设备上;
(4)、密码变更调度系统根据事先定制的密码变更策略执行密码计划,即对被管理设备进行密码变更;
(5)、密码变更过程包括密码计划生成,密码计划发送,密码计划执行;
(6)、密码变更过程中,若运维审计平台发生故障,立即放弃此次密码变更过程;
(7)、可以通过登录密码变更调度系统,查看每次的密码变更是否执行成功;
(8)、发现密码变更未执行成功,打开步骤(2)中指定邮箱内的密码计划的加密密码,通过无源密码Ukey解密密码获取明文密码;
(9)、通过直连运维工具输入明文密码连接到被管理设备上。
运维入口包括运维单点登录平台、直连运维工具;
运维单点登录平台:运维人员通过运维审计系统调用运维单点登录平台登录到被管理设备、对被管理设备进行运维操作;使用运维单点登录平台时,由运维审计系统自动获取运维审计系统中事先存储的被管理设备的密码,被管理设备的密码为账号与口令,运维审计系统完成被管理设备的密码的输入工作,自动登录到被管理设备上;
直连运维工具:当运维审计平台发生故障时,首先查阅密码变更调度系统发送到指定邮箱中的密码计划的加密密码,然后使用无源密码Ukey解密密码计划的加密密码获取明文密码;获取明文密码以后,越过运维单点登陆平台,使用直连运维工具通过手动输入明文密码,登录到被管理设备上,避免了因运维审计平台发生故障而导致的运维中断。
密码变更组件:包括密码变更调度系统、密码变更策略、密码计划、无源密码Ukey;
密码变更策略包括密码复杂度规则,密码变更周期策略,密码计划生成时间策略,密码计划执行时间策略,密函管理方式;
密码计划则包含被管理设备信息,被管理设备当前使用密码,被管理设备变更后的新密码,变更批次,计划生成时间,计划执行时间;
无源密码Ukey为一个USB Key,是一个无源硬件设备。
打开指定邮箱内的密码计划的加密密码,通过无源密码Ukey解密密码获取明文密码;指定邮箱为密码管理员的邮箱,无源密码Ukey中存储有密码解密程序,另外还存储有密码管理员的注册信息,所述注册信息包含密码管理员的账号、密码管理员的口令;
无源密码Ukey解密密码获取明文密码的步骤流程为:
(1)、使用无源密码Ukey时,首先输入账号与口令;
(2)、无源密码Ukey对上述输入的账号与口令与无源密码Ukey中存储的密码管理员的账号、密码管理员的口令进行对比、认证;
(3)、账号与口令对比不一致,即认证失败,不可以使用无源密码Ukey解密密码;
(4)、账号与口令对比一致,即认证成功,可以使用无源密码Ukey解密定邮箱内的密码计划的加密密码;
(5)、选择要解密的密码,使用无源密码Ukey的密码解密程序进行解密,即可完成解密工作,获得明文密码。
无源密码Ukey有抗强制性写入和复制功能,有效提高无源密码Ukey解密的安全性;当无源密码Ukey丢失以后,可以另行发放新的无源密码Ukey进行解密。
密码变更组件,通过使用运维协议连接到被管理设备上,密码变更组件模拟人工过程对被管理设备进行密码变更操作,运维协议包括telnet运维协议、ssh运维协议、rdp运维协议。
被管理设备,是运维审计系统的管理对象,包括主机设备、网络设备、安全设备。
任何符合本发明的一种对设备进行密码变更以及发生故障后密码恢复的方法,权利要求书内的内容,且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (8)
1.一种对设备进行密码变更以及发生故障后密码恢复的方法,所涉及到的硬件包括运维审计平台、被管理设备,运维审计平台上安装有运维审计系统,被管理设备是运维审计系统的管理对象,通过运维审计系统对被管理设备进行运维操作,其特征在于所述方法通过运维入口登录到被管理设备,通过密码变更组件对被管理设备进行密码变更,以及在出现崩溃情况下,恢复被管理设备的密码;
运维入口:包括运维单点登录平台、直连运维工具;可通过运维审计系统调用运维单点登录平台登录到被管理设备;或者直接通过直连运维工具登录到被管理设备;
密码变更组件:包括密码变更调度系统、密码变更策略、密码计划、无源密码Ukey;运维审计系统调用密码变更调度系统使用密码变更策略生成密码计划;无源密码Ukey可解密密码计划的加密密码。
2.根据权利要求1所述的一种对设备进行密码变更以及发生故障后密码恢复的方法,其特征在于方法流程为:
(1)、通过运维单点登录平台登录被管理设备,对被管理设备进行运维操作;
(2)、密码变更调度系统根据被管理设备的密码信息,使用密码变更策略生成密码计划;
(3)、密码计划生成,加密后发送到指定邮箱;
(4)、密码变更调度系统根据密码计划,对被管理设备进行密码变更;
(5)、密码变更过程中,若发生故障,放弃此次密码变更过程;
(6)、打开步骤(2)中指定邮箱内的加密后的密码计划,通过无源密码Ukey解密,获取明文密码;
(7)、通过直连运维工具输入明文密码连接到被管理设备上。
3.根据权利要求1所述的一种对设备进行密码变更以及发生故障后密码恢复的方法,其特征在于通过运维入口登录到被管理设备,通过密码变更组件对被管理设备进行密码变更,运维审计平台出现崩溃情况下,通过密码变更组件恢复被管理设备的密码;
方法流程为:
(1)、通过运维单点登录平台自动登录被管理设备,对被管理设备进行运维操作;
(2)、密码变更调度系统根据运维审计系统中存储的被管理设备的密码信息,使用密码变更策略生成密码计划,被管理设备的密码信息包括被管理设备的密码变更后的新密码、被管理设备的现有密码;
(3)、密码计划生成以后,将密码计划的密码加密后发送到指定邮箱,通过指定邮箱返回给密码变更调度系统加密密码的收到回执,同时密码变更调度系统会自动进行收信确认;即密码变更调度系统收到来自上述指定邮箱的收到回执,则确定密码计划的密码已经以另一种介质存储到另一台设备上;
(4)、密码变更调度系统根据事先定制的密码变更策略执行密码计划,即对被管理设备进行密码变更;
(5)、密码变更过程包括密码计划生成,密码计划发送,密码计划执行;
(6)、密码变更过程中,若运维审计平台发生故障,立即放弃此次密码变更过程;
(7)、可以通过登录密码变更调度系统,查看每次的密码变更是否执行成功;
(8)、发现密码变更未执行成功,打开步骤(2)中指定邮箱内的密码计划的加密密码,通过无源密码Ukey解密密码获取明文密码;
(9)、通过直连运维工具输入明文密码连接到被管理设备上。
4.根据权利要求1、2或3所述的一种对设备进行密码变更以及发生故障后密码恢复的方法,其特征在于运维入口包括运维单点登录平台、直连运维工具;
运维单点登录平台:运维人员通过运维审计系统调用运维单点登录平台登录到被管理设备、对被管理设备进行运维操作;使用运维单点登录平台时,由运维审计系统自动获取运维审计系统中事先存储的被管理设备的密码,被管理设备的密码为账号与口令,运维审计系统完成被管理设备的密码的输入工作,自动登录到被管理设备上;
直连运维工具:当运维审计平台发生故障崩溃时,首先查阅密码变更调度系统发送到指定邮箱中的密码计划的加密密码,然后使用无源密码Ukey解密密码计划的加密密码获取明文密码;获取明文密码以后,使用直连运维工具通过手动输入明文密码,登录到被管理设备上。
5.根据权利要求1、2或3所述的一种对设备进行密码变更以及发生故障后密码恢复的方法,其特征在于密码变更组件:包括密码变更调度系统、密码变更策略、密码计划、无源密码Ukey;
密码变更策略包括密码复杂度规则,密码变更周期策略,密码计划生成时间策略,密码计划执行时间策略,密函管理方式;
密码计划则包含被管理设备信息,被管理设备当前使用密码,被管理设备变更后的新密码,变更批次,计划生成时间,计划执行时间;
无源密码Ukey为一个USB Key,是无源硬件设备。
6.根据权利要求1、2或3所述的一种对设备进行密码变更以及发生故障后密码恢复的方法,其特征在于打开指定邮箱内的密码计划的加密密码,通过无源密码Ukey解密密码获取明文密码;指定邮箱为密码管理员的邮箱,无源密码Ukey中存储有密码解密程序,另外还存储有密码管理员的注册信息,所述注册信息包含密码管理员的账号、密码管理员的口令;
无源密码Ukey解密密码获取明文密码的步骤流程为:
(1)、使用无源密码Ukey时,首先输入账号与口令;
(2)、无源密码Ukey对上述输入的账号与口令与无源密码Ukey中存储的密码管理员的账号、密码管理员的口令进行对比、认证;
(3)、账号与口令对比不一致,即认证失败,不可以使用无源密码Ukey解密密码;
(4)、账号与口令对比一致,即认证成功,可以使用无源密码Ukey解密定邮箱内的密码计划的加密密码;
(5)、选择要解密的密码,使用无源密码Ukey的密码解密程序进行解密,即可完成解密工作,获得明文密码。
7.根据权利要求1所述的一种对设备进行密码变更以及发生故障后密码恢复的方法,其特征在于密码变更组件,通过使用运维协议连接到被管理设备上,密码变更组件模拟人工过程对被管理设备进行密码变更操作,运维协议包括telnet运维协议、ssh运维协议、rdp运维协议。
8.根据权利要求1所述的一种对设备进行密码变更以及发生故障后密码恢复的方法,其特征在于被管理设备,是运维审计系统的管理对象,包括主机设备、网络设备、安全设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310227655.8A CN103259689B (zh) | 2013-06-08 | 2013-06-08 | 一种对设备进行密码变更以及发生故障后密码恢复的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310227655.8A CN103259689B (zh) | 2013-06-08 | 2013-06-08 | 一种对设备进行密码变更以及发生故障后密码恢复的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103259689A true CN103259689A (zh) | 2013-08-21 |
| CN103259689B CN103259689B (zh) | 2016-03-16 |
Family
ID=48963406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310227655.8A Active CN103259689B (zh) | 2013-06-08 | 2013-06-08 | 一种对设备进行密码变更以及发生故障后密码恢复的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103259689B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973681A (zh) * | 2014-04-29 | 2014-08-06 | 上海上讯信息技术股份有限公司 | 用于运维管理审计系统的二层密码代填方法及模块 |
| CN105700988A (zh) * | 2016-01-08 | 2016-06-22 | 上海北塔软件股份有限公司 | 一种服务器密码自匹配的运维管理监控方法 |
| US9501636B1 (en) | 2015-06-04 | 2016-11-22 | International Business Machines Corporation | Automatically altering and encrypting passwords in systems |
| CN107423638A (zh) * | 2017-08-02 | 2017-12-01 | 成都安恒信息技术有限公司 | 一种基于命令探测式修改密码的密码管理系统及使用方法 |
| CN110602126A (zh) * | 2019-09-23 | 2019-12-20 | 广州海颐信息安全技术有限公司 | 特权账号群组同步改密的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050228994A1 (en) * | 2004-04-13 | 2005-10-13 | Hitachi, Ltd. | Method for encryption backup and method for decryption restoration |
| CN1802637A (zh) * | 2003-04-10 | 2006-07-12 | 松下电器产业株式会社 | 密码变更系统 |
| CN101753313A (zh) * | 2008-12-11 | 2010-06-23 | 中国移动通信集团安徽有限公司 | 密码管理方法、系统及密码管理服务器 |
| CN102891749A (zh) * | 2012-09-25 | 2013-01-23 | 东莞宇龙通信科技有限公司 | 数据加密的方法及其通信终端 |
| CN103116720A (zh) * | 2011-11-16 | 2013-05-22 | 航天信息股份有限公司 | 一种USB Key装置及其帐户管理和验证使用方法 |
-
2013
- 2013-06-08 CN CN201310227655.8A patent/CN103259689B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1802637A (zh) * | 2003-04-10 | 2006-07-12 | 松下电器产业株式会社 | 密码变更系统 |
| US20050228994A1 (en) * | 2004-04-13 | 2005-10-13 | Hitachi, Ltd. | Method for encryption backup and method for decryption restoration |
| CN101753313A (zh) * | 2008-12-11 | 2010-06-23 | 中国移动通信集团安徽有限公司 | 密码管理方法、系统及密码管理服务器 |
| CN103116720A (zh) * | 2011-11-16 | 2013-05-22 | 航天信息股份有限公司 | 一种USB Key装置及其帐户管理和验证使用方法 |
| CN102891749A (zh) * | 2012-09-25 | 2013-01-23 | 东莞宇龙通信科技有限公司 | 数据加密的方法及其通信终端 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973681A (zh) * | 2014-04-29 | 2014-08-06 | 上海上讯信息技术股份有限公司 | 用于运维管理审计系统的二层密码代填方法及模块 |
| CN103973681B (zh) * | 2014-04-29 | 2018-12-28 | 上海上讯信息技术股份有限公司 | 用于运维管理审计系统的二层密码代填方法及系统 |
| US9501636B1 (en) | 2015-06-04 | 2016-11-22 | International Business Machines Corporation | Automatically altering and encrypting passwords in systems |
| US9692750B2 (en) | 2015-06-04 | 2017-06-27 | International Business Machines Corporation | Automatically altering and encrypting passwords in systems |
| US10025921B2 (en) | 2015-06-04 | 2018-07-17 | International Business Machines Corporation | Automatically altering and encrypting passwords in systems |
| US10042998B2 (en) | 2015-06-04 | 2018-08-07 | International Business Machines Corporation | Automatically altering and encrypting passwords in systems |
| CN105700988A (zh) * | 2016-01-08 | 2016-06-22 | 上海北塔软件股份有限公司 | 一种服务器密码自匹配的运维管理监控方法 |
| CN107423638A (zh) * | 2017-08-02 | 2017-12-01 | 成都安恒信息技术有限公司 | 一种基于命令探测式修改密码的密码管理系统及使用方法 |
| CN110602126A (zh) * | 2019-09-23 | 2019-12-20 | 广州海颐信息安全技术有限公司 | 特权账号群组同步改密的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103259689B (zh) | 2016-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103546547B (zh) | 一种云存储文件加密系统 | |
| CN108206831A (zh) | 电子印章的实现方法和服务器、客户端及可读存储介质 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN107871081A (zh) | 一种计算机信息安全系统 | |
| CN106533693B (zh) | 轨道车辆监控检修系统的接入方法和装置 | |
| CN103259689B (zh) | 一种对设备进行密码变更以及发生故障后密码恢复的方法 | |
| CN106060073B (zh) | 信道密钥协商方法 | |
| CN106982208A (zh) | 一种无人机数据传输保护的方法 | |
| CN111435390A (zh) | 一种配电终端运维工具安全防护方法 | |
| CN106973035A (zh) | 一种文档外发控制系统 | |
| CN105656626A (zh) | 逆向重组加密方法 | |
| CN107426223A (zh) | 云文档加密及解密方法、加密及解密装置、以及处理系统 | |
| CN111107095B (zh) | 一种基于混合加密的大众密码管理系统 | |
| CN106911744A (zh) | 一种镜像文件的管理方法和管理装置 | |
| CN108377244A (zh) | 一种内网统一认证方法 | |
| CN101118639A (zh) | 安全电子人口普查系统 | |
| CN107370733A (zh) | 一种基于Rijndael和ECC混合加密的智能锁管理方法 | |
| CN111435389A (zh) | 一种配电终端运维工具安全防护系统 | |
| CN103532979A (zh) | CGI web界面下的多会话验证码的产生及验证方法 | |
| CN108769004A (zh) | 一种工业互联网智能设备远程操作安全验证方法 | |
| CN101159733B (zh) | 电子突发事件管理系统 | |
| CN113676446B (zh) | 通信网络安全防误控制方法、系统、电子设备及介质 | |
| CN101826964A (zh) | 支持协同工作的外发文件安全管理系统 | |
| CN115150193A (zh) | 一种数据传输中敏感信息加密方法、系统和可读存储介质 | |
| CN114329395A (zh) | 一种基于区块链的供应链金融隐私保护方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221014 Address after: 214206 No. 10, Fubin South Road, Yicheng street, Yixing City, Wuxi City, Jiangsu Province Patentee after: Jiangsu Ruining Xinchuang Technology Co.,Ltd. Address before: Room 3202D, Building 2, Shuntai Plaza, No. 2000, Shunhua Road, High-tech Zone, Jinan City, Shandong Province, 250101 Patentee before: SHANDONG RUINING INFORMATION TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |