CN110069916A - 一种密码安全管理系统和方法 - Google Patents

Abstract

本发明提供了一种密码安全管理系统和方法，所述系统包括：访问接口模块、密码存储模块和加密模块；密码存储模块包括第一密码文件和第二密码文件，第一密码文件用于存放普通账户的密码，第二密码文件用于存放管理员账户的密码；访问接口模块用于接收应用程序的访问请求指令，并根据所述访问请求指令接入访问第一密码文件或第二密码文件；加密模块用于对第一密码文件中的普通账户的密码和第二密码文件中的管理员账户的密码进行加密处理。本发明通过将管理员账户的密码存储到更安全的第二密码文件中，以此来提高管理员账户的密码存储的安全性，并通过采用国产密码算法SM3，进一步提高对密码加密的安全性及自主可控性。

Description

一种密码安全管理系统和方法

技术领域

本发明涉及计算机技术领域，具体的说，涉及了一种密码安全管理系统和方法。

背景技术

目前，几乎所有的Linux发行版本的账户密码存储技术都使用shadow技术，即账户信息保存到/etc/passwd文件，而账户的密码被加密后存储到/etc/shadow文件中，密码的加密算法使用MD5、SHA256以及SHA512等国际密码算法。以上方案存在两个问题，首先，密码存储在/etc/shadow文件中这种做法几乎所有的Linux使用者和开发者都知晓，即使/etc/shadow文件受强制访问控制保护，但还是存在不法分子通过某种手段绕过强制访问控制，访问到/etc/shadow文件，窃取管理员账户的密码的密文，一旦管理员密码密文被泄露，黑客可以通过暴力破解或字典攻击破解管理员账户密码的明文，黑客得到管理员账户的密码明文后就可以干任何想干的事情了；其次，密码加密算法是使用的国际加密算法，在技术上和安全性上不可控。

为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

发明内容

鉴于上述内容，有必要提供一种密码安全管理系统和方法，其能够提高管理员账户的密码存储的安全性，且所采用的加密算法完全自主可控。

本发明第一方面提出一种密码安全管理系统，包括：访问接口模块、密码存储模块和加密模块；

密码存储模块，其包括第一密码文件和第二密码文件，所述第一密码文件用于存放普通账户的密码，所述第二密码文件用于存放管理员账户的密码；

所述访问接口模块，用于接收应用程序的访问请求指令，并根据所述访问请求指令接入访问所述第一密码文件或所述第二密码文件；

加密模块，用于对所述第一密码文件中的普通账户的密码和所述第二密码文件中的管理员账户的密码进行加密处理。

进一步的，所述访问接口模块包括：

PAM模块，用于对接收到的账户密码有效性及正确性进行检查；

Glibc库，用于接收所述PAM模块的调用，以提供直接访问第一密码文件或第二密码文件的I/O操作接口；

libshadow.a静态库，用于提供直接访问第一密码文件或第二密码文件的I/O操作接口。

进一步的，所述PAM模块包括：

pam_unix.so模块，用于对普通账户的密码进行验证或修改；

pam_admunix.so模块，用于对管理员账户的密码进行验证或修改；

pam_admok.so模块，用于判断用户的类别，并根据判断结果接入所述pam_unix.so模块或所述pam_admunix.so模块；

pam_skip.so模块，根据用户的类别，跳过所述pam_unix.so模块或所述pam_admunix.so模块的执行语句。

进一步的，所述libshadow.a静态库包括：

pwio.c文件，接收应用程序的访问请求指令，并根据所述访问请求指令接入访问账户文件；

shadowio.c文件，用于接入访问第一密码文件；

sdadmio.c文件，用于接入访问第二密码文件；

commonshadow_api.c文件，用于判断用户的类别，并根据判断结果接入所述shadowio.c文件或所述sdadmio.c文件。

优选的，所述加密模块采用MD5、blowfish、sha256、sha512、SM3的一种或几种加密算法。

本发明第二方面还提出一种密码安全管理方法，包括：

接收应用程序的访问请求指令；

根据所述访问请求指令，选择对应的访问接口模块；

所述访问接口模块判断用户的类别；

当用户为普通账户时，所述访问接口模块接入访问第一密码文件，当用户为管理员账户时，所述访问接口模块接入访问第二密码文件。

进一步的，所述密码安全管理方法还包括：

接收passwd或login应用程序的访问请求指令；

pam_admok.so模块根据所述访问请求指令判断用户的类别；

当用户为普通账户时，所述pam_admok.so模块接入pam_unix.so模块，并通过所述pam_unix.so模块对普通账户的密码进行验证或修改，当用户为管理员账户时，所述pam_admok.so模块接入pam_admunix.so模块，并通过所述pam_admunix.so模块对管理员账户的密码进行验证或修改。

进一步的，所述密码安全管理方法还包括：

接收passwd应用程序修改密码指令，

通过PAM模块对修改的密码的合法性进行检查；

在确定修改的密码合法后，所述PAM模块调用Glibc的crypt的接口，以对修改后的密码进行加密，且加密算法采用SM3算法；

待加密完成后，将密文返回给所述PAM模块，并根据用户的类别将密文写入到第一密码文件或第二密码文件中。

进一步的，所述密码安全管理方法还包括：

接收chage或chpasswd应用程序的访问请求指令；

commonshadow_api.c文件根据所述访问请求指令判断用户的类别；

当用户为普通账户时，所述commonshadow_api.c文件接入shadowio.c文件，并通过所述shadowio.c文件对普通账户的密码进行修改，当用户为管理员账户时，所述commonshadow_api.c文件接入sdadmio.c文件，并通过所述sdadmio.c文件对管理员账户的密码进行修改。

进一步的，所述密码安全管理方法还包括：

接收应用程序的访问请求指令；

Glibc库中的is_adm_user接口根据所述访问请求指令判断用户的类别；

当用户为普通账户时，通过getspnam_r和getspent接口访问第一密码文件，当用户为管理员账户时，通过getspadmnam和getspadment接口访问第二密码文件。

本发明通过将管理员账户的密码密文存储到更安全的文件中来提高管理员账户的密码存储的安全性，并通过使用国产密码算法来加密密码的方式来提高整个系统的密码加密的安全性及自主可控性。首先，将管理员账户的密码从/etc/shadow文件中移除，并保存到其他位置的某个文件中，该文件可以是某个隐藏文件（Linux中以点“.”开头的文件是隐藏文件），并且该文件同样受强制访问控制保护，这样就降低了管理员账户密码泄露的风险；其次，密码的加密算法使用完全自主可控、安全性更高、性能更好的SM3国产加密算法。

本发明的附加方面和优点将在下面的描述部分中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1示出本发明一种密码安全管理系统的框图；

图2示出本发明一种Linux系统账户密码存储和访问框架图；

图3示出本发明一种Linux系统账户认证流程图；

图4示出本发明一种Linux系统的libshadow.a框架图；

图5示出本发明一种Linux系统密码加密框架图；

图6示出本发明一种密码安全管理方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，当一个组件被认为是“连接”另一个组件，它可以是直接连接到另一个组件或者可能同时存在居中组件。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

图1示出本发明一种密码安全管理系统的框图。

如图1所示，本发明第一方面提出一种密码安全管理系统10，其包括：访问接口模块11、密码存储模块12和加密模块13；

密码存储模块11，其包括第一密码文件和第二密码文件，所述第一密码文件用于存放普通账户的密码，所述第二密码文件用于存放管理员账户的密码；

所述访问接口模块12，用于接收应用程序的访问请求指令，并根据所述访问请求指令接入访问所述第一密码文件或所述第二密码文件；

加密模块13，用于对所述第一密码文件中的普通账户的密码和所述第二密码文件中的管理员账户的密码进行加密处理。

根据本发明的实施例，所述访问接口模块12包括：

PAM模块，用于对接收到的账户密码有效性及正确性进行检查；

Glibc库，用于接收所述PAM模块的调用，以提供直接访问第一密码文件或第二密码文件的I/O操作接口；

libshadow.a静态库，用于提供直接访问第一密码文件或第二密码文件的I/O操作接口。

如图2所示，应用程序可以采用以下三种方式访问到密码文件。

第一种方式：应用程序使用PAM模块对密码有效性及正确性进行检查，如果检查成功，调用Glibc库提供的接口访问密码文件，Glibc库中提供了直接访问密码文件的I/O操作接口，这类应用程序主要包括passwd（修改密码程序）、login（终端登录程序）等；

第二种方式：应用程序通过libshadow.a静态库来访问密码文件，libshadow.a静态库提供了直接访问密码文件的I/O操作接口，典型的应用程序有chage（密码有效期）和chpasswd（批量修改密码）程序；

第三种方式：应用程序通过Glibc库的接口获得用户登录相关的信息，主要接口有getpwnam、getspnam等，这些接口被大部分跟账户密码相关的应用程序所使用。

需要说明的是，该系统中存在两个shadow文件，即第一密码文件和第二密码文件，且两个shadow文件均受强制访问控制保护。其中，第一密码文件为/etc/shadow文件，用于保存普通账户的密码；所述第二密码文件为/etc/.shadowadm文件，用于保存管理员账户的密码。优选的，所述第二密码文件可以为隐藏文件。

进一步的，所述PAM模块包括：

pam_unix.so模块，用于对普通账户的密码进行验证或修改；

pam_admunix.so模块，用于对管理员账户的密码进行验证或修改；

pam_admok.so模块，用于判断用户的类别，并根据判断结果接入所述pam_unix.so模块或所述pam_admunix.so模块；

pam_skip.so模块，根据用户的类别，跳过所述pam_unix.so模块或所述pam_admunix.so模块的执行语句。

PAM模块是Linux系统提供的统一的认证模块。应用程序通过/etc/pam.d目录下的配置文件访问PAM模块，对于普通账户的密码存储在/etc/shadow文件中，PAM模块中pam_unix.so模块实现对/etc/shadow文件中密码的验证和修改。相应的配置如下所示：

auth required pam_unix.so

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok。

对于管理员账号的密码存储到/etc/.shadowadm文件中，可以在PAM模块增加pam_admunix.so模块，该pam_admunix.so模块实现对/etc/.shadowadm文件中密码的验证和修改。相应的配置如下所示：

auth required pam_admunix.so

password sufficient pam_admunix.so sha512 shadow nullok try_first_passuse_authtok。

如图3所示，Linux系统中具有两个密码验证、密码修改的PAM模块，分别是pam_unix.so模块和pam_admunix.so模块，但使用时只能用其中的一个，即普通用户使用pam_unix.so模块，管理员用户使用pam_admunix.so模块，为了保证上述两个模块能够正常按照预定的规则执行，还需要再增加两个PAM模块，一个是pam_admok.so模块，该模块用于判断当前用户是管理员用户还是普通用户；另一个是pam_skip.so模块，该模块的作用是跳过下一条语句，当pam_admok.so模块判断是普通用户时就执行pam_unix.so模块验证密码，并且执行完pam_unix.so模块后就不能在执行pam_admunix.so模块了，由于PAM模块是顺序执行的，所以要通过pam_skip.so跳过pam_admunix.so模块。此时，PAM模块的相应配置如下所示：

auth [success=2 default=ignore] pam_admok.so

auth required pam_unix.so

auth [success=1 default=ignore] pam_skip.so

auth required pam_admunix.so

password [success=2 default=ignore] pam_admok.so

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

password [success=1 default=ignore] pam_skip.so

password sufficient pam_admunix.so sha512 shadow nullok try_first_passuse_authtok。

根据本发明的实施例，所述libshadow.a静态库包括：

pwio.c文件，接收应用程序的访问请求指令，并根据所述访问请求指令接入访问账户文件；

shadowio.c文件，用于接入访问第一密码文件；

sdadmio.c文件，用于接入访问第二密码文件；

commonshadow_api.c文件，用于判断用户的类别，并根据判断结果接入所述shadowio.c文件或所述sdadmio.c文件。

如图4所示，Linux系统提供的chage和chpasswd等应用程序通过libshadow.a静态库修改密码文件，libshadow.a静态库中实现了对密码文件的I/O操作，libshadow.a静态库采用shadowio.c文件、sdadmio.c文件和pwio.c文件为应用程序提供了访问密码文件的接口。shadowio.c文件用于提供访问/etc/shadow文件的接口，sdadmio.c文件用于提供访问/etc/.shadowadm文件的接口，pwio.c文件用于提供访问/etc/passwd文件的接口。同时，在shadowio.c文件和sdadmio.c文件之上，应用程序之下增加commonshadow_api.c文件用来提供统一的接口。如果是管理员账户则访问sdadmio.c文件中的接口，如果是普通账户则访问shadowio.c文件中的接口。

Glibc库提供了直接访问/etc/shadow文件的接口，如getspnam_r接口通过账户名获得spwd结构体，这个结构体里包含了密码的密文信息；getspent接口提供了访问/etc/shadow文件的功能，该接口返回spwd结构体，每一次调用时会取/etc/shadow文件一行的数据，从第一行开始，依次类推，直到访问到文件的结尾，与该接口对应的两个接口是setspent和endspent，这两个接口分别用于打开和关闭/etc/shadow文件。

相应的，为了使Glibc库能够访问/etc/.shadowadm文件，需要增加对应的接口getspadmnam、getspadment、setspadment、endspadment。

Glibc库中要增加一个判断是否是管理员账户的接口is_adm_user，该接口传入参数为账户名，返回值是一个布尔值，用来判断该账户名是否为管理员账户。

对于要访问密码文件的应用程序来说，由于系统存在着/etc/shadow和/etc/.shadowadm两个密码文件，所以必须适配应用程序使其访问正确的密码文件。Glibc库中增加了is_adm_user接口，应用程序通过该接口的返回值判断应该访问哪个密码文件。

根据本发明的实施例，所述加密模块可以采用MD5、blowfish、sha256、sha512、SM3的一种或几种加密算法。

优选的，可以使用SM3国密算法对密码进程加密，以便于增强加密算法的自主可控、安全性以及加密性能。

如图5所示，passwd应用程序修改密码时，首先通过PAM模块对密码的合法性进行检查，检查确定密码合法后，PAM模块调用Glibc的crypt的接口，请求对密码加密，代码中通过使用USE_NSS宏来控制crypt接口是调用Glibc的加密模块还是调用NSS模块，默认情况下USE_NSS宏打开，所以crypt接口调用NSS模块的加密算法。crypt接口中传入要使用的加密算法的id，加密完后将密文返回给PAM模块，并写入到/etc/shadow文件中。对于管理员账户，密码写入到/etc/.shadowadm文件中。综上所述，为了使系统具备使用SM3算法加密密码的能力，可以将SM3算法添加到Glibc-crypt模块和NSS模块中，将SM3算法的id设置为$7$。

此时，系统支持的密码加密算法如下表1所示：

表1

增加了SM3算法后，需要修改PAM模块的配置文件，使用SM3加密算法。此时，PAM模块的相应配置如下所示：

auth [success=2 default=ignore] pam_admok.so

auth required pam_unix.so

auth [success=1 default=ignore] pam_skip.so

auth required pam_admunix.so

password [success=2 default=ignore] pam_admok.so

password sufficient pam_unix.so sm3 shadow nullok try_first_pass use_authtok

password [success=1 default=ignore] pam_skip.so

password sufficient pam_admunix.so sm3 shadow nullok try_first_pass use_autuok。

可以理解，在其他实施例中，也可以将密码存储在局域网服务器或远程服务器中，登录过程中，可以使用HMAC机制来对密码进行校验。具体校验方法如下所示：

首先，客户端发出登录请求（如浏览器的GET请求）；

其次，服务器返回一个随机值，并在会话中记录这个随机值；

再次，客户端将该随机值作为密钥，用户密码进行hmac运算，然后提交给服务器；

最后，服务器读取用户数据库中的用户密码和随机值做与客户端一样的hmac运算，然后与用户发送的结果比较，如果结果一致则验证用户合法。

图6示出本发明一种密码安全管理方法的流程图。

如图6所示，本发明第二方面还提出一种密码安全管理方法，其包括：

S601，接收应用程序的访问请求指令；

S602，根据所述访问请求指令，选择对应的访问接口模块；

S603，所述访问接口模块判断用户的类别；

S604，当用户为普通账户时，所述访问接口模块接入访问第一密码文件，当用户为管理员账户时，所述访问接口模块接入访问第二密码文件。

根据本发明的实施例，所述密码安全管理方法还包括：

接收passwd或login应用程序的访问请求指令；

pam_admok.so模块根据所述访问请求指令判断用户的类别；

当用户为普通账户时，所述pam_admok.so模块接入pam_unix.so模块，并通过所述pam_unix.so模块对普通账户的密码进行验证或修改，当用户为管理员账户时，所述pam_admok.so模块接入pam_admunix.so模块，并通过所述pam_admunix.so模块对管理员账户的密码进行验证或修改。

根据本发明的实施例，所述密码安全管理方法还包括：

接收passwd应用程序修改密码指令，

通过PAM模块对修改的密码的合法性进行检查；

在确定修改的密码合法后，所述PAM模块调用Glibc的crypt的接口，以对修改后的密码进行加密，且加密算法采用SM3算法；

待加密完成后，将密文返回给所述PAM模块，并根据用户的类别将密文写入到第一密码文件或第二密码文件中。

根据本发明的实施例，所述密码安全管理方法还包括：

接收chage或chpasswd应用程序的访问请求指令；

commonshadow_api.c文件根据所述访问请求指令判断用户的类别；

当用户为普通账户时，所述commonshadow_api.c文件接入shadowio.c文件，并通过所述shadowio.c文件对普通账户的密码进行修改，当用户为管理员账户时，所述commonshadow_api.c文件接入sdadmio.c文件，并通过所述sdadmio.c文件对管理员账户的密码进行修改。

根据本发明的实施例，所述密码安全管理方法还包括：

接收应用程序的访问请求指令；

Glibc库中的is_adm_user接口根据所述访问请求指令判断用户的类别；

当用户为普通账户时，通过getspnam_r和getspent接口访问第一密码文件，当用户为管理员账户时，通过getspadmnam和getspadment接口访问第二密码文件。

本发明通过将管理员账户的密码密文存储到更安全的文件中来提高管理员账户的密码存储的安全性，并通过使用国产密码算法来加密密码的方式来提高整个系统的密码加密的安全性及自主可控性。首先，将管理员账户的密码从/etc/shadow文件中移除，并保存到其他位置的某个文件中，该文件可以是某个隐藏文件（Linux中以点“.”开头的文件是隐藏文件），并且该文件同样受强制访问控制保护，这样就降低了管理员账户密码泄露的风险；其次，密码的加密算法使用完全自主可控、安全性更高、性能更好的SM3国产加密算法。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种密码安全管理系统，其特征在于，包括：访问接口模块、密码存储模块和加密模块；

密码存储模块，其包括第一密码文件和第二密码文件，所述第一密码文件用于存放普通账户的密码，所述第二密码文件用于存放管理员账户的密码；

所述访问接口模块，用于接收应用程序的访问请求指令，并根据所述访问请求指令接入访问所述第一密码文件或所述第二密码文件；

加密模块，用于对所述第一密码文件中的普通账户的密码和所述第二密码文件中的管理员账户的密码进行加密处理。

2.根据权利要求1所述的密码安全管理系统，其特征在于，所述访问接口模块包括：

PAM模块，用于对接收到的账户密码有效性及正确性进行检查；

Glibc库，用于接收所述PAM模块的调用，以提供直接访问第一密码文件或第二密码文件的I/O操作接口；

libshadow.a静态库，用于提供直接访问第一密码文件或第二密码文件的I/O操作接口。

3.根据权利要求2所述的密码安全管理系统，其特征在于，所述PAM模块包括：

pam_unix.so模块，用于对普通账户的密码进行验证或修改；

pam_admunix.so模块，用于对管理员账户的密码进行验证或修改；

pam_admok.so模块，用于判断用户的类别，并根据判断结果接入所述pam_unix.so模块或所述pam_admunix.so模块；

pam_skip.so模块，根据用户的类别，跳过所述pam_unix.so模块或所述pam_admunix.so模块的执行语句。

4.根据权利要求2所述的密码安全管理系统，其特征在于，所述libshadow.a静态库包括：

pwio.c文件，接收应用程序的访问请求指令，并根据所述访问请求指令接入访问账户文件；

shadowio.c文件，用于接入访问第一密码文件；

sdadmio.c文件，用于接入访问第二密码文件；

commonshadow_api.c文件，用于判断用户的类别，并根据判断结果接入所述shadowio.c文件或所述sdadmio.c文件。

5.根据权利要求1所述的密码安全管理系统，其特征在于，所述加密模块采用MD5、blowfish、sha256、sha512、SM3的一种或几种加密算法。

6.一种应用权利要求1-5任意一项所述密码安全管理系统的管理方法，其特征在于，所述管理方法包括：

接收应用程序的访问请求指令；

根据所述访问请求指令，选择对应的访问接口模块；

所述访问接口模块判断用户的类别；

当用户为普通账户时，所述访问接口模块接入访问第一密码文件，当用户为管理员账户时，所述访问接口模块接入访问第二密码文件。

7.根据权利要求6所述的管理方法，其特征在于，还包括：

接收passwd或login应用程序的访问请求指令；

pam_admok.so模块根据所述访问请求指令判断用户的类别；

当用户为普通账户时，所述pam_admok.so模块接入pam_unix.so模块，并通过所述pam_unix.so模块对普通账户的密码进行验证或修改，当用户为管理员账户时，所述pam_admok.so模块接入pam_admunix.so模块，并通过所述pam_admunix.so模块对管理员账户的密码进行验证或修改。

8.根据权利要求6所述的管理方法，其特征在于，还包括：

接收passwd应用程序修改密码指令，

通过PAM模块对修改的密码的合法性进行检查；

在确定修改的密码合法后，所述PAM模块调用Glibc的crypt的接口，以对修改后的密码进行加密，且加密算法采用SM3算法；

待加密完成后，将密文返回给所述PAM模块，并根据用户的类别将密文写入到第一密码文件或第二密码文件中。

9.根据权利要求6所述的管理方法，其特征在于，还包括：

接收chage或chpasswd应用程序的访问请求指令；

commonshadow_api.c文件根据所述访问请求指令判断用户的类别；

当用户为普通账户时，所述commonshadow_api.c文件接入shadowio.c文件，并通过所述shadowio.c文件对普通账户的密码进行修改，当用户为管理员账户时，所述commonshadow_api.c文件接入sdadmio.c文件，并通过所述sdadmio.c文件对管理员账户的密码进行修改。

10.根据权利要求6所述的管理方法，其特征在于，还包括：

接收应用程序的访问请求指令；

Glibc库中的is_adm_user接口根据所述访问请求指令判断用户的类别；

当用户为普通账户时，通过getspnam_r和getspent接口访问第一密码文件，当用户为管理员账户时，通过getspadmnam和getspadment接口访问第二密码文件。