CN110392033A - 一种密码管理方法及装置 - Google Patents
一种密码管理方法及装置 Download PDFInfo
- Publication number
- CN110392033A CN110392033A CN201810369107.1A CN201810369107A CN110392033A CN 110392033 A CN110392033 A CN 110392033A CN 201810369107 A CN201810369107 A CN 201810369107A CN 110392033 A CN110392033 A CN 110392033A
- Authority
- CN
- China
- Prior art keywords
- password
- sdn controller
- controller card
- encryption parameter
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
Abstract
本申请提供一种密码管理方法及装置,涉及信息安全领域,用于解决现有技术中SDN控制器插件的配置文件以明文保存密码的方式存在安全隐患的问题。该方法包括:生成加密参数;然后,根据该加密参数,对第一密码进行加密,生成第二密码,第一密码为未加密的SDN控制器的北向接口的密码,第二密码为加密后的SDN控制器的北向接口的密码;将第二密码写入SDN控制器插件的配置文件中。本申请适用于对北向接口的密码进行管理的过程中。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种密码管理方法及装置。
背景技术
软件定义网络(Software Defined Network,SDN)是一种新型的网络架构,其核心技术开放流(OpenFlow)通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制。
OpenStack是一个开源的云计算管理平台项目,负责对数据中心的计算、网络、存储等资源进行统一管理和调度。OpenStack使用网络服务组件(neutron)提供网络虚拟化服务,允许用户创建和管理虚拟网络。neutron提供标准化的插件机制,以将SDN控制器集成到OpenStack,从而为neutron提供附加功能,例如网络可视化管理、集中/分布式控制等。
目前,SDN控制器插件的配置文件以明文的形式保存着SDN控制器的北向接口的用户名和密码。这使得非法用户可以轻易获取到北向接口的用户名和密码,从而非法用户通过该北向接口的用户名和密码可以调用SDN控制器的北向接口,导致网络存在安全隐患。
发明内容
本申请提供一种密码管理方法及装置,用于解决现有技术中SDN控制器插件的配置文件以明文的方式保存密码存在的安全问题。
为解决上述问题,本申请提供如下技术方案:
第一方面,本申请提供一种密码管理方法,该方法应用于OpenStack的控制节点,该控制节点安装有neutron服务端(server)以及SDN控制器插件,该方法包括:生成加密参数;根据加密参数,对第一密码进行加密,生成第二密码,第一密码为未加密的SDN控制器的北向接口的密码,第二密码为加密后的SDN控制器的北向接口的密码;将第二密码写入SDN控制器插件的配置文件中。基于上述技术方案,SDN控制器插件的配置文件中存储着加密后的北向接口的密码(即第二密码)。这样,非法用户从SDN控制器插件的配置文件中仅能获取到该加密后的北向接口的密码,从而非法用户并不能根据该加密后的北向接口的密码调用SDN控制器的北向接口,从而保证网络的安全。
一种可能的设计中,该方法还包括:将SDN控制器插件的配置文件的用户权限设置为neutron server对应的用户只读。这样避免非法用户篡改SDN控制器插件的配置文件中的第二密码,提高安全性。
一种可能的设计中,在生成加密参数之前,该方法还包括:SDN控制器插件的代码安装到预设位置。然后,在生成加密参数之后,该方法还包括:将加密参数保存在所述SDN控制器插件的代码中。这样,将加密参数和第二密码分开存储,避免非法用户能够同时获取到加密参数以及第二密码。
一种可能的设计中,该方法还包括:将SDN控制器插件的代码的所有者(owner)设置为neutron server对应的用户;将SDN控制器插件的代码的用户权限设置为neutronserver可读可运行。这样保证SDN控制器插件的代码仅有neutron server对应的用户能够读取或运行,从而防止非法用户篡改SDN控制器插件的代码,提高安全性。
一种可能的设计中,在将第二密码写入SDN控制器插件的配置文件中之后,该方法还包括:接收业务请求;从SDN控制器插件的配置文件中获取第二密码,以及从SDN控制器插件的代码中获取加密参数;根据加密参数,对第二密码进行解密,生成第一密码;使用第一密码调用SDN控制器的北向接口。通过上述方法,在接收到业务请求后,控制节点能够调用SDN控制器的北向接口,以执行相应的业务请求。
第二方面,本申请提供一种密码管理装置,该密码管理装置安装有neutronserver以及SDN控制器插件,该密码管理装置包括:处理模块和存储模块。其中,处理模块,用于生成加密参数;根据加密参数,对第一密码进行加密,生成第二密码,第一密码为未加密的SDN控制器的北向接口的密码,第二密码为加密后的SDN控制器的北向接口的密码。存储模块,还用于将上述处理模块生成的第二密码写入SDN控制器插件的配置文件中。
一种可能的设计中,处理模块,还用于将SDN控制器插件的配置文件的用户权限设置为neutron server对应的用户只读。
一种可能的设计中,处理模块,还用于将SDN控制器插件的代码安装到预设位置;将加密参数保存在SDN控制器插件的代码中。
一种可能的设计中,处理模块,还用于将SDN控制器插件的代码的所有者设置为neutron server对应的用户;将SDN控制器插件的代码的用户权限设置为neutron server对应的用户可读可运行。
一种可能的设计中,该密码管理装置还包括:接收模块。该接收模块,用于接收业务请求。所述处理模块,还用于从SDN控制器插件的配置文件中获取第二密码;从SDN控制器插件的代码中获取加密参数;根据加密参数,对第二密码进行解密,生成第一密码;使用第一密码调用SDN控制器的北向接口。
第三方面,提供了一种网络设备,该网络设备具有实现上述第一方面任一项所述的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第四方面,提供了一种网络设备,包括:处理器和存储器;该存储器用于存储计算机执行指令,当该网络设备运行时,该处理器执行该存储器存储的该计算机执行指令,以使该网络设备执行如上述第一方面中任一项所述的密码管理方法。
第五方面,提供了一种网络设备,包括:处理器;所述处理器用于与存储器耦合,并读取存储器中的指令之后,根据所述指令执行如上述第一方面中任一项所述的密码管理方法。
第六方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行上述第一方面中任一项所述的密码管理方法。
第七方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述第一方面中任一项所述的密码管理方法。
第八方面,提供了一种芯片系统,该芯片系统包括处理器,用于支持网络设备实现上述第一方面中所涉及的功能。在一种可能的设计中,该芯片系统还包括存储器,该存储器,用于保存网络设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包含芯片和其他分立器件。
其中,第二方面至第八方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果,此处不再赘述。
附图说明
图1为一种SDN的基本架构示意图;
图2为一种OpenStack的物理架构示意图;
图3为本申请实施例提供的一种网络设备的结构示意图;
图4为本申请实施例提供的一种密码管理方法的流程图;
图5为本申请实施例提供的另一种密码管理方法的流程图;
图6为本申请实施例提供的一种密码管理装置的结构示意图。
具体实施方式
本申请中的术语“第一”、“第二”等仅是为了区分不同的对象,并不对其顺序进行限定。例如,第一密码和第二密码仅仅是为了区分不同的密码,并不对其先后顺序进行限定。
本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本申请中字符“/”,一般表示前后关联对象是一种“或”的关系。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
此外,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
为了方便理解本申请实施例的技术方案,首先对一些术语进行简要的介绍。
如图1所示,SDN是一种数据控制分离、软件可编程的新型的网络架构,其基本架构分为三个层次,自上而下分别是:应用层、控制层以及基础设施层。
应用层包括各种应用程序。基础设施层负责数据处理、转发和状态收集。控制层负责平面资源的编排,维护网络拓扑、状态信息等。控制层主要基于SDN控制器来实现。示例性的,SDN控制器可以为OpenDaylight(ODL)控制器、开放式网络操作系统(Open NetworkingOperating System,ONOS)控制器或者敏捷控制器(Agile Controller,AC)。
在SDN架构中,控制层与应用层之间的接口被称作北向接口(NorthboundInterface,NBI)。应用层的应用程序通过北向接口调用下层网络的网络资源,并通过北向接口向下层网络发送数据。控制层与基础设施层之间的接口被称作南向接口(SouthboundInterface,SBI)。南向接口用于在SDN控制器与基础设施层之间传输数据流表项、控制指令等,以实现SDN控制器对基础设施层中的设备的管理。
从功能维度上划分,OpenStack包括以下核心组件:计算服务组件(nova)、镜像服务组件(glance)、对象存储服务组件(swift)、块存储服务组件(cinder)、neutron等。
下面对本申请实施例涉及的neutron进行具体介绍。
neutron管理的网络资源包括:网络(network)、子网(subnet)和端口(port)。
network是一个隔离的二层广播域。neutron支持多种类型的network,例如:本地网络(local)、虚拟局域网(Virtual Local Area Network,VLAN)、虚似扩展局域网(Virtual Extensible LAN,VxLAN)和通用路由封装(Generic Routing Encapsulation,GRE)网络。
Subnet是三层网络的一段连续IP地址范围。通常而言,一个网络所连接的全部虚拟机可以在三层网络中被隔离为多个“组”,每个“组”对应于一个subnet,该“组”中的虚拟机从对应的subnet中获取内网IP地址。
port指的是网络的一个接入点,用于记录必要信息(例如媒体访问控制(MediaAccess Control,MAC)地址和网际互联协议(Internet Protocol,IP)地址),以便于管理虚拟机或系统服务与网络间的接入关系。值得说明的是,任一虚拟机的任一虚拟网卡必须绑定port,从而实现虚拟网络的接入管理。
目前,neutron采用分布式架构,由多个组件(子服务)共同对外提供网络服务。neutron由如下组件构成:
neutron server,用于对外提供OpenStack网络的应用程序编程接口(Application Programming Interface,API)接口,接收对API接口的调用请求,并将该调用请求转发给已经配置好的插件(plugin)进行后续处理。
plugin,用于处理neutron server发来的业务请求,维护OpenStack逻辑网络的状态,并调用plugin agent处理业务请求。
插件代理(plugin agent),用于处理plugin的请求,负责在网络供应商(networkprovider)上真正实现各种网络功能。
network provider,用于提供网络服务的虚拟或物理网络设备。
消息队列(messaging queue),用于负责neutron server,plugin和plugin agent之间的通信和调用。
数据库(database),用于存放OpenStack的网络状态信息,包括network,subnet,port,路由(router)等。
值得说明的是,由于传统的plugin存在无法同时使用多种类型的networkprovider的问题,因此,目前neutron主要采用模块化二层网络(Modular Layer 2,ML2)plugin。ML2plugin包括类型驱动(Type Driver)和机制驱动(Mechanism Driver)。类型驱动可以管理多种网络类型,例如local,VLAN,VxLAN等。机制驱动用于处理类型驱动建立的信息,并且确保能够用于指定的网络机制。机制驱动支持建立、更新和删除network,subnet,port。另外,由于ML2plugin与传统的plugin不兼容,因此,在neutron采用ML2plugin的情况下,传统的plugin需要改写成相应的Mechanism Driver。
如图2所示,为OpenStack的一种物理架构示意图。OpenStack包括:控制节点(Control node)、网络节点(Network node)、计算节点(Compute node)、应用程序编程接口节点(API node)。值得说明的是,上述控制节点、网络节点、计算节点以及API节点可以同时部署在同一个网络设备上,也可以分别部署在不同的网络设备上,本申请实施例对此不作任何限制。
其中,控制节点部署了以下组件(或者服务):nova API,neutron server,认证服务组件(keystone),glance,nova证书(cert)等。值得说明的是,neutron server在控制节点上由neutron server对应的用户启动运行,负责处理OpenStack的其他组件的网络请求。其中,在OpenStack中,neutron server对应的用户一般简称为neutron用户。
API节点部署了以下组件(或者服务):nova独立计算环境简单协议(SimpleProtocol for Independent Computing Environment,spice)代理服务器(proxy),仪表盘(dashboard)等。
网络节点部署了以下组件(或者服务):neutron三层网络(Layer3,L3)代理(agent),neutron元数据(metadata)agent等。
计算节点部署了以下组件(或者服务):nova计算服务、基于内核的虚拟机(Kernel-based Virtual Machine,KVM)等。
可以理解的是,图2中仅示出上述控制节点、API节点、网络节点以及计算节点部署的部分组件或者服务。上述控制节点、API节点、网络节点以及计算节点还可以部署其他的组件或者服务,本申请实施例对此不做任何限制。示例性,控制节点还可以部署:nova API,nova调度程序(scheduler),nova控制台认证(console auth),nova控制台(conductor),cinder,消息中间件(Rabbit MQ)等。网络节点还可以部署:neutron动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)agent,nova metadata等。
值得说明的是,在OpenStack集成SDN控制器的场景下,SDN控制器插件需要安装在部署neutron server的服务器上(即图2中的控制节点)。控制节点可以通过SDN控制器提供的SDN控制器插件的安装程序,安装SDN控制器插件。
图3为本申请实施例提供的一种控制节点的结构示意图,该控制节点包括:存储器、处理器、系统总线、电源组件、输入\输出接口和通信组件等。
其中,图3中以该控制节点为服务器为例进行说明。存储器可用于存储数据、软件程序以及模块,主要包括存储程序区和存储数据区,存储程序区可存储操作系统、至少一个功能所需的应用程序等,存储数据区可存储设备的使用所创建的数据等。存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random-Access Memory,SRAM),电可擦除可编程只读存储器(ElectricallyErasable Programmable read only memory,EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM),可编程只读存储器(ProgrammableRead-Only Memory,PROM),只读存储器(Read-Only Memory,ROM),磁存储器,快闪存储器,磁盘或光盘等等。处理器通过运行或执行存储在存储器内的软件程序和/或模块,以及调用存储在存储器内的数据,执行服务器的各种功能和处理数据。此外,处理器可以包括一个或多个模块,便于处理器和其他组件之间的交互。系统总线包括地址总线、数据总线、控制总线,用于传输数据和指令;电源组件用于为服务器的各个组件提供电源;输入\输出接口为处理器和外围接口模块之间提供接口;通信组件用于为服务器和其他设备之间进行有线或无线方式的通信,比如,通信组件可以用于为服务器提供与从节点之间的有线或无线方式的通信。
本领域技术人员可以理解,图3示出的控制节点的结构并不构成对其结构的限定。在实际应用中,控制节点还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图4所示,本申请实施例提供一种密码管理方法,该方法应用于OpenStack的控制节点,该控制节点安装有neutron server以及SDN控制器插件,该方法包括以下步骤:
S101、生成加密参数。
其中,所示加密参数包括加密密钥和/或加密向量。当然,所示加密参数还可以包括其他数据,本申请实施例对此不作限定。值得说明的是,所述加密参数具体包含哪些数据与加密算法相关。
一种可选的实现方式中,控制节点运行SDN控制器插件的安装程序,SDN控制器插件的安装程序生成加密参数。
可选的,在生成加密参数之前,控制节点运行SDN控制器插件的安装程序,将SDN控制器插件的代码安装在预设位置,示例性的,该预设位置为neutron server的目录下。然后,在生成加密参数之后,将该加密参数保存在SDN控制器插件的代码中。
可选的,为了避免加密参数被非法用户获取或修改,控制节点将所述SDN控制器插件的代码的owner设置为neutron server对应的用户。并且,控制节点将所述SDN控制器插件的代码的用户权限设置为neutron server对应的用户可读可运行。示例性的,在Linux操作系统中,控制节点可使用“chmod 400”命令将SDN控制器插件的代码的用户权限设置为neutron server可读可运行。这样保证加密参数仅能被neutron server对应的用户读取和运行,而不能被其他用户读取或运行。
S102、根据所述加密参数,对第一密码进行加密,生成第二密码。
其中,所述第一密码为未加密的SDN控制器的北向接口的密码。第二密码为加密后的SDN控制器的北向接口的密码。
可选的,在控制节点运行SDN控制器的过程中,SDN控制器插件的安装程序发送提示信息,以提示用户输入SDN控制器的北向接口的用户名和密码,以此获取北向接口的密码(即第一密码)。
一种可选的实现方式中,控制节点运行SDN控制器插件的安装程序,SDN控制器插件的安装程序基于对称加密算法,根据所述加密参数,对第一密码进行加密,生成第二密码。其中,所述对称加密算法可以为数据加密标准(Data Encryption Standard,DES)算法、高级加密标准(Advanced Encryption Standard,AES)算法、三重数据加密(Triple DataEncryption Algorithm,TDEA)算法。
上述第一密码的加密过程可参考现有技术,本申请实施例在此不再赘述。
S103、将第二密码写入SDN控制器插件的配置文件中。
可选的,为了保证第二密码不被非法用户篡改,控制节点将所述SDN控制器插件的配置文件的用户权限设置为neutron server对应的用户只读。示例性的,在Linux操作系统,控制节点可使用“chmod 500”命令将所述SDN控制器插件的配置文件的用户权限设置为neutron server对应的用户只读。
基于上述技术方案,SDN控制器插件的配置文件中存储着加密后的北向接口的密码(即第二密码)。这样,非法用户从SDN控制器插件的配置文件中仅能获取到该加密后的北向接口的密码,从而非法用户并不能根据该加密后的北向接口的密码调用SDN控制器的北向接口,从而保证网络的安全。
为了能够调用SDN控制器的北向接口,以处理相应的业务请求,本申请实施例还提供另一种密码管理方法,该方法应用于OpenStack的控制节点,该控制节点安装有neutronserver以及SDN控制器插件。
如图5所示,该方法包括以下步骤:
S201、接收业务请求。
一种可选的实现方式中,控制节点中的neutron server在接收到业务请求后,判断该业务请求是否需要调用SDN控制器的北向接口;如果需要,则neutron server加载SDN控制器插件,使SDN控制器插件执行下述步骤S202-S205。
示例性的,neutron server接收到用于创建端口的业务请求时,neutron server加载SDN控制器插件。
值得说明的是,在neutron采用ML2plugin的场景下,SDN控制器插件被改写成相应的机制驱动,即SDN控制器插件在ML2plugin中以机制驱动的形式存在。因此,在neutron采用ML2plugin的场景下,neutron server调用ML2plugin中SDN控制器插件对应的机制驱动,相当于上述neutron server加载了SDN控制器插件。
S202、从所述SDN控制器插件的配置文件中获取第二密码。
一种可选的实现方式中,SDN控制器插件从所述SDN控制器插件的配置文件中获取第二密码。
S203、从所述SDN控制器插件的代码中获取所述加密参数。
一种可选的实现方式中,SDN控制器插件从所述SDN控制器插件的代码中获取所述加密参数。
值得说明的是,若加密参数存储于其他文件,SDN控制器插件也可以从存储该加密参数的文件中获取所述加密参数。
S204、根据所述加密参数,对所述第二密码进行解密,生成所述第一密码。
值得说明的是,对第二密码的解密过程可参考现有技术,本申请实施例在此不再赘述。
S205、使用第一密码调用SDN控制器的北向接口。
一种可选的实现方式中,SDN控制器插件向SDN控制器发送鉴权信息,该鉴权信息包括第一密码和北向接口的用户名。在SDN控制器通过鉴权后,SDN控制器插件调用SDN控制器的北向接口。例如,SDN控制器插件通过SDN控制器的北向接口下发业务请求,以使SDN控制器执行该业务请求。
通过上述方法,在接收到业务请求后,控制节点能够调用SDN控制器的北向接口,以执行相应的业务请求。
上述主要从密码管理装置的角度对本申请实施例提供的方案进行了介绍。可以理解的是,密码管理装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的密码管理装置及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对密码管理装置进行划分,例如,可以对应各个功能划分各个模块或者单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件模块或者单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
比如,在采用对应各个功能划分各个功能模块的情况下,图6示出了上述实施例中所涉及的密码管理装置的一种可能的结构示意图。该密码管理装置安装有neutron server以及SDN控制器插件。如图6所示,该密码管理装置包括:处理模块601和存储模块602。
处理模块601,用于生成加密参数;根据所述加密参数,对第一密码进行加密,生成第二密码,所述第一密码为未加密的SDN控制器的北向接口的密码,所述第二密码为加密后的SDN控制器的北向接口的密码。
所述存储模块602,还用于将所述处理模块生成的第二密码写入所述SDN控制器插件的配置文件中。
一种可选的实现方式中,所述处理模块601,还用于将所述SDN控制器插件的配置文件的用户权限设置为neutron server对应的用户只读。
一种可选的实现方式中,所述处理模块601,还用于将所述SDN控制器插件的代码安装到预设位置;将所述加密参数保存在所述SDN控制器插件的代码中。
一种可选的实现方式中,所述处理模块601,还用于将所述SDN控制器插件的代码的所有者设置为所述neutron server对应的用户;将所述SDN控制器插件的代码的用户权限设置为neutron server对应的用户可读可运行。
一种可选的实现方式中,该密码管理装置还包括:接收模块603。接收模块603,用于接收业务请求。所述处理模块601,还用于从所述SDN控制器插件的配置文件中获取所述第二密码;从所述SDN控制器插件的代码中获取所述加密参数;根据所述加密参数,对所述第二密码进行解密,生成所述第一密码;使用所述第一密码调用SDN控制器的北向接口,以执行所述业务请求。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本申请实施例中,该装置以对应各个功能划分各个功能模块的形式来呈现,或者,该装置以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以包括特定应用集成电路(Application-Specific Integrated Circuit,ASIC),电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该终端设备可以采用图3所示的网络设备来实现。比如,图6中的接收模块603可以由图3中的通信组件来实现,处理模块601可以由图3中的处理器来实现,存储模块602可以由图3中的存储器来实现,本申请实施例对此不作任何限制。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令;当所述计算机可读存储介质在图3所示的服务器上运行时,使得该服务器执行本申请实施例图4或图5所示的密码管理方法。
可选的,本申请实施例提供了一种芯片系统,该芯片系统包括处理器,用于支持服务器实现图4至图5所示的方法。在一种可能的设计中,该芯片系统还包括存储器。该存储器,用于保存服务器必要的程序指令和数据。当然,存储器也可以不在芯片系统中。该芯片系统,可以由芯片构成,也可以包含芯片和其他分立器件,本申请实施例对此不作具体限定。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种密码管理方法,其特征在于,所述方法应用于OpenStack的控制节点,所述控制节点安装有网络服务组件服务端neutron server以及软件定义网络SDN控制器插件,所述方法包括:
生成加密参数;
根据所述加密参数,对第一密码进行加密,生成第二密码,所述第一密码为未加密的SDN控制器的北向接口的密码,所述第二密码为加密后的SDN控制器的北向接口的密码;
将所述第二密码写入所述SDN控制器插件的配置文件中。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述SDN控制器插件的配置文件的用户权限设置为neutron server对应的用户只读。
3.根据权利要求1所述的方法,其特征在于,在所述生成加密参数之前,所述方法还包括:
将所述SDN控制器插件的代码安装到预设位置;
在所述生成加密参数之后,所述方法还包括:
将所述加密参数保存在所述SDN控制器插件的代码中。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
将所述SDN控制器插件的代码的所有者设置为所述neutron server对应的用户;
将所述SDN控制器插件的代码的用户权限设置为neutron server对应的用户可读可运行。
5.根据权利要求3或4所述的方法,其特征在于,在所述将第二密码写入SDN控制器插件的配置文件中之后,所述方法还包括:
接收业务请求;
从所述SDN控制器插件的配置文件中获取所述第二密码;
从所述SDN控制器插件的代码中获取所述加密参数;
根据所述加密参数,对所述第二密码进行解密,生成所述第一密码;
使用所述第一密码调用SDN控制器的北向接口。
6.一种密码管理装置,其特征在于,该密码管理装置安装有网络服务组件服务端neutron server以及软件定义网络SDN控制器插件,该密码管理装置包括:
处理模块,用于生成加密参数;根据所述加密参数,对第一密码进行加密,生成第二密码,所述第一密码为未加密的SDN控制器的北向接口的密码,所述第二密码为加密后的SDN控制器的北向接口的密码;
所述存储模块,还用于将所述处理模块生成的第二密码写入所述SDN控制器插件的配置文件中。
7.根据权利要求6所述的装置,其特征在于,
所述处理模块,还用于将所述SDN控制器插件的配置文件的用户权限设置为neutronserver对应的用户只读。
8.根据权利要求6所述的装置,其特征在于,
所述处理模块,还用于将所述SDN控制器插件的代码安装到预设位置;将所述加密参数保存在所述SDN控制器插件的代码中。
9.根据权利要求8所述的装置,其特征在于,
所述处理模块,还用于将所述SDN控制器插件的代码的所有者设置为所述neutronserver对应的用户;将所述SDN控制器插件的代码的用户权限设置为neutron server对应的用户可读可运行。
10.根据权利要求8或9所述的装置,其特征在于,所述密码管理装置还包括:
接收模块,用于接收业务请求;
所述处理模块,还用于从所述SDN控制器插件的配置文件中获取所述第二密码;从所述SDN控制器插件的代码中获取所述加密参数;根据所述加密参数,对所述第二密码进行解密,生成所述第一密码;使用所述第一密码调用SDN控制器的北向接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810369107.1A CN110392033B (zh) | 2018-04-23 | 2018-04-23 | 一种密码管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810369107.1A CN110392033B (zh) | 2018-04-23 | 2018-04-23 | 一种密码管理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110392033A true CN110392033A (zh) | 2019-10-29 |
| CN110392033B CN110392033B (zh) | 2022-01-04 |
Family
ID=68284535
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810369107.1A Active CN110392033B (zh) | 2018-04-23 | 2018-04-23 | 一种密码管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110392033B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104780052A (zh) * | 2015-04-27 | 2015-07-15 | 北京航空航天大学 | 一种软件定义网络中网络设备群组认证方法 |
| CN104834863A (zh) * | 2015-03-31 | 2015-08-12 | 努比亚技术有限公司 | Wi-Fi密码存储方法及装置 |
| CN105207950A (zh) * | 2015-09-16 | 2015-12-30 | 中国科学院信息工程研究所 | 一种基于sdn技术的通信数据保护方法 |
| CN105450626A (zh) * | 2015-09-08 | 2016-03-30 | 陈鸣 | 一种软件定义的网络鉴别系统和方法 |
| CN105656778A (zh) * | 2014-11-11 | 2016-06-08 | 中兴通讯股份有限公司 | 调用路由算法的方法及sdn控制器和sdn-oaf |
| CN105933125A (zh) * | 2016-07-07 | 2016-09-07 | 北京邮电大学 | 一种软件定义网络中的南向安全认证方法及装置 |
| US20170034224A1 (en) * | 2015-07-28 | 2017-02-02 | Polycom, Inc. | Relaying multimedia conferencing utilizing software defined networking architecture |
| CN106453406A (zh) * | 2016-11-22 | 2017-02-22 | 中国电子科技集团公司第三十研究所 | 一种体系化的软件定义数据中心网络保密方法 |
| CN106533716A (zh) * | 2015-09-09 | 2017-03-22 | 大唐移动通信设备有限公司 | 一种北向接口的管理方法和系统 |
| CN106656493A (zh) * | 2017-01-18 | 2017-05-10 | 中国人民解放军国防科学技术大学 | 基于量子密钥分发的软件定义网络安全通信方法 |
| CN106790219A (zh) * | 2017-01-10 | 2017-05-31 | 中国科学院信息工程研究所 | 一种sdn控制器的访问控制方法及系统 |
| CN106912044A (zh) * | 2017-03-22 | 2017-06-30 | 珠海市魅族科技有限公司 | 一种WiFi信息处理方法及装置 |
| CN107092836A (zh) * | 2017-03-29 | 2017-08-25 | 北京洋浦伟业科技发展有限公司 | 一种基于系统加密的数据保护方法与装置 |
-
2018
- 2018-04-23 CN CN201810369107.1A patent/CN110392033B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656778A (zh) * | 2014-11-11 | 2016-06-08 | 中兴通讯股份有限公司 | 调用路由算法的方法及sdn控制器和sdn-oaf |
| CN104834863A (zh) * | 2015-03-31 | 2015-08-12 | 努比亚技术有限公司 | Wi-Fi密码存储方法及装置 |
| CN104780052A (zh) * | 2015-04-27 | 2015-07-15 | 北京航空航天大学 | 一种软件定义网络中网络设备群组认证方法 |
| US20170034224A1 (en) * | 2015-07-28 | 2017-02-02 | Polycom, Inc. | Relaying multimedia conferencing utilizing software defined networking architecture |
| CN105450626A (zh) * | 2015-09-08 | 2016-03-30 | 陈鸣 | 一种软件定义的网络鉴别系统和方法 |
| CN106533716A (zh) * | 2015-09-09 | 2017-03-22 | 大唐移动通信设备有限公司 | 一种北向接口的管理方法和系统 |
| CN105207950A (zh) * | 2015-09-16 | 2015-12-30 | 中国科学院信息工程研究所 | 一种基于sdn技术的通信数据保护方法 |
| CN105933125A (zh) * | 2016-07-07 | 2016-09-07 | 北京邮电大学 | 一种软件定义网络中的南向安全认证方法及装置 |
| CN106453406A (zh) * | 2016-11-22 | 2017-02-22 | 中国电子科技集团公司第三十研究所 | 一种体系化的软件定义数据中心网络保密方法 |
| CN106790219A (zh) * | 2017-01-10 | 2017-05-31 | 中国科学院信息工程研究所 | 一种sdn控制器的访问控制方法及系统 |
| CN106656493A (zh) * | 2017-01-18 | 2017-05-10 | 中国人民解放军国防科学技术大学 | 基于量子密钥分发的软件定义网络安全通信方法 |
| CN106912044A (zh) * | 2017-03-22 | 2017-06-30 | 珠海市魅族科技有限公司 | 一种WiFi信息处理方法及装置 |
| CN107092836A (zh) * | 2017-03-29 | 2017-08-25 | 北京洋浦伟业科技发展有限公司 | 一种基于系统加密的数据保护方法与装置 |
Non-Patent Citations (2)
| Title |
|---|
| BHUVANESWARAN VENGAINATHAN等: "Terminology for Benchmarking SDN Controller Performance draft-ietf-bmwg-sdn-controller-benchmark-term-02", 《IETF 》 * |
| 范晓红等: "SDN南向通道的安全性研究", 《北京电子科技学院学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110392033B (zh) | 2022-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109558721B (zh) | 客户端应用程序的安全单点登录和条件访问的方法和系统 | |
| CN106599694B (zh) | 安全防护管理方法、计算机系统和计算机可读取存储媒体 | |
| CN109155781B (zh) | 对托管应用程序的动态访问 | |
| US10432592B2 (en) | Password encryption for hybrid cloud services | |
| US11438421B2 (en) | Accessing resources in a remote access or cloud-based network environment | |
| EP3367276B1 (en) | Providing devices as a service | |
| US20200076585A1 (en) | Storage device key management for encrypted host data | |
| CN109104281A (zh) | 令牌化硬件安全模块 | |
| CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
| EP2681874B1 (en) | Ipsec connection to private networks | |
| US11062041B2 (en) | Scrubbing log files using scrubbing engines | |
| US10218686B2 (en) | Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions | |
| CN111970240B (zh) | 集群纳管方法、装置及电子设备 | |
| KR20230078706A (ko) | 포스트 양자 암호화를 사용하는 인증서 기반 보안 | |
| EP3566162A1 (en) | Apparatus and method for certificate authority for certifying accessors | |
| CN109542862A (zh) | 用于控制文件系统的挂载的方法、装置和系统 | |
| US9755832B2 (en) | Password-authenticated public key encryption and decryption | |
| US20220103415A1 (en) | Remote network and cloud infrastructure management | |
| CN113422683B (zh) | 一种边云协同数据传输方法、系统、存储介质及终端 | |
| US20170118197A1 (en) | Sharing data between sandboxed applications with certificates | |
| US20230016036A1 (en) | Serverless identity management | |
| CN110392033A (zh) | 一种密码管理方法及装置 | |
| Shrivastwa | Hybrid cloud for architects: Build robust hybrid cloud solutions using aws and openstack | |
| US11023619B2 (en) | Binding a hardware security module (HSM) to protected software | |
| US11943221B2 (en) | Preventing masquerading service attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |