CN110602054A - 基于代理的特权凭证认证保护方法及装置 - Google Patents
基于代理的特权凭证认证保护方法及装置 Download PDFInfo
- Publication number
- CN110602054A CN110602054A CN201910770083.5A CN201910770083A CN110602054A CN 110602054 A CN110602054 A CN 110602054A CN 201910770083 A CN201910770083 A CN 201910770083A CN 110602054 A CN110602054 A CN 110602054A
- Authority
- CN
- China
- Prior art keywords
- password
- privileged
- unit
- certificate authentication
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
Abstract
本发明公开了一种基于代理的特权凭证认证保护方法,包括如下步骤:发起远程会话连接请求;在特权WEB门户上点击连接;调用特权会话管理器;特权会话管理器根据相应账号信息从密码保险库中调取密码;密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token;进行初始化;判断是否需要输入目标资源账号的凭证认证密码token,如是,手工输入;否则,密码自动代填;判断是否校验通过,如是,校验通过后,返回数据,成功登录目标系统;否则,返回错误信息。本发明还涉及一种实现上述基于代理的特权凭证认证保护方法的装置。本发明使得特权账号认证凭证安全,能更好地去保护、控制和监视对特权账号的访问。
Description
技术领域
本发明涉及特权账号安全管理领域,特别涉及一种基于代理的特权凭证认证保护方法及装置。
背景技术
目前IT安全领域发展日新月异,不断变化。信息化安全防护手段越来越多,也越来越高级。但数据信息的最后一道防线,特权账号密码始终得不到有效保护与管理,攻击者依然能够通过合法的技术途径,进入企业内部网络,窃取有价值的数据。他们所用到的技巧,就是获知了被泄露的特权账号密码。这些高权限的账号,除了员工的个人账号之外,也包括企业或组织整个IT基础架构的底层系统账号以及应用内嵌账号。这些特权账号往往被人们所忽略,从而不受监控,最终成为了大多数攻击的突破口。但管理者也是无可奈何,因为没有很好的自动化、可扩展、高可靠技术平台,能让他们从万级数量的账号管理工作中解放出来。导致总有高权限的账号密码被泄露,最终发生数据泄露事件。
对特权账号的保护关键是对特权凭证的保护,传统特权凭证的保护的流程图如图1所示。图1中,在步骤A中,运维人员发起远程会话连接执行步骤B;在步骤B中,会话会去存储密码数据库请求密码和相关属性后返回;在步骤C中,客户端收到密码后会把它保存起来,比如放在Cookie里或者Local Storage里;在步骤D中,将返回的属性和密码做校验,校验通过后,返回数据,登录成功,不通过则会返回错误信息。
在传统方式中,即使在特权账号凭证上做了诸多的保护,如凭证加密、密码复杂度等措施,但它的认证token(令牌)会保存在本地,这会给特权账号的安全带来隐患,所以我们需要一种方法及装置,加强特权凭证的保护。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种使得特权账号认证凭证安全,能更好地去保护、控制和监视对特权账号的访问的基于代理的特权凭证认证保护方法及装置。
本发明解决其技术问题所采用的技术方案是:构造一种基于代理的特权凭证认证保护方法,包括如下步骤:
A)运维人员发起远程会话连接请求;
B)在特权WEB门户上找到相应账号点击连接;
C)调用特权会话管理器,执行步骤D)、步骤F)或步骤L);
D)所述特权会话管理器根据相应账号信息从密码保险库中调取密码,执行步骤E);
E)所述密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token,执行步骤F);
F)进行初始化,执行步骤G);
G)判断是否需要输入目标资源账号的凭证认证密码token,如是,执行步骤H);否则,执行步骤I);
H)手工输入目标资源账号的凭证认证密码token,执行步骤J);
I)自动代填目标资源账号的凭证认证密码token,执行步骤J);
J)判断是否校验通过,如是,执行步骤M);否则,执行步骤K);
K)返回错误信息;
L)所述特权会话管理器对用户的行为进行监控和审计,执行步骤M);
M)校验通过后,返回数据,成功登录目标系统。
在本发明所述的基于代理的特权凭证认证保护方法中,所述步骤J)中的校验具体为:请求程序带着凭证认证密码token进行验证。
在本发明所述的基于代理的特权凭证认证保护方法中,用户通过登录到远程计算机或通过代理计算机打开所述目标系统。
本发明还涉及一种实现上述基于代理的特权凭证认证保护方法的装置,包括:
会话连接请求单元:用于使运维人员发起远程会话连接请求;
账号查找连接单元:用于在特权WEB门户上找到相应账号点击连接;
特权会话调用单元:用于调用特权会话管理器;
密码调取单元:用于使所述特权会话管理器根据相应账号信息从密码保险库中调取密码;
密码返回单元:用于使所述密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token;
初始化单元:用于进行初始化;
密码输入判断单元:用于判断是否需要输入目标资源账号的凭证认证密码token;
手工输入密码单元:用于手工输入目标资源账号的凭证认证密码token;
密码代填单元:用于自动代填目标资源账号的凭证认证密码token;
校验判断单元:用于判断是否校验通过;
错误信息返回单元:用于返回错误信息;
监控审计单元:用于使所述特权会话管理器对用户的行为进行监控和审计;
成功登录单元:用于校验通过后,返回数据,成功登录目标系统。
在本发明所述的装置中,所述校验判断单元中的校验具体为:请求程序带着凭证认证密码token进行验证。
在本发明所述的装置中,用户通过登录到远程计算机或通过代理计算机打开所述目标系统。
实施本发明的基于代理的特权凭证认证保护方法及装置,具有以下有益效果:对比传统的token认证,本发明采用特权会话管理模块的管理方式,使用户能够登录到远程(目标)计算机或通过代理计算机安全地打开应用程序;目标系统上已建立的会话是完全隔离的,特权帐户凭据永远不会公开给最终用户或他们的客户机应用程序和设备,使得特权账号认证凭证安全,并为登录的资源的所有IT管理员特权会话创建详细的会话审计和视频记录,从而更好地去保护、控制和监视对特权账号的访问;因此本发明使得特权账号认证凭证安全,能更好地去保护、控制和监视对特权账号的访问。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为传统特权凭证的保护的流程图;
图2为本发明基于代理的特权凭证认证保护方法及装置一个实施例中方法的流程图;
图3为所述实施例中装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明基于代理的特权凭证认证保护方法及装置实施例中,其基于代理的特权凭证认证保护方法的流程图如图1所示。图1中,该基于代理的特权凭证认证保护方法包括如下步骤:
步骤S01运维人员发起远程会话连接请求:本步骤中,运维人员发起远程会话连接请求。
步骤S02在特权WEB门户上找到相应账号点击连接:本步骤中,在特权WEB门户上找到相应账号点击连接。
步骤S03调用特权会话管理器:本步骤中,调用特权会话管理器。执行完本步骤,执行步骤S04、步骤S06或步骤S12。
步骤S04特权会话管理器根据相应账号信息从密码保险库中调取密码:本步骤中,特权会话管理器根据相应账号信息从密码保险库中调取密码。执行完本步骤,执行步骤S05。
步骤S05密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token:本步骤中,密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token。凭证认证密码token具有安全性、时效性,并返回请求。执行完本步骤,执行步骤S06。
步骤S06进行初始化:本步骤中,进行init初始化。执行完本步骤,执行步骤S07。
步骤S07判断是否需要输入目标资源账号的凭证认证密码token:本步骤中,判断是否需要输入目标资源账号的凭证认证密码token,如果判断的结果为是,则执行步骤S08;否则,执行步骤S09。
步骤S08手工输入目标资源账号的凭证认证密码token:如果上述步骤S07的判断结果为是,则执行本步骤。本步骤中,通过人工手工输入目标资源账号的凭证认证密码token。执行完本步骤,执行步骤S10。
步骤S09自动代填目标资源账号的凭证认证密码token:如果上述步骤S07的判断结果为否,则执行本步骤。本步骤中,凭证认证密码token不会落在前端,并且实现自动代填目标资源账号的凭证认证密码token。执行完本步骤,执行步骤S10。
步骤S10判断是否校验通过:本步骤中,请求程序带着凭证认证密码token进行验证,换言之,请求程序带着凭证认证密码token进行校验,并判断是否校验通过,如果判断的结果为是,则执行步骤S13;否则,执行步骤S11。
步骤S11返回错误信息:如果上述步骤S10的判断结果为否,则执行本步骤。本步骤中,返回错误信息。
步骤S12特权会话管理器对用户的行为进行监控和审计:本步骤中,特权会话管理器对用户的行为进行监控和审计。执行完本步骤,执行步骤S13。
步骤S13校验通过后,返回数据,成功登录目标系统:本步骤中,校验通过后,返回数据,成功登录目标系统。用户可通过登录到远程计算机或通过代理计算机打开目标系统。
对比传统的token认证,本发明的基于代理的特权凭证认证保护方法采用了特权会话管理模块的管理方式,使用户能够登录到远程(目标)计算机或通过代理计算机安全地打开应用程序。目标系统上已建立的会话是完全隔离的,特权帐户凭据永远不会公开给最终用户或他们的客户机应用程序和设备,使得特权账号认证凭证安全,并为登录的资源的所有IT管理员特权会话创建详细的会话审计和视频记录,从而更好地去保护、控制和监视对特权账号的访问。
本发明还涉及一种实现上述基于代理的特权凭证认证保护方法的装置,该装置的结构示意图如图3所示。图3中,该装置包括会话连接请求单元1、账号查找连接单元2、特权会话调用单元3、密码调取单元4、密码返回单元5、初始化单元6、密码输入判断单元7、手工输入密码单元8、密码代填单元9、校验判断单元10、错误信息返回单元11、监控审计单元12和成功登录单元13。
其中,会话连接请求单元1用于使运维人员发起远程会话连接请求;账号查找连接单元2用于在特权WEB门户上找到相应账号点击连接;特权会话调用单元3用于调用特权会话管理器;密码调取单元4用于使特权会话管理器根据相应账号信息从密码保险库中调取密码;密码返回单元5用于使密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token。
初始化单元6用于进行初始化;密码输入判断单元7用于判断是否需要输入目标资源账号的凭证认证密码token;手工输入密码单元8用于手工输入目标资源账号的凭证认证密码token;密码代填单元9用于自动代填目标资源账号的凭证认证密码token。
校验判断单元10用于判断是否校验通过;校验判断单元10中的校验具体为:请求程序带着凭证认证密码token进行验证。
错误信息返回单元11用于返回错误信息;监控审计单元12用于使特权会话管理器对用户的行为进行监控和审计。成功登录单元13用于校验通过后,返回数据,成功登录目标系统。用户通过登录到远程计算机或通过代理计算机打开目标系统。
对比传统的token认证,本发明的装置采用了特权会话管理模块的管理方式,使用户能够登录到远程(目标)计算机或通过代理计算机安全地打开应用程序。目标系统上已建立的会话是完全隔离的,特权帐户凭据永远不会公开给最终用户或他们的客户机应用程序和设备,使得特权账号认证凭证安全,并为登录的资源的所有IT管理员特权会话创建详细的会话审计和视频记录,从而更好地去保护、控制和监视对特权账号的访问。
总之,本发明通过特权账号管理器,使用户能够登录到远程目标计算机或通过代理计算机安全地打开应用程序。目标系统上已建立的会话是完全隔离的,特权帐户凭据永远不会公开给最终用户或他们的客户机应用程序和设备。因此本发明使得特权账号认证凭证安全,能更好地去保护、控制和监视对特权账号的访问。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于代理的特权凭证认证保护方法,其特征在于,包括如下步骤:
A)运维人员发起远程会话连接请求;
B)在特权WEB门户上找到相应账号点击连接;
C)调用特权会话管理器,执行步骤D)、步骤F)或步骤L);
D)所述特权会话管理器根据相应账号信息从密码保险库中调取密码,执行步骤E);
E)所述密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token,执行步骤F);
F)进行初始化,执行步骤G);
G)判断是否需要输入目标资源账号的凭证认证密码token,如是,执行步骤H);否则,执行步骤I);
H)手工输入目标资源账号的凭证认证密码token,执行步骤J);
I)自动代填目标资源账号的凭证认证密码token,执行步骤J);
J)判断是否校验通过,如是,执行步骤M);否则,执行步骤K);
K)返回错误信息;
L)所述特权会话管理器对用户的行为进行监控和审计,执行步骤M);
M)校验通过后,返回数据,成功登录目标系统。
2.根据权利要求1所述的基于代理的特权凭证认证保护方法,其特征在于,所述步骤J)中的校验具体为:请求程序带着凭证认证密码token进行验证。
3.根据权利要求1或2所述的基于代理的特权凭证认证保护方法,其特征在于,用户通过登录到远程计算机或通过代理计算机打开所述目标系统。
4.一种实现如权利要求1所述的基于代理的特权凭证认证保护方法的装置,其特征在于,包括:
会话连接请求单元:用于使运维人员发起远程会话连接请求;
账号查找连接单元:用于在特权WEB门户上找到相应账号点击连接;
特权会话调用单元:用于调用特权会话管理器;
密码调取单元:用于使所述特权会话管理器根据相应账号信息从密码保险库中调取密码;
密码返回单元:用于使所述密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token;
初始化单元:用于进行初始化;
密码输入判断单元:用于判断是否需要输入目标资源账号的凭证认证密码token;
手工输入密码单元:用于手工输入目标资源账号的凭证认证密码token;
密码代填单元:用于自动代填目标资源账号的凭证认证密码token;
校验判断单元:用于判断是否校验通过;
错误信息返回单元:用于返回错误信息;
监控审计单元:用于使所述特权会话管理器对用户的行为进行监控和审计;
成功登录单元:用于校验通过后,返回数据,成功登录目标系统。
5.根据权利要求4所述的装置,其特征在于,所述校验判断单元中的校验具体为:请求程序带着凭证认证密码token进行验证。
6.根据权利要求4或5所述的装置,其特征在于,用户通过登录到远程计算机或通过代理计算机打开所述目标系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910770083.5A CN110602054A (zh) | 2019-08-20 | 2019-08-20 | 基于代理的特权凭证认证保护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910770083.5A CN110602054A (zh) | 2019-08-20 | 2019-08-20 | 基于代理的特权凭证认证保护方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110602054A true CN110602054A (zh) | 2019-12-20 |
Family
ID=68854636
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910770083.5A Pending CN110602054A (zh) | 2019-08-20 | 2019-08-20 | 基于代理的特权凭证认证保护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110602054A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800479A (zh) * | 2020-06-15 | 2020-10-20 | 广州海颐信息安全技术有限公司 | 特权会话微隔离及共享的方法及装置 |
CN111835732A (zh) * | 2020-06-24 | 2020-10-27 | 广州海颐信息安全技术有限公司 | 远程接入安全管理系统 |
CN112541192A (zh) * | 2020-12-09 | 2021-03-23 | 南京工业大学浦江学院 | 一种基于指纹保护凭证保险库的安全密码输入方法 |
CN115001800A (zh) * | 2022-05-30 | 2022-09-02 | 上海格尔安全科技有限公司 | 密码动态更换方法、装置、计算机设备和存储介质 |
CN115150168A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 代填方法、装置及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103841091A (zh) * | 2012-11-26 | 2014-06-04 | 中国移动通信集团公司 | 一种安全登录方法、装置及系统 |
CN104270334A (zh) * | 2014-06-13 | 2015-01-07 | 国家电网公司 | 一种ssh网络安全访问协议监测方法 |
-
2019
- 2019-08-20 CN CN201910770083.5A patent/CN110602054A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103841091A (zh) * | 2012-11-26 | 2014-06-04 | 中国移动通信集团公司 | 一种安全登录方法、装置及系统 |
CN104270334A (zh) * | 2014-06-13 | 2015-01-07 | 国家电网公司 | 一种ssh网络安全访问协议监测方法 |
Non-Patent Citations (1)
Title |
---|
海颐安全: "《海颐特权账号安全管理系统》", 11 December 2018 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800479A (zh) * | 2020-06-15 | 2020-10-20 | 广州海颐信息安全技术有限公司 | 特权会话微隔离及共享的方法及装置 |
CN111835732A (zh) * | 2020-06-24 | 2020-10-27 | 广州海颐信息安全技术有限公司 | 远程接入安全管理系统 |
CN112541192A (zh) * | 2020-12-09 | 2021-03-23 | 南京工业大学浦江学院 | 一种基于指纹保护凭证保险库的安全密码输入方法 |
CN112541192B (zh) * | 2020-12-09 | 2023-08-25 | 南京工业大学浦江学院 | 一种基于指纹保护凭证保险库的安全密码输入方法 |
CN115001800A (zh) * | 2022-05-30 | 2022-09-02 | 上海格尔安全科技有限公司 | 密码动态更换方法、装置、计算机设备和存储介质 |
CN115150168A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 代填方法、装置及电子设备 |
CN115150168B (zh) * | 2022-06-30 | 2023-12-01 | 北京天融信网络安全技术有限公司 | 代填方法及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2019206006B2 (en) | System and method for biometric protocol standards | |
Gou et al. | Analysis of various security issues and challenges in cloud computing environment: a survey | |
CN110602054A (zh) | 基于代理的特权凭证认证保护方法及装置 | |
US11290464B2 (en) | Systems and methods for adaptive step-up authentication | |
US20170286653A1 (en) | Identity risk score generation and implementation | |
US8065714B2 (en) | Methods and systems for securely managing virtualization platform | |
US8955067B2 (en) | System and method for providing controlled application programming interface security | |
US9614855B2 (en) | System and method for implementing a secure web application entitlement service | |
US8726339B2 (en) | Method and apparatus for emergency session validation | |
US9832184B2 (en) | Controls and administration of privileged accounts system | |
US11647026B2 (en) | Automatically executing responsive actions based on a verification of an account lineage chain | |
US8726341B2 (en) | Apparatus and method for determining resource trust levels | |
CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
US20230362263A1 (en) | Automatically Executing Responsive Actions Upon Detecting an Incomplete Account Lineage Chain | |
CN110737886A (zh) | 基于本地客户端工具进行特权运维活动的方法及装置 | |
US8584202B2 (en) | Apparatus and method for determining environment integrity levels | |
CN109639695A (zh) | 基于互信架构的动态身份认证方法、电子设备及存储介质 | |
US9159065B2 (en) | Method and apparatus for object security session validation | |
CN113114464B (zh) | 统一安全管理系统及身份认证方法 | |
US11870781B1 (en) | Enterprise access management system for external service providers | |
CN115834252B (zh) | 一种服务访问方法及系统 | |
US20240154968A1 (en) | Techniques for unifying multiple identity clouds | |
WO2024102216A1 (en) | Techniques for unifying multiple identity clouds | |
Oberoi et al. | Benefits and Risks of Cloud Computing | |
CN117675353A (zh) | 基于即时通信的身份验证方法、系统、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |
|
RJ01 | Rejection of invention patent application after publication |