CN110602126A - 特权账号群组同步改密的方法及装置 - Google Patents
特权账号群组同步改密的方法及装置 Download PDFInfo
- Publication number
- CN110602126A CN110602126A CN201910901766.XA CN201910901766A CN110602126A CN 110602126 A CN110602126 A CN 110602126A CN 201910901766 A CN201910901766 A CN 201910901766A CN 110602126 A CN110602126 A CN 110602126A
- Authority
- CN
- China
- Prior art keywords
- password
- privileged
- account
- unit
- account group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本发明公开了一种特权账号群组同步改密的方法,包括如下步骤:将若干个需要更改为同一密码的特权账号进行托管;创建一个特权账号群组,并关联托管的特权账号;创建密码策略;特权账号群组发起改密;密码同步模块随机生成一个符合密码策略的密码;特权账号群组中的成员使用生成的密码作为新密码,执行改密;判断改密是否成功,如是,完成特权账号群组的改密过程,特权账号群组中的成员统一用新密码;否则,改密失败,特权账号群组中的所有成员将当前密码退回至原始密码。本发明还涉及一种实现上述特权账号群组同步改密的方法的装置。实施本发明,具有以下有益效果:能确保群组成员密码统一、能保证整个集群或者自动化运维平台能正常运行。
Description
技术领域
本发明涉及IT安全领域,特别涉及一种特权账号群组同步改密的方法及装置。
背景技术
目前IT安全领域发展日新月异,不断变化。信息化安全防护手段越来越多,也越来越高级。但数据信息的最后一道防线,特权账号密码始终得不到有效保护与管理,攻击者依然能够通过合法的技术途径,进入企业内部网络,窃取有价值的数据。他们所用到的技巧,就是获知了被泄露的特权账号密码。这些高权限的账号,除了员工的个人账号之外,也包括企业或组织整个IT基础架构的底层系统账号以及应用内嵌账号。这些特权账号往往被人们所忽略,从而不受监控,最终成为了大多数攻击的突破口。
在企业IT环境中,为了高可用性通常会采用一些集群技术,比如Oracle RAC、Windows Cluster等,对于集群而言,必须在每一个节点设法保持密码同步,还有些自动化运维平台为了保证运维高效性,所有服务器必须采用同一密码。在更改节点密码时,传统方式是手动更改,当节点数量增加到一定量级时,人工管理已经无法满足,所以有些集群或自动化运维平台的节点密码可能长时间没有进行更改,无法满足企业的合规性要求,存在一定的风险。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能确保群组成员密码统一、能保证整个集群或者自动化运维平台能正常运行的特权账号群组同步改密的方法及装置。
本发明解决其技术问题所采用的技术方案是:构造一种特权账号群组同步改密的方法,包括如下步骤:
A)将若干个需要更改为同一密码的特权账号托管到特权账号安全管理系统;
B)创建一个特权账号群组,并关联托管的所述特权账号;
C)为所述特权账号群组创建密码策略;
D)所述特权账号群组发起改密;
E)密码同步模块随机生成一个符合所述密码策略的密码;
F)所述特权账号群组中的成员使用生成的所述密码作为新密码,执行改密;
G)判断改密是否成功,如是,执行步骤H);否则,执行步骤I);
H)完成特权账号群组的改密过程,所述特权账号群组中的成员统一用新密码;
I)改密失败,所述特权账号群组中的所有成员将当前密码退回至原始密码。
在本发明所述的特权账号群组同步改密的方法中,所述密码策略为密码复杂度。
在本发明所述的特权账号群组同步改密的方法中,所述特权账号安全管理系统包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
在本发明所述的特权账号群组同步改密的方法中,所述系统设置单元进一步包括:
账号策略模块:用于为账号管理单元提供所有特权账号的管理策略定制,并能提供插件化能力导入新的账号策略模板;
连接策略模块:用于为用户提供所有账号的单点登录时所需工具的统一定制发布;
门户设置模块:用于管理员设置平台自身门户功能参数;所述平台自身门户功能参数至少包括搜索范围定义和参数别名;
自编属性参数模块:用于管理员编制平台各功能所需的字典项;
所述账号策略模块、连接策略模块、门户设置模块和自编属性参数模块相互连接。
本发明还涉及一种实现上述特权账号群组同步改密的方法的装置,包括:
托管单元:用于将若干个需要更改为同一密码的特权账号托管到特权账号安全管理系统;
创建关联单元:用于创建一个特权账号群组,并关联托管的所述特权账号;
密码策略创建单元:用于为所述特权账号群组创建密码策略;
改密请求单元:用于使所述特权账号群组发起改密;
密码随机生成单元:密码同步模块随机生成一个符合所述密码策略的密码;
改密单元:用于使所述特权账号群组中的成员使用生成的所述密码作为新密码,执行改密;
改密判断单元:用于判断改密是否成功;
改密完成单元:用于完成特权账号群组的改密过程,所述特权账号群组中的成员统一用新密码;
密码退回单元:用于改密失败,所述特权账号群组中的所有成员将当前密码退回至原始密码。
在本发明所述的装置中,所述密码策略为密码复杂度。
实施本发明的特权账号群组同步改密的方法及装置,具有以下有益效果:由于采用了密码同步模块,将一组特权账号关联形成一个账号群组,当触发改密时,密码同步模块随机为账号群组生成一个统一的密码,所有群组成员以此密码作为新密码执行改密,只有全部成员都改密成功才完成整个账号群组的改密,若任一成员改密失败,则回退至原密码,因此本发明能确保群组成员密码统一、能保证整个集群或者自动化运维平台正常运行。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明特权账号群组同步改密的方法及装置一个实施例中方法的流程图;
图2为所述实施例中特权账号安全管理系统的结构示意图;
图3为所述实施例中系统设置单元的结构示意图;
图4为所述实施例中装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明特权账号群组同步改密的方法及装置实施例中,其特权账号群组同步改密的方法的流程图如图1所示。图1中,该特权账号群组同步改密的方法包括如下步骤:
步骤S01将若干个需要更改为同一密码的特权账号托管到特权账号安全管理系统:本步骤中,将若干个或一批需要更改为同一密码的特权账号托管到特权账号安全管理系统。
图2为本实施例中特权账号安全管理系统的结构示意图;图2中,该特权账号安全管理系统包括相互连接的节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7;其中,节点管理单元1用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理。
账号管理单元2用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作。用户需要对新型账号凭证使用时,通过账号管理单元2的单点登录连接模块即可实施凭证不落地的安全使用。
访问控制单元3用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限。访问控制单元3的账号密码箱提供了新增、修改与管理账号密码箱能力,为账号存储提供逻辑独立空间。同时提供基于密码箱集合对用户、进行的访问使用授权。
会话监控单元4用于方便为用户对账号的单点登录过程实现录像、监控、拦截及审计。能提供快速查询会话、定位操作记录、实现会话干预、操作拦截等功能。
审计管理单元5用于为审计部门提供日志查询,该日志查询至少包括账号的使用与管理和平台自身变更的日志查询。换言之,审计管理单元5为审计部门提供账号使用与管理、平台自身变更等维度的日志查询。其日志内容满足账号操作轨迹回溯、用户行为分析之用。
审批管理单元6用于为用户提供一事一审的账号使用流程审批能力。审批流程可以指定审批人、操作内容、时间窗口、原因等因素。且审批管理单元具备插件化扩展能力,满足对接外部工单系统平台需求。
系统设置单元7用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数等能力。该系统设置单元7主要与账号管理单元2进行互相连接。
通过设置节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7,能够自动化管理企业的特权账号,且能让用户在不接触密码的前提下进行单点登录使用,同时还能针对云、DevOps、容器化等环境下的特权账号做灵活的、插件式的账号管理。
图3为本实施例中系统设置单元的结构示意图;图3中,该系统设置单元7进一步包括相互连接的账号策略模块71、连接策略模块72、门户设置模块73和自编属性参数模块74;账号策略模块71、连接策略模块72、自编属性参数模块74和账号管理单元2相互连接。
其中,账号策略模块71用于为账号管理单元2提供所有特权账号的管理策略定制,并能提供插件化能力导入新的账号策略模板,满足用户自开发、新型账号类型的管理需求。账号策略模块71用于管理员自定义账号管理相关策略参数,并提供基于插件化导入、自助开发调试等服务。
连接策略模块72用于为用户提供所有账号的单点登录时所需工具的统一定制发布,虽然账号密码已经被管理起来,但面对用户使用的需求,依然需要专门的工具定制发布能力模块,来提供服务,防止账号密码落地至用户手上。连接策略模块72还用于管理员自定义与发布单点登录相关能力的策略参数,并提供基于插件化导入、自助开发调试等服务。
门户设置模块73用于管理员设置平台自身门户功能参数,如:一些搜索范围定义和参数别名等。自编属性参数模块74用于管理员编制平台各功能所需的字典项。
步骤S02创建一个特权账号群组,并关联托管的特权账号:本步骤中,创建一个特权账号群组,并关联步骤S01中托管的特权账号。
步骤S03为特权账号群组创建密码策略:本步骤中,为特权账号群组创建密码策略,如:密码复杂度。当然,在实际应用中,密码策略也可以是除密码复杂度之外的其他策略。
步骤S04特权账号群组发起改密:本步骤中,整个特权账号群组发起改密请求。
步骤S05密码同步模块随机生成一个符合密码策略的密码:本步骤中,调用密码同步模块随机生成一个符合密码策略的密码,换言之,调用密码同步模块随机生成一个符合密码复杂度的密码。
步骤S06特权账号群组中的成员使用生成的密码作为新密码,执行改密:本步骤中,特权账号群组中的成员使用步骤S05中生成的密码作为新密码,执行改密(修改密码)操作。
步骤S07判断改密是否成功:本步骤中,判断改密是否成功,如果判断的结果为是,则执行步骤S08;否则,执行步骤S09。
步骤S08完成特权账号群组的改密过程,特权账号群组中的成员统一用新密码:本步骤中,完成整个特权账号群组的改密过程,特权账号群组中的成员统一用新密码。
步骤S09改密失败,特权账号群组中的所有成员将当前密码退回至原始密码:本步骤中,任一成员改密失败,特权账号群组中的所有成员将当前密码退回至原始密码。
本发明的特权账号群组同步改密的方法采用了密码同步模块,将一组特权账号关联形成一个账号群组,当触发改密时,密码同步模块随机为账号群组生成一个统一的密码,所有群组成员以此密码为新密码执行改密,只有全部成员都改密成功才完成整个账号群组的改密,若任一成员改密失败,则回退至原密码,确保该群组成员密码统一,保证了整个集群或者自动化运维平台能正常运行。
本实施例还涉及一种实现上述特权账号群组同步改密的方法的装置,该装置的结构示意图如图4所示。图4中,该装置包括托管单元10、创建关联单元20、密码策略创建单元30、改密请求单元40、密码随机生成单元50、改密单元60、改密判断单元70、改密完成单元80和密码退回单元90。
其中,托管单元10用于将若干个需要更改为同一密码的特权账号托管到特权账号安全管理系统;创建关联单元20用于创建一个特权账号群组,并关联托管的特权账号;密码策略创建单元30用于为特权账号群组创建密码策略;该密码策略可以为密码复杂度,也可以是除密码复杂度之外的其他密码策略。
改密请求单元40用于使特权账号群组发起改密;密码随机生成单元50密码同步模块随机生成一个符合密码策略的密码;改密单元60用于使特权账号群组中的成员使用生成的密码作为新密码,执行改密;改密判断单元70用于判断改密是否成功;改密完成单元80用于完成特权账号群组的改密过程,特权账号群组中的成员统一用新密码;密码退回单元90用于改密失败,特权账号群组中的所有成员将当前密码退回至原始密码。
本发明的装置采用了密码同步模块,将一组特权账号关联形成一个账号群组,当触发改密时,密码同步模块随机为账号群组生成一个统一的密码,所有群组成员以此密码为新密码执行改密,只有全部成员都改密成功才完成整个账号群组的改密,若任一成员改密失败,则回退至原密码,确保该群组成员密码统一,保证了整个集群或者自动化运维平台能正常运行。
总之,本发明采用密码同步的方法将一组特权账号密码更改为同一密码,实现账号群组使用同一密码。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种特权账号群组同步改密的方法,其特征在于,包括如下步骤:
A)将若干个需要更改为同一密码的特权账号托管到特权账号安全管理系统;
B)创建一个特权账号群组,并关联托管的所述特权账号;
C)为所述特权账号群组创建密码策略;
D)所述特权账号群组发起改密;
E)密码同步模块随机生成一个符合所述密码策略的密码;
F)所述特权账号群组中的成员使用生成的所述密码作为新密码,执行改密;
G)判断改密是否成功,如是,执行步骤H);否则,执行步骤I);
H)完成特权账号群组的改密过程,所述特权账号群组中的成员统一用新密码;
I)改密失败,所述特权账号群组中的所有成员将当前密码退回至原始密码。
2.根据权利要求1所述的特权账号群组同步改密的方法,其特征在于,所述密码策略为密码复杂度。
3.根据权利要求1所述的特权账号群组同步改密的方法,其特征在于,所述特权账号安全管理系统包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
4.根据权利要求2所述的特权账号群组同步改密的方法,其特征在于,所述系统设置单元进一步包括:
账号策略模块:用于为账号管理单元提供所有特权账号的管理策略定制,并能提供插件化能力导入新的账号策略模板;
连接策略模块:用于为用户提供所有账号的单点登录时所需工具的统一定制发布;
门户设置模块:用于管理员设置平台自身门户功能参数;所述平台自身门户功能参数至少包括搜索范围定义和参数别名;
自编属性参数模块:用于管理员编制平台各功能所需的字典项;
所述账号策略模块、连接策略模块、门户设置模块和自编属性参数模块相互连接。
5.一种实现如权利要求1所述的特权账号群组同步改密的方法的装置,其特征在于,包括:
托管单元:用于将若干个需要更改为同一密码的特权账号托管到特权账号安全管理系统;
创建关联单元:用于创建一个特权账号群组,并关联托管的所述特权账号;
密码策略创建单元:用于为所述特权账号群组创建密码策略;
改密请求单元:用于使所述特权账号群组发起改密;
密码随机生成单元:密码同步模块随机生成一个符合所述密码策略的密码;
改密单元:用于使所述特权账号群组中的成员使用生成的所述密码作为新密码,执行改密;
改密判断单元:用于判断改密是否成功;
改密完成单元:用于完成特权账号群组的改密过程,所述特权账号群组中的成员统一用新密码;
密码退回单元:用于改密失败,所述特权账号群组中的所有成员将当前密码退回至原始密码。
6.根据权利要求5所述的特权账号群组同步改密的方法的装置,其特征在于,所述密码策略为密码复杂度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910901766.XA CN110602126A (zh) | 2019-09-23 | 2019-09-23 | 特权账号群组同步改密的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910901766.XA CN110602126A (zh) | 2019-09-23 | 2019-09-23 | 特权账号群组同步改密的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110602126A true CN110602126A (zh) | 2019-12-20 |
Family
ID=68862566
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910901766.XA Pending CN110602126A (zh) | 2019-09-23 | 2019-09-23 | 特权账号群组同步改密的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110602126A (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103259689A (zh) * | 2013-06-08 | 2013-08-21 | 山东瑞宁信息技术有限公司 | 一种对设备进行密码变更以及发生故障后密码恢复的方法 |
CN107423638A (zh) * | 2017-08-02 | 2017-12-01 | 成都安恒信息技术有限公司 | 一种基于命令探测式修改密码的密码管理系统及使用方法 |
-
2019
- 2019-09-23 CN CN201910901766.XA patent/CN110602126A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103259689A (zh) * | 2013-06-08 | 2013-08-21 | 山东瑞宁信息技术有限公司 | 一种对设备进行密码变更以及发生故障后密码恢复的方法 |
CN107423638A (zh) * | 2017-08-02 | 2017-12-01 | 成都安恒信息技术有限公司 | 一种基于命令探测式修改密码的密码管理系统及使用方法 |
Non-Patent Citations (2)
Title |
---|
尚思卓越(北京)科技有限公司: "《尚思特权账号管理平台技术白皮书》", 30 June 2018 * |
烟台海颐软件股份有限公司: "《海颐特权账号安全管理系统白皮书》", 31 August 2015 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10002152B2 (en) | Client computer for updating a database stored on a server via a network | |
US10055561B2 (en) | Identity risk score generation and implementation | |
CN110543464B (zh) | 一种应用于智慧园区的大数据平台及操作方法 | |
US9558366B2 (en) | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method | |
US10250613B2 (en) | Data access method based on cloud computing platform, and user terminal | |
CN103095720B (zh) | 一种基于会话管理服务器的云存储系统的安全管理方法 | |
CN108632241B (zh) | 一种多应用系统统一登录方法和装置 | |
US11038835B2 (en) | Systems and methods for managing domain name information | |
CN101827101A (zh) | 基于可信隔离运行环境的信息资产保护方法 | |
CN107145531B (zh) | 分布式文件系统及分布式文件系统的用户管理方法 | |
US11552948B1 (en) | Domain management intermediary service | |
CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
Kuzminykh et al. | Comparative analysis of cryptographic key management systems | |
CN110189440A (zh) | 一种基于区块链的智能锁监管设备及其方法 | |
CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
CN110708298A (zh) | 集中管理动态实例身份和访问的方法及装置 | |
CN110572279A (zh) | 特权账号安全管理系统 | |
CN110602126A (zh) | 特权账号群组同步改密的方法及装置 | |
CN116438778A (zh) | 承担的替代身份的持久源值 | |
CN107612917B (zh) | 云计算环境下对日志存储使用3des加密算法加密的方法 | |
Ghani et al. | Cloud storage architecture: research challenges and opportunities | |
Bin et al. | Research of fine grit access control based on time in cloud computing | |
US11741216B1 (en) | Credential revocation leveraging private keys on keystores read by provisioned devices | |
US11074363B2 (en) | Selective and total query redaction | |
US20220272128A1 (en) | Zero-trust decentralized cybersecurity architecture for endpoint devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |