CN110708298A - 集中管理动态实例身份和访问的方法及装置 - Google Patents
集中管理动态实例身份和访问的方法及装置 Download PDFInfo
- Publication number
- CN110708298A CN110708298A CN201910901759.XA CN201910901759A CN110708298A CN 110708298 A CN110708298 A CN 110708298A CN 201910901759 A CN201910901759 A CN 201910901759A CN 110708298 A CN110708298 A CN 110708298A
- Authority
- CN
- China
- Prior art keywords
- module
- management
- account
- unit
- dynamic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种集中管理动态实例身份和访问的方法及装置,方法包括:进行角色和权限定义;当动态实例产生时,令牌管理模块自动分发令牌,使用令牌向令牌管理模块进行注册,令牌管理模块赋予动态实例唯一非人类身份;动态实例使用其非人类身份,通过认证模块向密码保险库进行认证,密码保险会向非人类身份管理模块进行校验;审计模块记录动态实例的角色定义、权限管理、动态赋予非人类身份和访问特权账号过程,形成不可篡改的日志信息。本发明使企业或者组织的管理人员能更好的管理非人类身份的动态实例,不用通过手工方式一一统计并一一赋予非人类身份,确保权限不会造成滥用,既节省了企业或者组织的运维管理成本,又能够安全地访问特权账号。
Description
技术领域
本发明涉及特权账号安全管理领域,特别涉及一种集中管理动态实例身份和访问的方法及装置。
背景技术
随着当今IT技术的不断发展,越来越多的企业或者组织逐步采用了云,容器、微服务等DevOps技术,如通过云、容器、微服务可以创建大量或者短暂实例,以提高生产力和效率,从而为企业或者组织的DevOps团队或工程团队解决了诸多问题,带来极大便利。但是往往在带来便利的同时,都会引入一些安全问题,例如企业或者组织利用云、容器、微服务根据业务需求动态扩展或收缩实例,并且扩展收缩的实例的数量是未知的,有时候甚至连管理人员也不清楚这些实例的实际数量,这样就导致很难对这些动态实例赋予其唯一非人类身份,进而导致很难管控这些实例的权限。不像稳定的机器实例,如物理服务器,虚拟机等,可以手工赋予其非人类身份。最终也就导致不能对这些非人类身份的动态实例进行管理,造成了权限滥用,不能更好的保护特权账号。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种使企业或者组织的管理人员能更好的管理非人类身份的动态实例,不用通过手工方式一一统计并一一赋予非人类身份,确保权限不会造成滥用,既节省了企业或者组织的运维管理成本,又能够安全地访问特权账号的集中管理动态实例身份和访问的方法及装置。
本发明解决其技术问题所采用的技术方案是:构造一种集中管理动态实例身份和访问的方法,应用于特权账号安全管理系统,包括如下步骤:
A)根据企业、组织权限或安全合规性要求,由非人类身份管理模块对未产生的动态实例进行角色和权限定义;
B)将定义好的角色和权限信息应用于令牌管理模块,当动态实例产生时,所述令牌管理模块自动向所述动态实例分发令牌,当所述动态实例有访问特权账号需求时,使用分发的令牌向所述令牌管理模块进行注册,注册完成后,所述令牌管理模块根据由所述非人类身份管理模块定义好的角色和权限信息赋予其唯一非人类身份;
C)所述动态实例使用其非人类身份,通过认证模块向所述特权账号安全管理系统的密码保险库进行认证,所述密码保险库会根据其认证信息向所述非人类身份管理模块进行校验,判断是否校验通过,如是,执行步骤E);否则,执行步骤D);
D)拒绝访问密码;
E)成功访问密码,执行步骤F);
F)审计模块记录所述动态实例的角色定义、权限管理、动态赋予非人类身份和访问特权账号过程,最终形成不可篡改的日志信息。
在本发明所述的集中管理动态实例身份和访问的方法中,所述特权账号安全管理系统包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
在本发明所述的集中管理动态实例身份和访问的方法中,所述账号管理单元进一步包括:
账号轮换模块:用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理;
内嵌依赖同步模块:用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上;
单点登录连接模块:用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,实现持续性监控及审计能力;
细粒度分享模块:用于为用户提供基于账号级细粒度的分享能力;
所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。
本发明还涉及一种实现上述集中管理动态实例身份和访问的方法的装置,包括:
角色权限定义单元:根据企业、组织权限或安全合规性要求,由非人类身份管理模块对未产生的动态实例进行角色和权限定义;
令牌分发单元:用于将定义好的角色和权限信息应用于令牌管理模块,当动态实例产生时,所述令牌管理模块自动向所述动态实例分发令牌,当所述动态实例有访问特权账号需求时,使用分发的令牌向所述令牌管理模块进行注册,注册完成后,所述令牌管理模块根据由所述非人类身份管理模块定义好的角色和权限信息赋予其唯一非人类身份;
认证校验单元:用于使所述动态实例使用其非人类身份,通过认证模块向所述特权账号安全管理系统的密码保险库进行认证,所述密码保险库会根据其认证信息向所述非人类身份管理模块进行校验,判断是否校验通过;
密码拒绝访问单元:用于拒绝访问密码;
成功访问密码单元:用于成功访问密码;
审计记录单元:用于使审计模块记录所述动态实例的角色定义、权限管理、动态赋予非人类身份和访问特权账号过程,最终形成不可篡改的日志信息。
在本发明所述的装置中,所述特权账号安全管理系统包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
在本发明所述的装置中,所述账号管理单元进一步包括:
账号轮换模块:用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理;
内嵌依赖同步模块:用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上;
单点登录连接模块:用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,实现持续性监控及审计能力;
细粒度分享模块:用于为用户提供基于账号级细粒度的分享能力;
所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。
实施本发明的集中管理动态实例身份和访问的方法及装置,具有以下有益效果:由于采用了动态赋予未知机器实例唯一身份的管理机制,为动态实例进行角色定义和权限细粒度划分,动态地为动态实例赋予唯一非人类身份,并进行审计管理,采用了这套管理机制后,本发明使企业或者组织的管理人员能更好的管理非人类身份的动态实例,不用通过手工方式一一统计并一一赋予非人类身份,确保权限不会造成滥用,既节省了企业或者组织的运维管理成本,又能够安全地访问特权账号的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明集中管理动态实例身份和访问的方法及装置一个实施例中方法的流程图;
图2为所述实施例中集中管理动态实例身份和访问的方法的流程框图;
图3为所述实施例中特权账号安全管理系统的结构示意图;
图4为所述实施例中账号管理单元的结构示意图;
图5为所述实施例中装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明集中管理动态实例身份和访问的方法及装置实施例中,其集中管理动态实例身份和访问的方法的流程图如图1所示。图2为本实施例中集中管理动态实例身份和访问的方法的流程框图。该集中管理动态实例身份和访问的方法应用于特权账号安全管理系统,该集中管理动态实例身份和访问的方法可以看成是一套机制,该机制中涉及到四个模块,可与企业或者组织的实例、特权账号管理系统的密码保险库进行对接。
这四个模块分别为非人类身份管理模块、令牌管理模块、认证模块和审计模块;其中,非人类身份管理模块主要负责非人类身份的角色定义和权限管理。令牌管理模块主要负责为动态实例颁发令牌,令牌可以根据需求设置时效性,或者赋予其他限制因素,防止被滥用;动态实例拿到该令牌后,便可以向该模块进行注册,从而该模块为实例赋予唯一非人类身份。认证模块主要负责用于根据身份管理模块定义好的权限角色向特权账号管理系统的密码保险库进行认证。审计模块主要负责对整个角色定义、权限管理、动态赋予非人类身份、访问特权账号等过程进行审计记录。
图1中,该集中管理动态实例身份和访问的方法包括如下步骤:
步骤S01根据企业、组织权限或安全合规性要求,由非人类身份管理模块对未产生的动态实例进行角色和权限定义:本步骤中,根据企业、组织权限或安全合规性要求,由非人类身份管理模块对未产生的动态实例进行角色和权限定义。
步骤S02将定义好的角色和权限信息应用于令牌管理模块,当动态实例产生时,令牌管理模块自动向动态实例分发令牌,当动态实例有访问特权账号需求时,使用分发的令牌向令牌管理模块进行注册,注册完成后,令牌管理模块根据由非人类身份管理模块定义好的角色和权限信息赋予其唯一非人类身份:本步骤中,将步骤S01中事先定义好的角色和权限信息应用于令牌管理模块,当动态实例产生时,令牌管理模块自动向动态实例分发令牌,当这些动态实例有访问特权账号需求时,使用分发的令牌向令牌管理模块进行注册,注册完成后,令牌管理模块根据由非人类身份管理模块提前定义好的角色和权限信息赋予其唯一非人类身份。
步骤S03动态实例使用其非人类身份,通过认证模块向特权账号安全管理系统的密码保险库进行认证,密码保险库会根据其认证信息向非人类身份管理模块进行校验,判断是否校验通过:本步骤中,动态实例使用其非人类身份,通过认证模块向特权账号安全管理系统的密码保险库进行认证,密码保险库会根据其认证信息向非人类身份管理模块进行校验,判断校验是否通过,如果判断的结果为是,则执行步骤S05;否则,执行步骤S04。
步骤S04拒绝访问密码:如果上述步骤S03的判断结果为否,则执行本步骤。本步骤中,拒绝访问密码。
步骤S05成功访问密码:如果上述步骤S03的判断结果为是,则执行本步骤。本步骤中,成功访问密码。执行完本步骤,执行步骤S06。
步骤S06审计模块记录动态实例的角色定义、权限管理、动态赋予非人类身份和访问特权账号过程,最终形成不可篡改的日志信息:本步骤中,审计模块记录动态实例的角色定义、权限管理、动态赋予非人类身份和访问特权账号过程,最终形成不可篡改的日志信息。
本发明的集中管理动态实例身份和访问的方法提供一种动态赋予未知机器实例唯一身份的管理机制,该机制属于特权账号安全管理系统的一部分,主要作用为对企业或者组织弹性伸缩出来的实例动态赋予唯一非人类身份,使其能够按照企业或者组织的安全机制要求合规地访问其特权账号。在整个动态赋予非人类身份、访问特权账号过程中,都会留下完整的日志记录,可用于企业或者组织的安全合规性审查。而现有技术中目前企业或者组织面对弹性伸缩的动态实例,很难赋予其唯一非人类身份,进而导致很难管控这些实例的权限,本发明的集中管理动态实例身份和访问的方法解决了这些问题。
图3为本实施例中特权账号安全管理系统的结构示意图,图3中,该特权账号安全管理系统包括相互连接的节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7;其中,节点管理单元1用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理。
账号管理单元2用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作。具体而言,针对需要进行密码自动化校验、改密甚至重置(找回密码)的特权账号类型繁多、内嵌至DevOps工具、代码、程序常见同时难以管理的问题。例如,持续集成工具Jenkins工具会内嵌云平台的开发访问密钥,意味着密钥容易暴露于工具配置中,且难以被审计使用情况,也不利于定期轮换密钥的维护工作。那么账号管理单元2都能很好地解决以上问题。另外,用户即人类需要对这些新型账号凭证使用时,通过账号管理单元2的单点登录连接模块即可实施凭证不落地的安全使用。
访问控制单元3用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限。访问控制单元3的账号密码箱提供了新增、修改与管理账号密码箱能力,为账号存储提供逻辑独立空间,密码箱。同时提供基于密码箱集合对用户、进行的访问使用授权。
会话监控单元4用于方便为用户对账号的单点登录过程实现录像、监控、拦截及审计。能提供快速查询会话、定位操作记录、实现会话干预、操作拦截等功能。
审计管理单元5用于为审计部门提供日志查询,该日志查询至少包括账号的使用与管理和平台自身变更的日志查询。换言之,审计管理单元5为审计部门提供账号使用与管理、平台自身变更等维度的日志查询。其日志内容满足账号操作轨迹回溯、用户行为分析之用。
审批管理单元6用于为用户提供一事一审的账号使用流程审批能力。审批流程可以指定审批人、操作内容、时间窗口、原因等因素。且审批管理单元具备插件化扩展能力,满足对接外部工单系统平台需求。
系统设置单元7用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数等能力。该系统设置单元7主要与账号管理单元2进行互相连接。
本发明通过设置节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7,能够自动化管理企业的特权账号,且能让用户在不接触密码的前提下进行单点登录使用,同时还能针对云、DevOps、容器化等环境下的特权账号做灵活的、插件式的账号管理。
图4为本实施例中账号管理单元的结构示意图,图4中,该账号管理单元2进一步包括相互连接的账号轮换模块21、内嵌依赖同步模块22、单点登录连接模块23和细粒度分享模块24;另外,账号轮换模块21、内嵌依赖同步模块22、单点登录连接模块23与系统设置单元7、节点管理单元1、审批管理单元6和审计管理单元5相互连接。
其中,账号轮换模块21用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理,如周期校验、改密,遇错自动重置等。账号轮换模块21根据定义的账号策略,实施对目标特权账号的账号密码自动轮换,且不限目标账号类型。目前支持账号类型已包含且不限于操作系统账号、数据库账号、网络安全设备账号、虚拟化控制台账号、云平台控制台账号、容器化管理员账号、DevOps工具控制台账号、应用中间件控制台账号(非操作系统账号)、开发接口程序访问密钥账号等等。
内嵌依赖同步模块22用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上。内嵌依赖同步模块22与账号轮换模块21互联,负责把账号轮换模块21中的账号主体实施同步推送至所需的内嵌依赖位置,如系统服务、配置文件、工具设置、数据库表项等中。同时,内嵌依赖同步模块22也能为程序代码中的内嵌密码代码提供相关开发语言包,取替代码中的明文密码,实现程序取密无需硬编码,且能审计、限制、隔离取密程序的身份合法性与安全性。
单点登录连接模块23用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,提高安全性,而且,能实现持续性监控及审计能力。单点登录连接模块23为用户提供账号的一键单点登录服务,并能实现自定义登录工具的登录逻辑,具备文件上下传控制、文本复制粘贴控制、快速克隆连接等能力。
细粒度分享模块24用于为用户提供基于账号级细粒度的分享能力,灵活满足临时授权使用的需要。
本实施例还涉及一种实现上述集中管理动态实例身份和访问的方法的装置,该装置的结构示意图如图5所示。图5中,该装置包括角色权限定义单元100、令牌分发单元200、认证校验单元300、密码拒绝访问单元400、成功访问密码单元500和审计记录单元600;其中,角色权限定义单元100根据企业、组织权限或安全合规性要求,由非人类身份管理模块对未产生的动态实例进行角色和权限定义;令牌分发单元200用于将定义好的角色和权限信息应用于令牌管理模块,当动态实例产生时,令牌管理模块自动向动态实例分发令牌,当动态实例访问特权账号需求时,使用分发的令牌向令牌管理模块进行注册,注册完成后,令牌管理模块根据由非人类身份管理模块定义好的角色和权限信息赋予其唯一非人类身份;认证校验单元300用于使动态实例使用其非人类身份,通过认证模块向特权账号安全管理系统的密码保险库进行认证,密码保险库会根据其认证信息向非人类身份管理模块进行校验,判断是否校验通过;密码拒绝访问单元400用于拒绝访问密码;成功访问密码单元500用于成功访问密码;审计记录单元600用于使审计模块记录动态实例的角色定义、权限管理、动态赋予非人类身份和访问特权账号过程,最终形成不可篡改的日志信息。
本发明的装置提供一种动态赋予未知机器实例唯一身份的管理机制,该机制属于特权账号安全管理系统的一部分,主要作用为对企业或者组织弹性伸缩出来的实例动态赋予唯一非人类身份,使其能够按照企业或者组织的安全机制要求合规地访问其特权账号。在整个动态赋予非人类身份、访问特权账号过程中,都会留下完整的日志记录,可用于企业或者组织的安全合规性审查。
总之,本发明提供一种动态赋予未知机器实例唯一身份的模块机制,更好地对非人类身份的弹性伸缩实例进行权限划分,角色定义等,进而保护企业或者组织的特权账号。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种集中管理动态实例身份和访问的方法,其特征在于,应用于特权账号安全管理系统,包括如下步骤:
A)根据企业、组织权限或安全合规性要求,由非人类身份管理模块对未产生的动态实例进行角色和权限定义;
B)将定义好的角色和权限信息应用于令牌管理模块,当动态实例产生时,所述令牌管理模块自动向所述动态实例分发令牌,当所述动态实例有访问特权账号需求时,使用分发的令牌向所述令牌管理模块进行注册,注册完成后,所述令牌管理模块根据由所述非人类身份管理模块定义好的角色和权限信息赋予其唯一非人类身份;
C)所述动态实例使用其非人类身份,通过认证模块向所述特权账号安全管理系统的密码保险库进行认证,所述密码保险库会根据其认证信息向所述非人类身份管理模块进行校验,判断是否校验通过,如是,执行步骤E);否则,执行步骤D);
D)拒绝访问密码;
E)成功访问密码,执行步骤F);
F)审计模块记录所述动态实例的角色定义、权限管理、动态赋予非人类身份和访问特权账号过程,最终形成不可篡改的日志信息。
2.根据权利要求1所述的集中管理动态实例身份和访问的方法,其特征在于,所述特权账号安全管理系统包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
3.根据权利要求2所述的集中管理动态实例身份和访问的方法,其特征在于,所述账号管理单元进一步包括:
账号轮换模块:用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理;
内嵌依赖同步模块:用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上;
单点登录连接模块:用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,实现持续性监控及审计能力;
细粒度分享模块:用于为用户提供基于账号级细粒度的分享能力;
所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。
4.一种实现如权利要求1所述的集中管理动态实例身份和访问的方法的装置,其特征在于,包括:
角色权限定义单元:根据企业、组织权限或安全合规性要求,由非人类身份管理模块对未产生的动态实例进行角色和权限定义;
令牌分发单元:用于将定义好的角色和权限信息应用于令牌管理模块,当动态实例产生时,所述令牌管理模块自动向所述动态实例分发令牌,当所述动态实例有访问特权账号需求时,使用分发的令牌向所述令牌管理模块进行注册,注册完成后,所述令牌管理模块根据由所述非人类身份管理模块定义好的角色和权限信息赋予其唯一非人类身份;
认证校验单元:用于使所述动态实例使用其非人类身份,通过认证模块向所述特权账号安全管理系统的密码保险库进行认证,所述密码保险库会根据其认证信息向所述非人类身份管理模块进行校验,判断是否校验通过;
密码拒绝访问单元:用于拒绝访问密码;
成功访问密码单元:用于成功访问密码;
审计记录单元:用于使审计模块记录所述动态实例的角色定义、权限管理、动态赋予非人类身份和访问特权账号过程,最终形成不可篡改的日志信息。
5.根据权利要求4所述的装置,其特征在于,所述特权账号安全管理系统包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
6.根据权利要求5所述的装置,其特征在于,所述账号管理单元进一步包括:
账号轮换模块:用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理;
内嵌依赖同步模块:用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上;
单点登录连接模块:用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,实现持续性监控及审计能力;
细粒度分享模块:用于为用户提供基于账号级细粒度的分享能力;
所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910901759.XA CN110708298A (zh) | 2019-09-23 | 2019-09-23 | 集中管理动态实例身份和访问的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910901759.XA CN110708298A (zh) | 2019-09-23 | 2019-09-23 | 集中管理动态实例身份和访问的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110708298A true CN110708298A (zh) | 2020-01-17 |
Family
ID=69194851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910901759.XA Pending CN110708298A (zh) | 2019-09-23 | 2019-09-23 | 集中管理动态实例身份和访问的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110708298A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111651737A (zh) * | 2020-04-26 | 2020-09-11 | 北京宏达隆和科技有限公司 | 一种程序账号密码安全管理系统 |
| CN115086045A (zh) * | 2022-06-17 | 2022-09-20 | 海南大学 | 基于声纹伪造检测的数据安全防护方法及装置 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020026592A1 (en) * | 2000-06-16 | 2002-02-28 | Vdg, Inc. | Method for automatic permission management in role-based access control systems |
| US20030037263A1 (en) * | 2001-08-08 | 2003-02-20 | Trivium Systems Inc. | Dynamic rules-based secure data access system for business computer platforms |
| US20090133100A1 (en) * | 2007-11-21 | 2009-05-21 | Jan Buchwald | Access control on dynamically instantiated portal applications |
| CN102495985A (zh) * | 2011-12-13 | 2012-06-13 | 桂林电子科技大学 | 一种基于动态描述逻辑的角色访问控制方法 |
| CN106302334A (zh) * | 2015-05-22 | 2017-01-04 | 中兴通讯股份有限公司 | 访问角色获取方法、装置及系统 |
| CN106302492A (zh) * | 2016-08-23 | 2017-01-04 | 唐山新质点科技有限公司 | 一种访问控制方法及系统 |
| CN107342992A (zh) * | 2017-06-27 | 2017-11-10 | 努比亚技术有限公司 | 一种系统权限管理方法、装置及计算机可读存储介质 |
| CN107835195A (zh) * | 2017-12-04 | 2018-03-23 | 灵动元点信息技术(北京)有限公司 | 一种分布式网络应用节点集成管理方法 |
| CN108009407A (zh) * | 2017-11-29 | 2018-05-08 | 华迪计算机集团有限公司 | 一种对系统用户权限进行分级管理的方法及系统 |
| US9971881B1 (en) * | 2017-05-02 | 2018-05-15 | Flexera Software Llc | License-based access control of computing resources |
| CN109257209A (zh) * | 2018-09-04 | 2019-01-22 | 山东浪潮云投信息科技有限公司 | 一种数据中心服务器集中管理系统及方法 |
| CN109286627A (zh) * | 2018-10-10 | 2019-01-29 | 四川长虹电器股份有限公司 | 基于双因子认证的身份认证方法 |
| CN109284839A (zh) * | 2018-10-25 | 2019-01-29 | 金税信息技术服务股份有限公司 | 云环境下移动运维管理平台安全运营及大数据应用系统 |
| CN109815683A (zh) * | 2018-12-29 | 2019-05-28 | 深圳云天励飞技术有限公司 | 权限验证方法及相关装置 |
-
2019
- 2019-09-23 CN CN201910901759.XA patent/CN110708298A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020026592A1 (en) * | 2000-06-16 | 2002-02-28 | Vdg, Inc. | Method for automatic permission management in role-based access control systems |
| US20030037263A1 (en) * | 2001-08-08 | 2003-02-20 | Trivium Systems Inc. | Dynamic rules-based secure data access system for business computer platforms |
| US20090133100A1 (en) * | 2007-11-21 | 2009-05-21 | Jan Buchwald | Access control on dynamically instantiated portal applications |
| CN102495985A (zh) * | 2011-12-13 | 2012-06-13 | 桂林电子科技大学 | 一种基于动态描述逻辑的角色访问控制方法 |
| CN106302334A (zh) * | 2015-05-22 | 2017-01-04 | 中兴通讯股份有限公司 | 访问角色获取方法、装置及系统 |
| CN106302492A (zh) * | 2016-08-23 | 2017-01-04 | 唐山新质点科技有限公司 | 一种访问控制方法及系统 |
| US9971881B1 (en) * | 2017-05-02 | 2018-05-15 | Flexera Software Llc | License-based access control of computing resources |
| CN107342992A (zh) * | 2017-06-27 | 2017-11-10 | 努比亚技术有限公司 | 一种系统权限管理方法、装置及计算机可读存储介质 |
| CN108009407A (zh) * | 2017-11-29 | 2018-05-08 | 华迪计算机集团有限公司 | 一种对系统用户权限进行分级管理的方法及系统 |
| CN107835195A (zh) * | 2017-12-04 | 2018-03-23 | 灵动元点信息技术(北京)有限公司 | 一种分布式网络应用节点集成管理方法 |
| CN109257209A (zh) * | 2018-09-04 | 2019-01-22 | 山东浪潮云投信息科技有限公司 | 一种数据中心服务器集中管理系统及方法 |
| CN109286627A (zh) * | 2018-10-10 | 2019-01-29 | 四川长虹电器股份有限公司 | 基于双因子认证的身份认证方法 |
| CN109284839A (zh) * | 2018-10-25 | 2019-01-29 | 金税信息技术服务股份有限公司 | 云环境下移动运维管理平台安全运营及大数据应用系统 |
| CN109815683A (zh) * | 2018-12-29 | 2019-05-28 | 深圳云天励飞技术有限公司 | 权限验证方法及相关装置 |
Non-Patent Citations (1)
| Title |
|---|
| GZHARDSHELL: "海颐特权账号安全管理系统白皮书", 《HTTPS://WENKU.BAIDU.COM/VIEW/EA199AC8F121DD36A32D82B1.HTML》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111651737A (zh) * | 2020-04-26 | 2020-09-11 | 北京宏达隆和科技有限公司 | 一种程序账号密码安全管理系统 |
| CN115086045A (zh) * | 2022-06-17 | 2022-09-20 | 海南大学 | 基于声纹伪造检测的数据安全防护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109643242B (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| CN105871914B (zh) | 客户关系管理系统访问控制方法 | |
| CN110661831B (zh) | 一种基于可信第三方的大数据试验场安全初始化方法 | |
| US11888856B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| US11552956B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
| CN102307114A (zh) | 一种网络的管理方法 | |
| CN114389894B (zh) | 权限控制方法、设备、存储介质及计算机程序产品 | |
| CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
| CN110717176A (zh) | 可在线更改应用内嵌特权账号的方法及装置 | |
| CN110708298A (zh) | 集中管理动态实例身份和访问的方法及装置 | |
| CN110474916A (zh) | 面向Web应用提供特权账号的方法及装置 | |
| CN113420320A (zh) | 一种数据共享场景下的区块链权限管理方法和系统 | |
| CN110708299A (zh) | 特权集中管理并实现动态主机互信认证的方法及装置 | |
| CN110572279A (zh) | 特权账号安全管理系统 | |
| KR100657554B1 (ko) | 데이터베이스 접근 및 권한 관리 강화 방법 | |
| EP3455769B1 (en) | Virtual smart cards with audit capability | |
| Sabharwal et al. | Getting started with vault | |
| CN111475802B (zh) | 权限的控制方法和装置 | |
| CN109802927A (zh) | 一种安全服务提供方法及装置 | |
| CN111064695A (zh) | 一种认证方法及认证系统 | |
| CN109905383A (zh) | 基于pmi的委托授权管理方法及装置 | |
| Dakic et al. | Linux Security in Physical, Virtual, and Cloud Environments | |
| He | Role security access control of the distributed object systems | |
| Huawei Technologies Co., Ltd. | Database Security Fundamentals |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200117 |