CN110717176A - 可在线更改应用内嵌特权账号的方法及装置 - Google Patents

Abstract

本发明公开了一种可在线更改应用内嵌特权账号的方法及装置，方法包括如下步骤：A)对托管进特权账号安全管理系统的应用/脚本进行使用或者访问；B)当应用内嵌的特权账号密码已到修改日期时，触发更改密码的流程；C)应用内部调用在线动态取密模块的SDK获取密码；D)在线动态取密模块校验应用/脚本的合法性，判断校验是否成功，如是，执行步骤E)；否则，执行步骤F)；E)特权账号安全管理系统返回特权账号密码给在线动态取密模块；F)特权账号安全管理系统返回错误码给在线动态取密模块。实施本发明的可在线更改应用内嵌特权账号的方法及装置，具有以下有益效果：能解决应用内嵌特权账号的无法在线更改的问题，并保证调用的安全性。

Description

可在线更改应用内嵌特权账号的方法及装置

技术领域

本发明涉及特权账号安全管理领域，特别涉及一种可在线更改应用内嵌特权账号的方法及装置。

背景技术

目前IT安全领域发展日新月异，不断变化。信息化安全防护手段越来越多，也越来越高级。但数据信息的最后一道防线，特权账号密码始终得不到有效保护与管理，攻击者依然能够通过合法的技术途径，进入企业内部网络，窃取有价值的数据。他们所用到的技巧，就是获知了被泄露的特权账号密码。这些高权限的账号，除了员工的个人账号之外，也包括企业或组织整个IT基础架构的底层系统账号以及应用内嵌账号。这些特权账号往往被人们所忽略，从而不受监控，最终成为了大多数攻击的突破口。但管理者也是无可奈何，因为没有很好的自动化、可扩展和高可靠技术平台，能让他们从万级数量的账号管理工作中解放出来。导致总有高权限的账号密码被泄露，最终发生数据泄露事件。

特别是应用内嵌的特权账号因代码静态写死(诸如脚本等等)，更改密码需要修改代码甚至重新编译再发布，过程十分繁琐且需要开发、运维等等部门协力方可完成。从而应用内嵌的特权账号的密码无法定期修改，无法满足等保要求且容易被不法分子知悉从而导致数据泄露的安全事件。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种能解决应用内嵌特权账号的无法在线更改的问题，并保证调用的安全性的可在线更改应用内嵌特权账号的方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种可在线更改应用内嵌特权账号的方法，包括如下步骤：

A)对托管进特权账号安全管理系统的应用/脚本进行使用或者访问；

B)当所述应用内嵌的特权账号密码已到修改日期时，触发更改密码的流程；

C)所述应用内部调用在线动态取密模块的SDK获取密码；

D)所述在线动态取密模块校验应用/脚本的合法性，判断校验是否成功，如是，执行步骤E)；否则，执行步骤F)；

E)所述特权账号安全管理系统返回特权账号密码给所述在线动态取密模块；

F)所述特权账号安全管理系统返回错误码给所述在线动态取密模块。

在本发明所述的可在线更改应用内嵌特权账号的方法中，在所述步骤D)中，通过哈希、IP、用户和PKI认证的方式校验应用/脚本的合法性。

在本发明所述的可在线更改应用内嵌特权账号的方法中，所述特权账号安全管理系统包括：

节点管理单元：用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理；

账号管理单元：用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作；

访问控制单元：用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限；

会话监控单元：用于为用户对账号的单点登录过程实现录像、监控、拦截及审计；

审计管理单元：用于为审计部门提供日志查询，所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询；

审批管理单元：用于为用户提供一事一审的账号使用流程审批能力；

系统设置单元：用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数；

所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。

在本发明所述的可在线更改应用内嵌特权账号的方法中，所述账号管理单元进一步包括：

账号轮换模块：用于根据企业管理策略要求，对目标特权账号进行自动化的密码轮换管理；

内嵌依赖同步模块：用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码，不暴露密码，或者采取推送模式，定期推送新密码至硬编码配置上；

单点登录连接模块：用于为用户提供一键连接能力，且允许管理员为用户提供集中式发布的客户端工具，达到单点登录效果，最终让密码始终不落地用户端，实现持续性监控及审计能力；

细粒度分享模块：用于为用户提供基于账号级细粒度的分享能力；

所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。

本发明还涉及一种实现上述可在线更改应用内嵌特权账号的方法的装置，包括：

使用访问单元：用于对托管进特权账号安全管理系统的应用/脚本进行使用或者访问；

改密触发单元：用于当所述应用内嵌的特权账号密码已到修改日期时，触发更改密码的流程；

调用单元：用于使所述应用内部调用在线动态取密模块的SDK获取密码；

校验单元：用于使所述在线动态取密模块校验应用/脚本的合法性，判断校验是否成功；

校验成功单元：用于使所述特权账号安全管理系统返回特权账号密码给所述在线动态取密模块；

校验失败单元：用于使所述特权账号安全管理系统返回错误码给所述在线动态取密模块。

在本发明所述的装置中，在所述校验单元中，通过哈希、IP、用户和PKI认证的方式校验应用/脚本的合法性。

在本发明所述的装置中，所述特权账号安全管理系统包括：

节点管理单元：用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理；

账号管理单元：用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作；

访问控制单元：用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限；

会话监控单元：用于为用户对账号的单点登录过程实现录像、监控、拦截及审计；

审计管理单元：用于为审计部门提供日志查询，所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询；

审批管理单元：用于为用户提供一事一审的账号使用流程审批能力；

系统设置单元：用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数；

所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。

在本发明所述的装置中，所述账号管理单元进一步包括：

账号轮换模块：用于根据企业管理策略要求，对目标特权账号进行自动化的密码轮换管理；

内嵌依赖同步模块：用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码，不暴露密码，或者采取推送模式，定期推送新密码至硬编码配置上；

单点登录连接模块：用于为用户提供一键连接能力，且允许管理员为用户提供集中式发布的客户端工具，达到单点登录效果，最终让密码始终不落地用户端，实现持续性监控及审计能力；

细粒度分享模块：用于为用户提供基于账号级细粒度的分享能力；

所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。

实施本发明的可在线更改应用内嵌特权账号的方法及装置，具有以下有益效果：由于当应用内嵌的特权账号密码已到修改日期时，触发更改密码的流程；在线验证调用方的安全性，校验成功后然后再更改应用内嵌的特权账号密码，能够使得企业或组织的应用内嵌的特权账号密码可以得到定期的更改，本发明能解决应用内嵌特权账号的无法在线更改的问题，并保证调用的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明可在线更改应用内嵌特权账号的方法及装置一个实施例中方法的流程图；

图2为所述实施例中可在线更改应用内嵌特权账号的方法的流程框图；

图3为所述实施例中特权账号安全管理系统的结构示意图；

图4为所述实施例中账号管理单元的结构示意图；

图5为所述实施例中装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明可在线更改应用内嵌特权账号的方法及装置实施例中，其可在线更改应用内嵌特权账号的方法的流程图如图1所示。该可在线更改应用内嵌特权账号的方法的流程框图如图2所示。

图1中，该可在线更改应用内嵌特权账号的方法包括如下步骤：

步骤S01对托管进特权账号安全管理系统的应用/脚本进行使用或者访问：本步骤中，用户对托管进特权账号安全管理系统的应用/脚本进行使用或者访问。

图3为本实施例中特权账号安全管理系统的结构示意图；图3中，该特权账号安全管理系统包括相互连接的节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7；其中，节点管理单元1用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理。

账号管理单元2用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作。具体而言，针对需要进行密码自动化校验、改密甚至重置(找回密码)的特权账号类型繁多、内嵌至DevOps工具、代码、程序常见同时难以管理的问题。例如，持续集成工具Jenkins工具会内嵌云平台的开发访问密钥，意味着密钥容易暴露于工具配置中，且难以被审计使用情况，也不利于定期轮换密钥的维护工作。那么账号管理单元2都能很好地解决以上问题。另外，用户即人类需要对这些新型账号凭证使用时，通过账号管理单元2的单点登录连接模块即可实施凭证不落地的安全使用。

访问控制单元3用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限。访问控制单元3的账号密码箱提供了新增、修改与管理账号密码箱能力，为账号存储提供逻辑独立空间，密码箱。同时提供基于密码箱集合对用户、进行的访问使用授权。

会话监控单元4用于方便为用户对账号的单点登录过程实现录像、监控、拦截及审计。能提供快速查询会话、定位操作记录、实现会话干预、操作拦截等功能。

审计管理单元5用于为审计部门提供日志查询，该日志查询至少包括账号的使用与管理和平台自身变更的日志查询。换言之，审计管理单元5为审计部门提供账号使用与管理、平台自身变更等维度的日志查询。其日志内容满足账号操作轨迹回溯、用户行为分析之用。

审批管理单元6用于为用户提供一事一审的账号使用流程审批能力。审批流程可以指定审批人、操作内容、时间窗口、原因等因素。且审批管理单元具备插件化扩展能力，满足对接外部工单系统平台需求。

系统设置单元7用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数等能力。该系统设置单元7主要与账号管理单元2进行互相连接。

本发明通过设置节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7，能够自动化管理企业的特权账号，且能让用户在不接触密码的前提下进行单点登录使用，同时还能针对云、DevOps、容器化等环境下的特权账号做灵活的、插件式的账号管理。

图4为本实施例中账号管理单元的结构示意图；图4中，该账号管理单元2进一步包括相互连接的账号轮换模块21、内嵌依赖同步模块22、单点登录连接模块23和细粒度分享模块24；另外，账号轮换模块21、内嵌依赖同步模块22、单点登录连接模块23与系统设置单元7、节点管理单元1、审批管理单元6和审计管理单元5相互连接。

其中，账号轮换模块21用于根据企业管理策略要求，对目标特权账号进行自动化的密码轮换管理，如周期校验、改密，遇错自动重置等。账号轮换模块21根据定义的账号策略，实施对目标特权账号的账号密码自动轮换，且不限目标账号类型。目前支持账号类型已包含且不限于操作系统账号、数据库账号、网络安全设备账号、虚拟化控制台账号、云平台控制台账号、容器化管理员账号、DevOps工具控制台账号、应用中间件控制台账号(非操作系统账号)、开发接口程序访问密钥账号等等。

内嵌依赖同步模块22用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码，不暴露密码，或者采取推送模式，定期推送新密码至硬编码配置上。内嵌依赖同步模块22与账号轮换模块21互联，负责把账号轮换模块21中的账号主体实施同步推送至所需的内嵌依赖位置，如系统服务、配置文件、工具设置、数据库表项等中。同时，内嵌依赖同步模块22也能为程序代码中的内嵌密码代码提供相关开发语言包，取替代码中的明文密码，实现程序取密无需硬编码，且能审计、限制、隔离取密程序的身份合法性与安全性。

单点登录连接模块23用于为用户提供一键连接能力，且允许管理员为用户提供集中式发布的客户端工具，达到单点登录效果，最终让密码始终不落地用户端，提高安全性，而且，能实现持续性监控及审计能力。单点登录连接模块23为用户提供账号的一键单点登录服务，并能实现自定义登录工具的登录逻辑，具备文件上下传控制、文本复制粘贴控制、快速克隆连接等能力。

细粒度分享模块24用于为用户提供基于账号级细粒度的分享能力，灵活满足临时授权使用的需要。

步骤S02当应用内嵌的特权账号密码已到修改日期时，触发更改密码的流程：本步骤中，当应用内嵌的特权账号密码已到修改日期时，触发更改密码的流程。

步骤S03应用内部调用在线动态取密模块的SDK获取密码：本步骤中，应用内部调用在线动态取密模块的SDK获取密码。

步骤S04在线动态取密模块校验应用/脚本的合法性，判断校验是否成功：本步骤中，在线动态取密模块校验应用/脚本的合法性，判断校验是否成功，具体是通过哈希、IP、用户和PKI认证的方式校验应用/脚本的合法性，当校验的结果为是时，则执行步骤S05；否则，执行步骤S06。

步骤S05特权账号安全管理系统返回特权账号密码给在线动态取密模块：如果上述步骤S04的校验结果为是，则执行本步骤。本步骤中，特权账号安全管理系统返回更改后的特权账号密码给在线动态取密模块。

步骤S06特权账号安全管理系统返回错误码给在线动态取密模块：如果上述步骤S04的校验结果为否，则执行本步骤。本步骤中，特权账号安全管理系统返回错误码给在线动态取密模块。

对比目前企业或者组织长期不更换关应用内嵌的特权账号密码，本发明采用可在线更改应用内嵌特权账号的方法，每当托管进特权账号安全管理系统的应用内嵌的特权账号密码已到修改日期时，就触发更改密码的流程，在线验证调用方的安全性，校验成功后然后再更改应用内嵌的特权账号密码。采用了该可在线更改应用内嵌特权账号的方法后，能够使得企业或组织的应用内嵌的特权账号密码可以得到定期的更改，也可限制调用本方法和的来源方，使得调用安全性得到保障，既加强了企业或者组织的应用内嵌的特权账号的安全，又更好保证本方法的安全。

本实施例还涉及一种实现上述可在线更改应用内嵌特权账号的方法的装置，该装置的结构示意图如图5所示。图5中，该装置包括使用访问单元100、改密触发单元200、调用单元300、校验单元400、校验成功单元500和校验失败单元600；其中，使用访问单元100用于对托管进特权账号安全管理系统的应用/脚本进行使用或者访问；改密触发单元200用于当应用内嵌的特权账号密码已到修改日期时，触发更改密码的流程；调用单元300用于使应用内部调用在线动态取密模块的SDK获取密码；校验单元400用于使在线动态取密模块校验应用/脚本的合法性，判断校验是否成功，具体是通过哈希、IP、用户和PKI认证的方式校验应用/脚本的合法性。校验成功单元500用于使特权账号安全管理系统返回特权账号密码给在线动态取密模块；校验失败单元600用于使特权账号安全管理系统返回错误码给在线动态取密模块。

对比目前企业或者组织长期不更换关应用内嵌的特权账号密码，本发明采用可在线更改应用内嵌特权账号的装置，每当托管进特权账号安全管理系统的应用内嵌的特权账号密码已到修改日期时，就触发更改密码的流程，在线验证调用方的安全性，校验成功后然后再更改应用内嵌的特权账号密码。采用了该可在线更改应用内嵌特权账号的装置后，能够使得企业或组织的应用内嵌的特权账号密码可以得到定期的更改，也可限制调用本方法和的来源方，使得调用安全性得到保障，既加强了企业或者组织的应用内嵌的特权账号的安全，又更好保证本装置的安全。

总之，本发明提供一种可在线更改应用内嵌特权账号的方法和装置，解决了应用内嵌特权账号的无法在线更改问题，并保证调用的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种可在线更改应用内嵌特权账号的方法，其特征在于，包括如下步骤：

A)对托管进特权账号安全管理系统的应用/脚本进行使用或者访问；

B)当所述应用内嵌的特权账号密码已到修改日期时，触发更改密码的流程；

C)所述应用内部调用在线动态取密模块的SDK获取密码；

D)所述在线动态取密模块校验应用/脚本的合法性，判断校验是否成功，如是，执行步骤E)；否则，执行步骤F)；

E)所述特权账号安全管理系统返回特权账号密码给所述在线动态取密模块；

F)所述特权账号安全管理系统返回错误码给所述在线动态取密模块。

2.根据权利要求1所述的可在线更改应用内嵌特权账号的方法，其特征在于，在所述步骤D)中，通过哈希、IP、用户和PKI认证的方式校验应用/脚本的合法性。

3.根据权利要求1或2所述的可在线更改应用内嵌特权账号的方法，其特征在于，所述特权账号安全管理系统包括：

节点管理单元：用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理；

账号管理单元：用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作；

访问控制单元：用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限；

会话监控单元：用于为用户对账号的单点登录过程实现录像、监控、拦截及审计；

审计管理单元：用于为审计部门提供日志查询，所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询；

审批管理单元：用于为用户提供一事一审的账号使用流程审批能力；

系统设置单元：用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数；

所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。

4.根据权利要求3所述的可在线更改应用内嵌特权账号的方法，其特征在于，所述账号管理单元进一步包括：

账号轮换模块：用于根据企业管理策略要求，对目标特权账号进行自动化的密码轮换管理；

内嵌依赖同步模块：用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码，不暴露密码，或者采取推送模式，定期推送新密码至硬编码配置上；

单点登录连接模块：用于为用户提供一键连接能力，且允许管理员为用户提供集中式发布的客户端工具，达到单点登录效果，最终让密码始终不落地用户端，实现持续性监控及审计能力；

细粒度分享模块：用于为用户提供基于账号级细粒度的分享能力；

所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。

5.一种实现如权利要求1所述的可在线更改应用内嵌特权账号的方法的装置，其特征在于，包括：

使用访问单元：用于对托管进特权账号安全管理系统的应用/脚本进行使用或者访问；

改密触发单元：用于当所述应用内嵌的特权账号密码已到修改日期时，触发更改密码的流程；

调用单元：用于使所述应用内部调用在线动态取密模块的SDK获取密码；

校验单元：用于使所述在线动态取密模块校验应用/脚本的合法性，判断校验是否成功；

校验成功单元：用于使所述特权账号安全管理系统返回特权账号密码给所述在线动态取密模块；

校验失败单元：用于使所述特权账号安全管理系统返回错误码给所述在线动态取密模块。

6.根据权利要求5所述的装置，其特征在于，在所述校验单元中，通过哈希、IP、用户和PKI认证的方式校验应用/脚本的合法性。

7.根据权利要求5或6所述的装置，其特征在于，所述特权账号安全管理系统包括：

节点管理单元：用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理；

账号管理单元：用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作；

访问控制单元：用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限；

会话监控单元：用于为用户对账号的单点登录过程实现录像、监控、拦截及审计；

审计管理单元：用于为审计部门提供日志查询，所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询；

审批管理单元：用于为用户提供一事一审的账号使用流程审批能力；

系统设置单元：用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数；

所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。

8.根据权利要求7所述的装置，其特征在于，所述账号管理单元进一步包括：

账号轮换模块：用于根据企业管理策略要求，对目标特权账号进行自动化的密码轮换管理；

内嵌依赖同步模块：用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码，不暴露密码，或者采取推送模式，定期推送新密码至硬编码配置上；

单点登录连接模块：用于为用户提供一键连接能力，且允许管理员为用户提供集中式发布的客户端工具，达到单点登录效果，最终让密码始终不落地用户端，实现持续性监控及审计能力；

细粒度分享模块：用于为用户提供基于账号级细粒度的分享能力；

所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。

Images