CN115001703A - 一种基于国密加密机的堡垒机安全提升方法 - Google Patents

一种基于国密加密机的堡垒机安全提升方法 Download PDF

Info

Publication number
CN115001703A
CN115001703A CN202210575485.1A CN202210575485A CN115001703A CN 115001703 A CN115001703 A CN 115001703A CN 202210575485 A CN202210575485 A CN 202210575485A CN 115001703 A CN115001703 A CN 115001703A
Authority
CN
China
Prior art keywords
machine
bastion
encryption
key
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210575485.1A
Other languages
English (en)
Other versions
CN115001703B (zh
Inventor
尹旦
马兴旺
唐卓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changsha Zhengtong Cloud Calculating Co ltd
Shenzhen Zhengtong Cloud Computing Co ltd
Shenzhen Zhengtong Electronics Co Ltd
Original Assignee
Changsha Zhengtong Cloud Calculating Co ltd
Shenzhen Zhengtong Cloud Computing Co ltd
Shenzhen Zhengtong Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changsha Zhengtong Cloud Calculating Co ltd, Shenzhen Zhengtong Cloud Computing Co ltd, Shenzhen Zhengtong Electronics Co Ltd filed Critical Changsha Zhengtong Cloud Calculating Co ltd
Priority to CN202210575485.1A priority Critical patent/CN115001703B/zh
Publication of CN115001703A publication Critical patent/CN115001703A/zh
Application granted granted Critical
Publication of CN115001703B publication Critical patent/CN115001703B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于国密加密机的堡垒机安全提升方法,其包括修改堡垒机所支持通信协议源码,增加密钥生成函数,调用国密加密机,获取SM2密钥对及私钥索引;堡垒机将资产信息与私钥索引、公钥信息进行组合后形成密钥文件;调用国密加密机对用户信息进行签名,将国密证书下发到UKEY中;读取国密证书,客户端对应用户发起登陆请求;建立用户‑堡垒机‑目标资产的通信连接。本发明通过在堡垒机所支持的通信协议的源码中增加对国密算法的支持,同时增加密钥生成函数来,使得用户‑堡垒机‑目标资产的通信连接过程中产生的密钥由国密加密机保存,同时国密加密机参与到堡垒机通信协议密钥交换,全程密钥不出加密机,具有极高的安全性。

Description

一种基于国密加密机的堡垒机安全提升方法
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于国密加密机的堡垒机安全提升方法。
背景技术
堡垒机是一个集核心系统运维和安全审计为一体的综合性运维管理平台。在特定的网络环境下,为了保障网络和数据不受外部或内部用户入侵和破坏,运用各种技术手段控制和记录运维人员对网络内服务器、网络设备、安全设备、数据库等设备的操作行为,实现资产管理、访问控制、网络审计、行为追溯等功能,可以有效的解决内部运维管理不善造成数据安全事故。
目前一部分堡垒机采用代理的方式实现对远程资产的访问,也就是用户通过登录堡垒机账号,获取到资产的权限,堡垒机调用保存在堡垒机数据库中的密钥访问资产。这种方式存在密钥泄露的风险,一旦堡垒机被攻破,所有的资产都会暴漏出来,存在巨大的安全隐患。
故亟需提供一种堡垒机安全提升方法来解决上述问题。
发明内容
基于此,本发明的目的在于提供一种基于国密加密机的堡垒机安全提升方法,使用国密加密机保存堡垒机资产密钥,并参与到堡垒机通信协议密钥交换,全程密钥不出国密加密机,有效提升了堡垒机私钥存储安全性和密钥协商安全性。
为解决上述技术问题,本发明采用以下技术方案:
本发明提供了一种基于国密加密机的堡垒机安全提升方法,其包括如下步骤:
步骤S110、修改堡垒机所支持通信协议源码,增加密钥生成函数,调用国密加密机,获取SM2密钥对及私钥索引;
步骤S120、堡垒机根据资产类型,将资产信息与私钥索引、公钥信息进行组合后形成密钥文件,将密钥文件添加到堡垒机中进行存储,禁用密码登陆的方式登陆到服务端;
步骤S130、堡垒机根据客户端对应的用户信息生成国密证书,调用国密加密机对用户信息进行签名,将国密证书下发到UKEY中;
步骤S140、读取UKEY内的国密证书,客户端对应用户发起登陆请求;
步骤S150、堡垒机生成挑战码,客户端利用UKEY对挑战码进行签名,将挑战码的签名数据返回给堡垒机;
步骤S160、堡垒机调用国密加密机对步骤S140中用户信息的签名数据进行验签,验签通过后堡垒机赋予客户端对应的用户登陆权限;
步骤S170、堡垒机向目标资产发送登录请求;
步骤S180、堡垒机根据目标资产信息调用国密加密机,通过国密加密机生成的SM2私钥对用户信息进行签名;
步骤S190、建立用户-堡垒机-目标资产的通信连接。
在其中一个实施例中,步骤S110的方法,具体操作包括:
步骤S111、修改LIBSSH2源码中的加密算法,增加对SM2、SM3、SM4国密算法的支持及将客户端密钥的生成过程修改为由堡垒机调用国密加密机生成;
步骤S112、修改LIBVNCSERVER源码,增加对SM2、SM3、SM4国密算法的支持及将客户端密钥的生成过程修改为由堡垒机调用国密加密机生成;
步骤S113、设备兼容层调用国密加密机,国密加密机生成SM2密钥对及私钥索引;其中,所述堡垒机中设置有设备兼容层及密钥管理工具,设备兼容层通过标准SDF接口来调用国密加密机;
步骤S114、国密加密机将私钥索引和公钥信息返回给堡垒机的设备兼容层。
在其中一个实施例中,所述步骤S114之后,还包括
步骤S115、设备兼容层将获取的私钥索引和公钥信息发送给堡垒机的密钥管理工具。
在其中一个实施例中,所述步骤S120的方法,具体操作为:
堡垒机的密钥管理工具将私钥索引、公钥信息与资产信息进行组合后形成密钥文件;
调用ansible运维工具,将密钥文件添加到堡垒机中进行存储;
禁用密码登录的方式登陆到服务端。
在其中一个实施例中,所述步骤禁用密码登录的方式登陆到服务端的方法,具体操作为:
在通信协议的服务端,通过修改对应通信协议文件中的配置PasswordAuthentication no,禁止采用密码登录。
在其中一个实施例中,所述步骤S130的方法,具体操作包括:
添加堡垒机客户端对应的用户信息;
堡垒机根据客户端对应的用户信息生成国密证书;
堡垒机调用国密加密机对用户信息进行签名;
堡垒机将国密证书发送到与客户端连接的UKEY中。
在其中一个实施例中,所述步骤S180的方法,具体操作为:
步骤S181、修改堡垒机上各个通讯协议对应源码中的加密算法文件,增加堡垒机上各个通讯协议对国密算法的支持;
步骤S182、堡垒机根据目标资产信息查找目标资产对应的私钥索引;
步骤S183、堡垒机通过JNI接口,把用户信息、公钥信息以及私钥索引发送给设备兼容层;
步骤S184、设备兼容层根据私钥索引,调用加机密对用户信息、公钥信息进行签名;
步骤S185、把用户信息、公钥信息对应的签名数据返回给堡垒机的设备兼容层。
在其中一个实施例中,所述步骤S181之后,还包括
步骤S186、基于预设的通讯协议,堡垒机利用DH算法和目标资产通过会话方式协商出使用SM4算法的会话密钥。
在其中一个实施例中,所述步骤S190的方法,包括以下步骤:
步骤S191、堡垒机发送用户信息、公钥信息对应的签名数据到目标资产;
步骤S192、目标资产调用国密加密机,实现对用户信息、公钥信息对应的签名数据的验签操作;
步骤S193、验签通过后,建立用户-堡垒机-目标资产的通信连接,完成客户端用户的登陆请求操作。
在其中一个实施例中,所述步骤S192之前,还包括
步骤S194、修改堡垒机上各个通讯协议对应源码中的加密算法文件,增加对国密加密机的调用操作。
综上所述,本发明提供的一种基于国密加密机的堡垒机安全提升方法通过在堡垒机所支持的通信协议的源码中增加对国密算法的支持,同时增加密钥生成函数来,使得用户-堡垒机-目标资产的通信连接过程中产生的密钥由国密加密机保存,同时国密加密机参与到堡垒机通信协议密钥交换,全程密钥不出加密机,具有极高的安全性。
附图说明
图1为本发明实施例提供的一种基于国密加密机的堡垒机安全提升方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例提供的一种基于国密加密机的堡垒机安全提升方法的流程示意图,如图1所示,一种基于国密加密机的堡垒机安全提升方法,包括如下步骤:
步骤S110、修改堡垒机所支持通信协议源码,增加密钥生成函数,调用国密加密机,获取SM2密钥对及私钥索引,其中,堡垒机所支持的通信协议可以为SSH、VNC或SFTP等通信协议,SM2密钥对包括SM2公钥及SM2私钥,由于私钥通过调用国密加密机获取,使得私钥不出国密加密机,使得堡垒机资产密钥保存更为安全,比传统的私钥直接暴漏在用户环境下具有更高的安全性。
所述步骤S110的方法,具体操作包括:
步骤S111、修改LIBSSH2源码中的加密算法,增加对SM2、SM3、SM4国密算法的支持及将客户端密钥的生成过程修改为由堡垒机调用国密加密机生成,从而使得在堡垒机所支持的SSH协议增加对SM2、SM3、SM4国密算法的支持,进而方便后续将密钥交换协议中的签名、验签等功能修改为由国密算法来实现;
步骤S112、修改LIBVNCSERVER源码,增加对SM2、SM3、SM4国密算法的支持及将客户端密钥的生成过程修改为由堡垒机调用国密加密机生成,从而使得堡垒机所支持的NVC协议增加对SM2、SM3、SM4国密算法的支持,进而方便后续将密钥交换协议中的签名、验签等功能修改为由国密算法来实现;
步骤S113、设备兼容层调用国密加密机,国密加密机生成SM2密钥对及私钥索引;其中,所述堡垒机中设置有设备兼容层及密钥管理工具,设备兼容层通过标准SDF接口来调用国密加密机,国密加密机接收设备兼容层发送过来的调用指令后,国密加密机生成对应指令的SM2密钥对及私钥索引,通过设备兼容层提供对国密加密机的调用;
步骤S114、国密加密机将私钥索引和公钥信息返回给堡垒机的设备兼容层,从而使得堡垒机的设备兼容层获取国密加密机生成的SM2密钥对及私钥索引。
在一个实施例中,所述步骤S114之后,还包括
步骤S115、设备兼容层将获取的私钥索引和公钥信息发送给堡垒机的密钥管理工具;密钥管理工具用于通过设备兼容层API来调用设备兼容层获取的各种信息,同时也方便对国密加密机生成的SM2密钥的生命周期进行管理,另外,利用设备兼容层API使得国密加密机可以通过各种通信协议将私钥索引及公钥信息发送给设备兼容层,保证私钥不出国密加密机,使得堡垒机资产密钥保存更为安全。
由于堡垒机中SSH、VNC、SFTP等通信协议本身不包含国密算法,通过修改SSH、VNC、SFTP等通信协议的源码,通过增加SM2-SM4密钥算法、SM3哈希算法等国密算法的支持,使得SSH、VNC、SFTP等通信协议直接支持国密算法,相较于其它在通信协议上增加二次验证的方法,更加可靠和便捷。
步骤S120、堡垒机根据资产类型,将资产信息与私钥索引、公钥信息进行组合后形成密钥文件,将密钥文件添加到堡垒机中进行存储,禁用密码登陆的方式登陆到服务端;其中,资产类型包括VNC主机、RDP主机或SSH主机等,资产信息包括资产的ip、用户名、主机序列号等主机信息,即VNC主机、RDP主机或SSH主机等主机对应的ip、用户名、主机序列号信息。
具体地,所述步骤S120的方法,具体操作为:
堡垒机的密钥管理工具将私钥索引、公钥信息与资产信息进行组合后形成密钥文件;
调用ansible等运维工具,将密钥文件添加到堡垒机中进行存储;
禁用密码登录的方式登陆到服务端;具体地,在通信协议的服务端,通过修改对应通信协议文件中的配置PasswordAuthentication no等,禁止采用密码登录,从而实现禁用密码登录的方式登陆到服务端,从而使得堡垒机与资产之间的通信通道只留下密钥协商这种登录方式。
步骤S130、堡垒机根据客户端对应的用户信息生成国密证书,调用国密加密机对用户信息进行签名,将国密证书下发到UKEY中;其中,用户信息指代为用户的身份证号、手机号或用户名等,所述UKEY用于登录堡垒机,实现堡垒机的二次验证,堡垒机在验证客户端对应的用户身份时,在输入用户名及密码的基础上,通过UKEY对国密证书进行验证,通过增加堡垒机对国密证书的下发,有效提升用户身份认证的安全性。
所述步骤S130的方法,具体操作包括:
添加堡垒机客户端对应的用户信息;
堡垒机根据客户端对应的用户信息生成国密证书;
堡垒机调用国密加密机对用户信息进行签名;
堡垒机将国密证书发送到与客户端连接的UKEY中。
步骤S140、读取UKEY内的国密证书,客户端对应用户发起登陆请求;为了安全性的考虑,防止UKEY丢失,UKEY一般都设置有密码,需要客户端对应的用户输入密码后,才能读取到UKEY内的国密证书,客户端对应用户进而向服务端发起登陆请求。
步骤S150、堡垒机生成挑战码,客户端利用UKEY对挑战码进行签名,将挑战码的签名数据返回给堡垒机。
步骤S160、堡垒机调用国密加密机对步骤S140中用户信息的签名数据进行验签,验签通过后堡垒机赋予客户端对应用户的登陆权限即堡垒机同意客户端对应用户进行登陆。
在堡垒机通信协议SSH、VNC、SFTP等通信过程中,涉及私钥的操作,如步骤S113中的国密加密机生成密钥、步骤S130中对用户信息进行签名、步骤S160中对用户信息的签名数据进行验签等操作,都由国密加密机完成,具有极高的安全性,同时,堡垒机在进行数据通信中皆由国密加密机进行签名和验签,从而增强数据通信中的通信信息的不可抵赖性。
步骤S170、堡垒机向目标资产发送登录请求;堡垒机向服务端对应的目标资产发送登录请求,如发送国密证书等信息。
步骤S180、堡垒机根据目标资产信息调用国密加密机,通过国密加密机生成的SM2私钥对用户信息进行签名。
所述步骤S180的方法,具体操作为:
步骤S181、修改堡垒机上各个通讯协议对应源码(如libvncserver、libssh2等源码)中的加密算法文件,增加堡垒机上各个通讯协议对国密算法的支持;
步骤S182、堡垒机根据目标资产信息查找目标资产对应的私钥索引;
步骤S183、堡垒机通过JNI接口,把用户信息、公钥信息以及私钥索引发送给设备兼容层;堡垒机通过JNI接口,JNI接口则通过设备兼容层API将用户信息、公钥信息以及私钥索引发送给设备兼容层;
步骤S184、设备兼容层根据私钥索引,调用加机密对用户信息、公钥信息进行签名;
步骤S185、把用户信息、公钥信息对应的签名数据返回给堡垒机的设备兼容层。
在一个实施例中,所述步骤S181之后,还包括
步骤S186、基于预设的通讯协议,堡垒机利用DH算法和目标资产通过会话方式协商出使用SM4算法的会话密钥,本发明后续步骤中,使用SM4算法对堡垒机与目标资产的数据传输进行加解密,从而使得堡垒机与目标资产所有数据的交互,都由SM4算法进行加解密,同时,目标资产密钥全部由国密加密机生成、存储及分发,相较于传统的用户生成并上传的方式,极大的提升了密钥的安全性。
步骤S190、建立用户-堡垒机-目标资产的通信连接,从而完成客户端对应用户的登陆请求操作;其中,用户为客户端对应的用户。
具体地,所述步骤S190的方法,包括以下步骤:
步骤S191、堡垒机发送用户信息、公钥信息对应的签名数据到目标资产;
步骤S192、目标资产调用国密加密机,实现对用户信息、公钥信息对应的签名数据的验签操作;
步骤S193、验签通过后,建立用户-堡垒机-目标资产的通信连接,从而完成客户端对应用户的登陆请求操作;使用国密加密机保存堡垒机的资产密钥,并参与堡垒机通信协议密钥交换,全程密钥不出国密加密机,具有极高的安全性。
在一个实施例中,所述步骤S192之前,还包括
步骤S194、修改堡垒机上各个通讯协议对应源码(如libvncserver、libssh2等源码)中的加密算法文件,增加对国密加密机的调用操作。
本实施例中,所述步骤S194可描述成设置在步骤S192之前,也可根据需要将步骤S194描述成设置在步骤S191之前。
综上所述,本发明一种基于国密加密机的堡垒机安全提升方法通过在堡垒机所支持的通信协议的源码中增加对国密算法的支持,同时增加密钥生成函数来,使得用户-堡垒机-目标资产的通信连接过程中产生的密钥由国密加密机保存,同时国密加密机参与到堡垒机通信协议密钥交换,全程密钥不出加密机,具有极高的安全性。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于国密加密机的堡垒机安全提升方法,其特征在于,包括如下步骤:
步骤S110、修改堡垒机所支持通信协议源码,增加密钥生成函数,调用国密加密机,获取SM2密钥对及私钥索引;
步骤S120、堡垒机根据资产类型,将资产信息与私钥索引、公钥信息进行组合后形成密钥文件,将密钥文件添加到堡垒机中进行存储,禁用密码登陆的方式登陆到服务端;
步骤S130、堡垒机根据客户端对应的用户信息生成国密证书,调用国密加密机对用户信息进行签名,将国密证书下发到UKEY中;
步骤S140、读取UKEY内的国密证书,客户端对应用户发起登陆请求;
步骤S150、堡垒机生成挑战码,客户端利用UKEY对挑战码进行签名,将挑战码的签名数据返回给堡垒机;
步骤S160、堡垒机调用国密加密机对步骤S140中用户信息的签名数据进行验签,验签通过后堡垒机赋予客户端对应的用户登陆权限;
步骤S170、堡垒机向目标资产发送登录请求;
步骤S180、堡垒机根据目标资产信息调用国密加密机,通过国密加密机生成的SM2私钥对用户信息进行签名;
步骤S190、建立用户-堡垒机-目标资产的通信连接。
2.根据权利要求1所述的一种基于国密加密机的堡垒机安全提升方法,其特征在于,步骤S110的方法,具体操作包括:
步骤S111、修改LIBSSH2源码中的加密算法,增加对SM2、SM3、SM4国密算法的支持及将客户端密钥的生成过程修改为由堡垒机调用国密加密机生成;
步骤S112、修改LIBVNCSERVER源码,增加对SM2、SM3、SM4国密算法的支持及将客户端密钥的生成过程修改为由堡垒机调用国密加密机生成;
步骤S113、设备兼容层调用国密加密机,国密加密机生成SM2密钥对及私钥索引;其中,所述堡垒机中设置有设备兼容层及密钥管理工具,设备兼容层通过标准SDF接口来调用国密加密机;
步骤S114、国密加密机将私钥索引和公钥信息返回给堡垒机的设备兼容层。
3.根据权利要求2所述的一种基于国密加密机的堡垒机安全提升方法,其特征在于,所述步骤S114之后,还包括
步骤S115、设备兼容层将获取的私钥索引和公钥信息发送给堡垒机的密钥管理工具。
4.根据权利要求2所述的一种基于国密加密机的堡垒机安全提升方法,其特征在于,所述步骤S120的方法,具体操作为:
堡垒机的密钥管理工具将私钥索引、公钥信息与资产信息进行组合后形成密钥文件;
调用ansible运维工具,将密钥文件添加到堡垒机中进行存储;
禁用密码登录的方式登陆到服务端。
5.根据权利要求4所述的一种基于国密加密机的堡垒机安全提升方法,其特征在于,所述步骤禁用密码登录的方式登陆到服务端的方法,具体操作为:
在通信协议的服务端,通过修改对应通信协议文件中的配置PasswordAuthenticationno,禁止采用密码登录。
6.根据权利要求1或2所述的一种基于国密加密机的堡垒机安全提升方法,其特征在于,所述步骤S130的方法,具体操作包括:
添加堡垒机客户端对应的用户信息;
堡垒机根据客户端对应的用户信息生成国密证书;
堡垒机调用国密加密机对用户信息进行签名;
堡垒机将国密证书发送到与客户端连接的UKEY中。
7.根据权利要求1或2所述的一种基于国密加密机的堡垒机安全提升方法,其特征在于,所述步骤S180的方法,具体操作为:
步骤S181、修改堡垒机上各个通讯协议对应源码中的加密算法文件,增加堡垒机上各个通讯协议对国密算法的支持;
步骤S182、堡垒机根据目标资产信息查找目标资产对应的私钥索引;
步骤S183、堡垒机通过JNI接口,把用户信息、公钥信息以及私钥索引发送给设备兼容层;
步骤S184、设备兼容层根据私钥索引,调用加机密对用户信息、公钥信息进行签名;
步骤S185、把用户信息、公钥信息对应的签名数据返回给堡垒机的设备兼容层。
8.根据权利要求7所述的一种基于国密加密机的堡垒机安全提升方法,其特征在于,所述步骤S181之后,还包括
步骤S186、基于预设的通讯协议,堡垒机利用DH算法和目标资产通过会话方式协商出使用SM4算法的会话密钥。
9.根据权利要求1或2所述的一种基于国密加密机的堡垒机安全提升方法,其特征在于,所述步骤S190的方法,包括以下步骤:
步骤S191、堡垒机发送用户信息、公钥信息对应的签名数据到目标资产;
步骤S192、目标资产调用国密加密机,实现对用户信息、公钥信息对应的签名数据的验签操作;
步骤S193、验签通过后,建立用户-堡垒机-目标资产的通信连接,完成客户端用户的登陆请求操作。
10.根据权利要求9所述的一种基于国密加密机的堡垒机安全提升方法,其特征在于,所述步骤S192之前,还包括
步骤S194、修改堡垒机上各个通讯协议对应源码中的加密算法文件,增加对国密加密机的调用操作。
CN202210575485.1A 2022-05-25 2022-05-25 一种基于国密加密机的堡垒机安全提升方法 Active CN115001703B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210575485.1A CN115001703B (zh) 2022-05-25 2022-05-25 一种基于国密加密机的堡垒机安全提升方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210575485.1A CN115001703B (zh) 2022-05-25 2022-05-25 一种基于国密加密机的堡垒机安全提升方法

Publications (2)

Publication Number Publication Date
CN115001703A true CN115001703A (zh) 2022-09-02
CN115001703B CN115001703B (zh) 2023-09-01

Family

ID=83030148

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210575485.1A Active CN115001703B (zh) 2022-05-25 2022-05-25 一种基于国密加密机的堡垒机安全提升方法

Country Status (1)

Country Link
CN (1) CN115001703B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106992859A (zh) * 2017-04-11 2017-07-28 北京奇艺世纪科技有限公司 一种堡垒机私钥管理方法及装置
CN107181589A (zh) * 2017-04-11 2017-09-19 北京奇艺世纪科技有限公司 一种堡垒机私钥管理方法及装置
CN110048855A (zh) * 2019-04-23 2019-07-23 东软集团股份有限公司 国密算法的引入方法及调用方法、及装置、设备、Fabric平台
CN110351228A (zh) * 2018-04-04 2019-10-18 阿里巴巴集团控股有限公司 远程登录方法、装置和系统
CN111859314A (zh) * 2020-07-10 2020-10-30 苏州浪潮智能科技有限公司 一种基于加密软件的sm2加密方法、系统、终端及存储介质
CN113127873A (zh) * 2021-04-26 2021-07-16 中国邮政储蓄银行股份有限公司 堡垒机的可信度量系统及电子设备
CN113572741A (zh) * 2021-06-30 2021-10-29 深圳市证通云计算有限公司 一种基于国密sm2-sm3-sm4算法实现数据的安全传输的方法
CN113572601A (zh) * 2021-07-06 2021-10-29 长沙证通云计算有限公司 一种基于国密tls的vnc远程安全通信方法
CN113779619A (zh) * 2021-08-11 2021-12-10 深圳市证通云计算有限公司 一种基于国密算法的ceph分布式对象存储系统加解密方法
CN113992346A (zh) * 2021-09-16 2022-01-28 深圳市证通电子股份有限公司 一种基于国密加固的安全云桌面的实现方法
CN114266080A (zh) * 2021-12-27 2022-04-01 鼎链数字科技(深圳)有限公司 基于国密算法实现的数据完整性保护方法及系统
WO2022078367A1 (zh) * 2020-10-14 2022-04-21 深圳市百富智能新技术有限公司 支付密钥的加密和解密方法、支付认证方法及终端设备

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106992859A (zh) * 2017-04-11 2017-07-28 北京奇艺世纪科技有限公司 一种堡垒机私钥管理方法及装置
CN107181589A (zh) * 2017-04-11 2017-09-19 北京奇艺世纪科技有限公司 一种堡垒机私钥管理方法及装置
CN110351228A (zh) * 2018-04-04 2019-10-18 阿里巴巴集团控股有限公司 远程登录方法、装置和系统
CN110048855A (zh) * 2019-04-23 2019-07-23 东软集团股份有限公司 国密算法的引入方法及调用方法、及装置、设备、Fabric平台
CN111859314A (zh) * 2020-07-10 2020-10-30 苏州浪潮智能科技有限公司 一种基于加密软件的sm2加密方法、系统、终端及存储介质
WO2022078367A1 (zh) * 2020-10-14 2022-04-21 深圳市百富智能新技术有限公司 支付密钥的加密和解密方法、支付认证方法及终端设备
CN113127873A (zh) * 2021-04-26 2021-07-16 中国邮政储蓄银行股份有限公司 堡垒机的可信度量系统及电子设备
CN113572741A (zh) * 2021-06-30 2021-10-29 深圳市证通云计算有限公司 一种基于国密sm2-sm3-sm4算法实现数据的安全传输的方法
CN113572601A (zh) * 2021-07-06 2021-10-29 长沙证通云计算有限公司 一种基于国密tls的vnc远程安全通信方法
CN113779619A (zh) * 2021-08-11 2021-12-10 深圳市证通云计算有限公司 一种基于国密算法的ceph分布式对象存储系统加解密方法
CN113992346A (zh) * 2021-09-16 2022-01-28 深圳市证通电子股份有限公司 一种基于国密加固的安全云桌面的实现方法
CN114266080A (zh) * 2021-12-27 2022-04-01 鼎链数字科技(深圳)有限公司 基于国密算法实现的数据完整性保护方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
蔡成杭;: "支持国产密码算法的OpenSSL设计实现及应用", 信息安全研究, no. 02 *
赵川;严星宇;董铭雯;: "券商网上交易系统密码应用方案研究", 中国金融电脑, no. 06 *

Also Published As

Publication number Publication date
CN115001703B (zh) 2023-09-01

Similar Documents

Publication Publication Date Title
CN111429254B (zh) 一种业务数据处理方法、设备以及可读存储介质
CN101051904B (zh) 一种保护网络应用程序使用账号密码进行登录的方法
CN113067699B (zh) 基于量子密钥的数据共享方法、装置和计算机设备
CN104935568A (zh) 一种面向云平台接口鉴权签名方法
CN111770088A (zh) 数据鉴权方法、装置、电子设备和计算机可读存储介质
US11652629B2 (en) Generating keys using controlled corruption in computer networks
CN101815091A (zh) 密码提供设备、密码认证系统和密码认证方法
CN110380859B (zh) 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统
CN113572741A (zh) 一种基于国密sm2-sm3-sm4算法实现数据的安全传输的方法
EP3513539A1 (en) User sign-in and authentication without passwords
CN117240625B (zh) 一种涉及防篡改的数据处理方法、装置及电子设备
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN201717885U (zh) 密码提供设备和密码认证系统
CN114866317B (zh) 多方的数据安全计算方法、装置、电子设备和存储介质
CN114553566B (zh) 数据加密方法、装置、设备及存储介质
CN115001703B (zh) 一种基于国密加密机的堡垒机安全提升方法
CN111539032B (zh) 一种抗量子计算破解的电子签名应用系统及其实现方法
CN112422289B (zh) 一种NB-IoT终端设备的数字证书离线安全分发方法和系统
CN114329559A (zh) 一种外挂式重要数据保护系统及其保护方法
CN111191259A (zh) 一种科技成果加密传输方法及装置
CN115544583B (zh) 一种服务器密码机的数据处理方法及装置
CN103929743A (zh) 一种对移动智能终端传输数据的加密方法
CN116974624B (zh) 一种企业级接口文档管理的系统和方法
CN115001705B (zh) 一种基于加密设备的网络协议安全提升方法
CN112769560B (zh) 一种密钥管理方法和相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant