CN115643573A - 一种基于动态安全环境的特权账号认证方法及系统 - Google Patents
一种基于动态安全环境的特权账号认证方法及系统 Download PDFInfo
- Publication number
- CN115643573A CN115643573A CN202211207846.3A CN202211207846A CN115643573A CN 115643573 A CN115643573 A CN 115643573A CN 202211207846 A CN202211207846 A CN 202211207846A CN 115643573 A CN115643573 A CN 115643573A
- Authority
- CN
- China
- Prior art keywords
- account
- password
- authentication
- seed key
- privileged
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000007726 management method Methods 0.000 claims description 100
- 230000003068 static effect Effects 0.000 claims description 24
- 238000012423 maintenance Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 13
- 230000000694 effects Effects 0.000 claims description 11
- 230000007246 mechanism Effects 0.000 claims description 10
- 230000004913 activation Effects 0.000 claims description 9
- 238000012550 audit Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 7
- 230000009545 invasion Effects 0.000 claims description 4
- 230000008520 organization Effects 0.000 claims description 4
- 230000000052 comparative effect Effects 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 238000011084 recovery Methods 0.000 claims description 3
- 230000001131 transforming effect Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 11
- 238000001514 detection method Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 7
- 230000004044 response Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 244000025254 Cannabis sativa Species 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000009960 carding Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 240000007594 Oryza sativa Species 0.000 description 1
- 235000007164 Oryza sativa Nutrition 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 235000009566 rice Nutrition 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于动态安全环境的特权账号认证方法,包括:S1,采集应用场景信息并确定应用场景的安全环境等级;S2,确定账号类别,账号类别包括特权账号、危险账号和普通账号;S3,对于账号类别为特权账号的账号类别,基于安全环境等级进行特权账号认证。还公开了一种基于动态安全环境的特权账号认证系统,包括:后台管理门户、资源管理模块和日志管理模块、集中身份鉴别模块、数据保险柜、加密机以及包括动态口令插件的客户端,还公开了对应的电子设备以及计算机可读存储介质。
Description
技术领域
本发明属于计算机安全认证以及动态口令认证技术领域,尤其涉及一种基于动态安全环境的特权账号认证方法及系统。
背景技术
随着互联网的发展,动态口令认证系统项目应运营商、金融类企业等的身份安全认证需求而出现,主要集中在网银身份认证、网游身份认证、移动支付身份认证、企业内部登录认证、电信自营业务身份认证等方面。动态口令认证架构于Web应用之上,运用HTTP协议进行通信,Web服务器使用的是Tomcat,数据库服务器使用的是Oracle。动态口令认证系统基于J2EE架构,架构复杂,而OTP(全程One-time Password,也称动态口令)包括基于时间、基于计数器以及基于挑战应答三种方式的动态口令算法,而无论哪一种认证操作都需要首先从数据库中取得用户的相应信息,包括种子、集成电路卡号等数据信息,然后再进行哈希运算,因此对于大量并发请求,IPT系统就要大量操作数据库,进行数据信息的查询与更新。此外,目前OTP系统用户数还比较有限,更多关心的是口令认证操作的正确性、安全性,却没有过多的考虑过当用户数量很多,且存在账号的不同特权的情况下,并发请求操作频繁,且安全环境属于动态变化的情况下,系统是否能够依然保持高效运行,及目前没有针对不同安全等级需求的多种应用环境下的OTP系统,在保证用户认证高安全性的前提下,设计出高并发请求情况下系统在特权账号认证安全性、吞吐率、响应速度都优秀的高效解决方案。
发明内容
本发明的目的是提供一种基于动态安全环境的特权账号认证方法及系统,以操作系统特权账户和口令管理为设计目标、面向服务器管理员的服务器特权账号和口令管理工具,可以帮助服务器管理员在特权账号认证安全性、吞吐率、响应速度都优秀的情况下高效、安全地梳理全网特权账号及权限,区分出特权账号、危险账号、普通账号,掌握特权账号登录活动,利用动态口令技术解决特权账号口令日常运维效率和安全问题。
本发明一方面提供了一种基于动态安全环境的特权账号认证方法,包括:
S1,采集应用场景信息并确定应用场景的安全环境等级;
S2,确定账号类别,所述账号类别包括特权账号、危险账号和普通账号;
S3,基于所述安全环境等级对于所述账号类别为特权账号的账号类别进行特权账号认证。
优选的,所述S1所述安全环境等级包括:高安全等级环境的应用场景和中低安全等级环境的应用场景;所述高安全等级环境的应用场景包括网银登陆和移动支付认证;所述中低安全等级环境的应用场景包括网游登录认证、企业内部登录以及Wi-Fi接入登录认证。
优选的:所述S3中所述基于所述安全环境等级进行特权账号认证包括:
S31,加载一对多口令生成算法,所述一对多口令生成算法基于加密种子密钥设计,同一账号在不同服务器可拥有不同的动态口令;
S32,基于令牌生成动态口令;
S33,基于安全等级选择动态口令生成因子作为动态口令权重;
S34,建立多因素安全身份鉴别机制,包括用户记忆的静态口令和S32基于令牌生成的动态口令相结合,以实现对于特权账号的多重身份鉴别保险;
S35,认证接收后针对每个所述综合口令产生一个临时的会话密钥,并加盖时间戳后存储在灾备服务器中作为后期审计和验证使用。
优选的,所述一对多口令生成算法包括:
(1)生成种子密钥:由客户端采用真随机数方式生成种子密钥,种子密钥本实施例中优选为160bits;
(2)对种子密钥进行加密:由客户端通过种子密钥加密工具,利用数字证书对种子密钥文件进行加密和签名,加密后,只有对应的令牌持有者才能解密;
(3)种子密钥解密:由令牌持有者完成种子密钥文件的解密和验签,种子文件解密后,导入到令牌持有者的生成系统;
(4)将种子密钥写入令牌:由令牌持有者完成,同样使用数字证书保证种子密钥的安全;
(5)种子密钥导入认证系统:通过导种子工具导入统一认证系统后从而生效,导入的种子密钥采用SM4加密的方式保障种子密钥的安全;
(6)在认证系统中将种子密钥进行二次变形:采用一个激活码或随机数与原种子密钥进行运算,从而导致种子密钥发生变化后形成新的种子密钥,作为令牌的工作密钥,激活码或随机数由认证系统生成,认证系统的种子密钥更新与令牌的种子密钥更新同时进行或早于后者;
(7)令牌种子密钥二次更新:由客户端接入者完成,基于认证系统种子密钥更新同一个激活码或随机数进行运算,确保令牌和认证系统种子密钥更新完成后,工作用种子密钥保持一致;
优选的,所述S32,基于令牌生成动态口令包括:
(1)对于高安全等级环境的应用场景,使用国家密码管理局发布的国密SM3OTP算法或国密SM4 OTP算法作为基础加解密认证算法生成动态口令;
(2)对于中低安全等级环境的应用场景,使用Open AuThentication(oath)组织发布的HMAC-SHA-1算法生成动态口令;
优选的,所述S33,基于安全等级选择动态口令生成因子作为动态口令权重,包括:
(1)针对安全级别较高的应用场景,使用基于UIM卡的口令因子,即集成电路卡号ICCID、应用ID以及当前时间作为动态口令生成因子,并将动态口令生成因子作为动态口令权重;
(2)对于安全级别为中低的应用场景,使用UIM卡的集成电路卡号或IMSI号、应用ID及计数器当前值作为动态口令生产因子。
优选的,所述S34,建立多因素安全身份鉴别机制,包括用户记忆的静态口令和S32基于令牌生成的动态口令相结合,以实现对于特权账号的多重身份鉴别保险,包括:
(1)接收用户输入的静态口令,再次验证是否属于特权账号;
(2)对于属于特权账号的,为静态口令赋予静态口令权重,将静态口令与静态口令权重相乘获得第一乘积;
(3)将S32中的动态口令和S33中的动态口令权重相乘获得第二乘积;
(4)将第一乘积和第二乘积相加获得最终的综合口令,基于综合口令的比较鉴别进行特权账号认证。
本发明的第二方面提供一种基于动态安全环境的特权账号认证系统,包括:
后台管理门户,用于采集应用场景信息并确定应用场景的安全环境等级;
其中:后台管理门户:提供特权账号全生命周期管理流程、全局策略管理等功能,运维团队中的系统管理员通过全生命周期管理流程管理特权账号的开通、变更、销毁等重要阶段,并帮助服务器管理员使用的特权账号口令的长度、强度、期限、更换频度等口令策略。
资源管理模块和日志管理模块,用于确定账号类别,所述账号类别包括特权账号、危险账号和普通账号;其中
资源管理模块用于管理所有被管服务器以及特权账号资产信息,并通过扫描引擎,结合操作系统内核技术,对账号信息、账号权限、账号弱口令、账号入侵进行检测;
日志管理模块用于管理全网服务器登录日志,系统审计日志,特权账号合规性扫描日志。
集中身份鉴别模块、数据保险柜、加密机以及包括动态口令插件的客户端,用于对于所述账号类别为特权账号的账号类别,基于所述安全环境等级进行特权账号认证;其中,
集中身份鉴别模块用于对被管服务器的动态口令进行集中身份鉴别;
数据保险柜采用国产加密算法,对全局的敏感数据进行数据加密,包括:动态令牌、账号信息和管理员个人隐私信息;
加密机支持硬件加密,接入加密机用于密钥管理;或支持纯软加密,由软件管理密钥;
动态口令插件,配置于被管服务器或客户端中,用于生成、认证动态口令。
本发明的第三方面提供一种电子设备,包括处理器和存储器,所述存储器存储有多条指令,所述处理器用于读取所述指令并执行如第一方面所述的方法。
本发明的第四方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有多条指令,所述多条指令可被处理器读取并执行如第一方面所述的方法。
本发明提供的方法、装置、电子设备以及计算机可读存储介质,具有如下有益的技术效果:
(一)具有很强的针对性
以针对解决服务器管理员的业务需求为设计目标。国内外同类实施例通常功能覆盖面太广,缺乏针对性,项目实施工作量大。而本实施例功能针对性强,针对服务器管理员的口令管理需求,高安全,易实施,效果好。
(二)主动式管理特权账号
可帮助运维团队管理特权账号的全生命周期,进而完全掌握服务器、网络设备账号。主动发现全网服务器各种属性、各种用途账号,发现潜在的异常账号,主动检测黑客利用账号入侵后破坏性行为,主动集中上报用户登录日志。
(三)高效管理账号口令
采用动态口令技术简化口令管理工作,采用动态口令技术,可集中管理全网服务器的操作系统账号口令,口令合规且支持一次一密。系统管理员仅需简单的界面操作,即可管理临时口令、批量更换全网口令、自动定期更换口令、限制服务器管理员登录被管服务器的权限等运维工作,这些工作如果采用传统人工管理将消耗巨大的人力,且容易产生误操作或遗忘操作。
(四)采用国产密码算法
支持国产加密算法SM3、SM4,可以满足国内等级保护和密码使用的安全管理规定,适用范围广泛。
附图说明
图1为根据本发明优选实施例示出的基于动态安全环境的特权账号认证方法流程图。
图2为根据本发明优选实施例示出的一种基于深度学习的挤压油膜阻尼器参数辨识方法的模型结构图。
图3为根据本发明优选实施例示出的克服堡垒机口令集中存储的原理示意图。
图4为根据本发明优选实施例示出的为应用系统提供统一动态口令认证的流程示意图。
图5为本发明提供的电子设备一种实施例的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
一种基于动态安全环境的特权账号认证方法及系统,以操作系统特权账户和口令管理为设计目标、面向服务器管理员的服务器特权账号和口令管理工具,可以帮助服务器管理员在特权账号认证安全性、吞吐率、响应速度都优秀的情况下高效、安全地梳理全网特权账号及权限,区分出特权账号、危险账号、普通账号,掌握特权账号登录活动,利用动态口令技术解决特权账号口令日常运维效率和安全问题。
本实施例以操作系统账户账号口令管理为设计目标、面向服务器管理员的口令管理,其中出现的技术术语含义如下:
后台管理系统:负责对本实施例的系统管理,提供用户管理、令牌管理、策略管理、审计管理等功能;
系统管理员:使用后台管理系统完成系统用户、令牌、策略和审计功能的管理。
系统用户:通常为服务器管理员,使用通过账户管理系统来生成操作系统账户的口令,登录被管服务器。
被管服务器:机房中需要进行口令管理的服务器;
服务器管理员:被管服务器的管理员,即本实施例的用户,通过操作系统的账号和账户管理系统生成的动态口令来登录被管服务器;
OS账号:即被管服务器操作系统中的账户,服务器管理员使用此账户和账户管理系统生成的动态口令登录被管服务器。
特权账号:特权账号是OS账号的子集,是被管服务器操作系统中具有超级权限的账号。
OS账号口令:被管服务器操作系统的账号口令,是由PIN码和动态口令组成,口令格式为:PIN码+动态口令。
动态口令:由密码算法动态生成的被管服务器的口令。
PIN码:PIN码保护动态口令的静态口令,由服务器管理员设置、输入自己的PIN码。PIN码由服务器管理员记忆。
令牌:令牌由后台管理系统维护,每个用户对应一个令牌,令牌参数包括用户的主密钥、口令变更时间间隔、口令长度等内容。后台管理系统通过令牌参数生成该用户管理的被管服务器的OS账号口令。
实施例一
参见图1-4,一种基于动态安全环境的特权账号认证方法,包括:
S1,采集应用场景信息并确定应用场景的安全环境等级;该步骤通过系统的后台管理门户实现;其中:后台管理门户:提供特权账号全生命周期管理流程、全局策略管理等功能,运维团队中的系统管理员通过全生命周期管理流程管理特权账号的开通、变更、销毁等重要阶段,并帮助服务器管理员使用的特权账号口令的长度、强度、期限、更换频度等口令策略;
S2,确定账号类别,所述账号类别包括特权账号、危险账号和普通账号;该步骤由系统的资源管理模块和日志管理模块实施;其中:
资源管理模块:负责管理所有被管服务器以及特权账号资产信息,并通过扫描引擎,结合操作系统内核技术,对账号信息、账号权限、账号弱口令、账号入侵进行检测。
日志管理模块:管理全网服务器登录日志,系统审计日志,特权账号合规性扫描日志。
本实施例中,
(一)掌握全网特权账号信息,包括:
发现所有特权账号,包括:uid=0、gid=0、root、sudo账号发现所有普通账号、被锁定账号。
发现所有的空口令账号,包括:ssh空口令账号、su空口令账号。发现不合规账号,如:测试账号、僵尸账号。
提供的导出报表:
| 序号 | 报表 |
| 1 | 特权账号一览表 |
| 2 | 测试账号明细表 |
| 3 | 空口令账号明细表 |
| 4 | 用户提权日志 |
(二)通过资源管理模块进行OS账号环境健康检查
本实施例帮助IT运维团队对全网OS账号配置进行检测,避免因配置不合规给OS账号安全带来风险,如:/etc/passwd、/etc/shadow、/etc/group权限、/etc/ssh/sshd_config内容和口令策略是否合规等。
(三)通过日志管理模块进行OS账号日志管理
记录管理员所有登录服务器的日志,包括:登录行为发生时间、来源IP、口令登录方式、攻击账号、所尝试的弱口令等详细日志。
S3,对于所述账号类别为特权账号的账号类别,基于所述安全环境等级进行特权账号认证;该步骤确保认证方案能够用于各种网站的Web登录的身份认证模块,在没有用HTTPS(安全的超文本传输协议)的网络可以作为一个验证系统来减少在认证中心花费的代价;在一系列不安全的网络信道中工作的网络设备或者移动通信网络设备能够保护特权账号的认证密码在发送过程中不会被破解。
在网络管理的角度看,提高动态安全环境下认证安全所提供的技术保证包括:
(1)双向认证:在服务器和客户端之间实现双向认证;
(2)通信保密性:认证双方的所有通信内容全部以密文形式在不安全的网络信道中传输;
(3)信息完整性:保证信息在不安全的网络信道中不会被恶意修改、替换或者超时;
(4)安全性:能够抵抗猜测、重放、假冒等典型的攻击手段。
通过算法生成被管服务器动态口令,使得被管服务器的口令复杂度、定期更换等方面符合《GBT 22239-2008信息系统安全等级保护基本要求》四级要求。可避免人工Excel记录口令,导致口令遗失。
该步骤由集中身份鉴别模块、数据保险柜、加密机以及包括动态口令插件的客户端实施;其中,
集中身份鉴别模块:负责对被管服务器的动态口令进行集中身份鉴别。
数据保险柜:采用国产加密算法,对全局的敏感数据进行数据加密,包括:动态令牌、账号信息、管理员个人隐私信息等。
加密机:支持硬件加密,可接入加密机用于密钥管理;也支持纯软加密,由软件管理密钥。
动态口令插件:配置于被管服务器(客户端)中,用于生成、认证动态口令。
本实施例中,步骤S3实现了:
(一)OS账号弱口令检测
传统口令管理方法中,弱口令、不合法OS账号的检测通过撞库、猜测等手段,效率较低。本实施例可实时、高效、准确发现弱口令。
随着协议加密的普及,传统口令暴力猜测的发现方法逐渐失效。本实施例可实时、有效地判断是否存在口令暴力猜测行为,以及猜测行为发生时间、来源IP、口令登录方式、攻击账号、所尝试的弱口令等详细日志。
(二)OS账号入侵提权检测
利用哈希算法、数字签名等密码技术,对操作系统目录及文件进行完整性检测,发现文件异常变化,结合流程信息、账号登录日志、文件的权限、文件修改行为进而发现账号是否存在文件提权入侵行为。
(三)管理员权限管理
在IT运维管理中要求尽可能最小化地给服务器管理员分配权限,但在集中管理模式下,目前只能做到限制服务器管理员登录IP、账号。本实施例可进一步细化服务器管理员的登录权限,包括:限制管理员可登录服务器的IP和账号。限制管理员可登录的日期范围、或一天内可登录的时间范围。限制管理员可登录的次数。限制管理员可登录的方式,如:telnet、ssh、ftp。限制管理员可提权的方式,如:su、sudo。
(四)堡垒机绕行检测
IT安全运维中要求先登录堡垒机再登录目标服务器,但由于限制手段确实,或限制过程太复杂,目前没有方便、有效的手段防止绕行堡垒机登录。本实施例可获得OS账号所有登录行为,通过来源IP可判断用户是否绕过4A或堡垒机登录。如果用户采用动态口令登录,本实施例可有效对登录行为进行阻断。
(五)OS账号活动态势分析
对全网OS账号是否具有活动迹象进行分析:全网在用账号;全网活动最频繁的账号近一个月新增账号;活动时间异常账号;近三个月无活动迹象的账号。
(六)OS账号口令使用态势分析
对全网OS账号的口令使用情况进行分析:口令即将到期账号;弱口令日流量;弱口令暴力猜测来源统计。
(七)OS账号登录态势分析
对全网OS账号登录行为进行分析:全网被登录设备统计;全网来源IP统计设备被登录量异常来源IP异常登录量。
(八)系统安全审计
本实施例对用户登录被管服务器的行为进行安全审计,对异常登录行为进行拦截。
(九)集成接口管理
本实施例为第三方运维系统提供集成的接口(生成动态口令),使第三方系统获得登录被管服务器的权限。
作为优选的实施方式,所述S1所述安全环境等级包括:
高安全等级环境的应用场景,如网银登陆和移动支付认证,需要使用国家密码管理局发布的国密SM3 OTP算法作为基础加解密认证算法,复杂度更高,运算时间也相对较长,但安全性价高,在安全性层面是一个高效的基础算法解决方案;当然在其他实施方式中也可以采用SM4 OTP算法作为基础加解密认证算法,原理和SM3 OTP算法作为基础加解密认证算法相似。
中低安全等级环境的应用场景,如网游登录认证、企业内部登录以及Wi-Fi接入登录认证,需要使用Open AuThentication(oath)组织发布的HMAC-SHA-1算法作为基础加解密认证算法,该算法平衡了运算复杂度与安全等级需求的口令算法,在保证认证安全的前提下,降低算法的运算复杂度,从而使得算法运算时间缩短,在安全性和运算速率方面作为一个高效的基础算法解决方案。
作为优选的实施方式:所述S3中所述基于所述安全环境等级进行特权账号认证包括:
S31,加载一对多口令生成算法,所述一对多口令生成算法基于加密种子密钥设计,为满足一个服务器管理员管理多台服务器需,提高并发率,本发明设计了一对多动态口令生成算法,即同一账号在不同服务器可拥有不同的动态口令,其中一对多口令生成算法包括:
(1)生成种子密钥:由客户端采用真随机数方式生成种子密钥,种子密钥本实施例中优选为160bits;
(2)对种子密钥进行加密:由客户端通过种子密钥加密工具,利用数字证书对种子密钥文件进行加密和签名,加密后,只有对应的令牌持有者才能解密;
(3)种子密钥解密:由令牌持有者完成种子密钥文件的解密和验签,种子文件解密后,导入到令牌持有者的生成系统;
(4)将种子密钥写入令牌:由令牌持有者完成,同样使用数字证书保证种子密钥的安全;
(5)种子密钥导入认证系统:通过导种子工具导入统一认证系统后从而生效,导入的种子密钥采用SM4加密的方式保障种子密钥的安全;
(6)在认证系统中将种子密钥进行二次变形:采用一个激活码或随机数与原种子密钥进行运算,从而导致种子密钥发生变化后形成新的种子密钥,作为令牌的工作密钥,激活码或随机数由认证系统生成,认证系统的种子密钥更新与令牌的种子密钥更新同时进行或早于后者;
(7)令牌种子密钥二次更新:由客户端接入者完成,基于认证系统种子密钥更新同一个激活码或随机数进行运算,确保令牌和认证系统种子密钥更新完成后,工作用种子密钥保持一致;
S32,基于令牌生成动态口令,其中:
(1)对于高安全等级环境的应用场景,如网银登陆和移动支付认证,需要使用国家密码管理局发布的国密SM3 OTP算法作为基础加解密认证算法生成动态口令;
(2)对于中低安全等级环境的应用场景,如网游登录认证、企业内部登录以及Wi-Fi接入登录认证,需要使用Open AuThentication(oath)组织发布的HMAC-SHA-1算法生成动态口令;
S33,基于安全等级选择动态口令生成因子作为动态口令权重,包括:
(1)针对于网银应用、移动支付等要求安全级别较高的应用场景,由于Android系统源程序是开源的,相对于UIM/SIM卡来说,安全级别较低,容易造成安全隐患,因此使用基于UIM卡的口令因子,即集成电路卡号ICCID、应用ID以及当前时间作为动态口令生成因子,并将动态口令生成因子作为动态口令权重;
(2)对于网游登录、电信自营业务身份认证等应用,由于特权账号的用户量大,安全等级要求中低,因此使用UIM卡的集成电路卡号或IMSI号、应用ID及计数器当前值作为动态口令生产因子,从而便于后面多因素安全身份鉴别机制中口令预生成算法的应用;
S34,建立多因素安全身份鉴别机制,包括用户记忆的静态口令和S32基于令牌生成的动态口令相结合,以实现对于特权账号的多重身份鉴别保险,包括:
(1)接收用户输入的静态口令,再次验证是否属于特权账号;
(2)对于属于特权账号的,为静态口令赋予静态口令权重,将静态口令与静态口令权重相乘获得第一乘积;
(3)将S32中的动态口令和S33中的动态口令权重相乘获得第二乘积;
(4)将第一乘积和第二乘积相加获得最终的综合口令,基于综合口令的比较鉴别进行特权账号认证。
作为优选的实施方式,所述S3还包括:
S35,认证接收后针对每个所述综合口令产生一个临时的会话密钥,并加盖时间戳后存储在灾备服务器中作为后期审计和验证使用。
作为优选的实施方式,所述综合口令的生成和加密存储包括:在服务器端、移动端口令生成过程涉及敏感数据采用加密存储,服务端的口令生成过程在加密机中进行,有效地保证了移动端敏感数据的安全性。
实施例二
参见图2,一种基于动态安全环境的特权账号认证系统,包括:
后台管理门户,用于采集应用场景信息并确定应用场景的安全环境等级;
其中:后台管理门户:提供特权账号全生命周期管理流程、全局策略管理等功能,运维团队中的系统管理员通过全生命周期管理流程管理特权账号的开通、变更、销毁等重要阶段,并帮助服务器管理员使用的特权账号口令的长度、强度、期限、更换频度等口令策略。
资源管理模块和日志管理模块,用于确定账号类别,所述账号类别包括特权账号、危险账号和普通账号;其中
资源管理模块用于管理所有被管服务器以及特权账号资产信息,并通过扫描引擎,结合操作系统内核技术,对账号信息、账号权限、账号弱口令、账号入侵进行检测;
日志管理模块用于管理全网服务器登录日志,系统审计日志,特权账号合规性扫描日志。
集中身份鉴别模块、数据保险柜、加密机以及包括动态口令插件的客户端,用于对于所述账号类别为特权账号的账号类别,基于所述安全环境等级进行特权账号认证;其中,
集中身份鉴别模块用于对被管服务器的动态口令进行集中身份鉴别;
数据保险柜采用国产加密算法,对全局的敏感数据进行数据加密,包括:动态令牌、账号信息和管理员个人隐私信息;
加密机支持硬件加密,接入加密机用于密钥管理;或支持纯软加密,由软件管理密钥;
动态口令插件,配置于被管服务器或客户端中,用于生成、认证动态口令。
本实施例的应用场景:用于管理服务器、网络设备的特权账号和口令、与第三方运维系统集成等场景。
(一)场景一:实现IT安全团队厘清管理全网特权账号
IT安全团队通过本实施例可清晰梳理全网特权账号,并区分出账号的各种属性。
IT安全团队通过本实施例实现对全网特权账号配置进行账号梳理、权限控制、异常权限账号发现、合规性检测、弱口令发现、口令暴力猜测发现、文件完整性检测。
(二)场景二:实现IT运维团队特权账号口令管理
IT运维团队通过本实施例提升特权账号口令管理的效率和安全性。可对全网特权账号集中地批量更换、口令定期更换、临时口令发放、临时口令回收、强口令策略管理、避免口令遗失。
(三)场景三:特权与普通账号分开管理
传统口令管理方法中,特权账号(如:root)通常由服务器管理员管理,而普通账号由业务部门运维人员管理。本实施例可支持特权和普通账号分开管理,如:特权账号采用本实施例管理,普通账号仍采用原来的操作系统口令登录。
(四)场景四:克服堡垒机口令集中存储的弊端
如图3所示,堡垒机托管账号的口令时,将口令集中存储在堡垒机数据库中,但数据库一旦被黑客入侵,黑客将掌握全网账号的口令。本实施例中被管服务器的账号口令是由算法生成,因此本实施例可以做为从账号口令数据库,避免了堡垒机集中存储从账号口令所带来的风险。应用过程如下:服务器管理员通过堡垒机登录被管服务器时,堡垒机通过接口实时计算从账号口令,并代填口令,从而实现服务器管理员免密码登录到被管服务器。
(五)场景五:为应用系统提供统一动态口令认证
参见图4,本实施例提供安全可靠的动态口令认证功能,为应用系统提供统一账号管理、统一的认证管理、统一权限管理能力。使用时:
系统管理员先为每个用户分配好可登录子系统的权限,如:张三可登录OA、邮箱、报销系统,其他系统无法登录。
张三通过动态口令,请求登录应用系统。
应用系统调用本实施例接口验证用户身份,本实施例对动态口令验证通过后,用户即可完成身份鉴别,登录到应用系统。
以上两个实施例成功应用的案例如下:
案例一:广东电信
东方中泰特权帐号系统部署于广东电信核心机房,该机房所承载系统是核心业务系统。被管设备涵盖BSS类设备,被管设备约为8000台。
1)被管设备种类
Unix系统包括HP-UX,AIX;
Linux系统包括SUSE,CentOS,Redhat;
Windows系统包括Win2003,Win2008。
2)解决问题
A:账号信息收集:账号数量庞大、设备种类多样;缺乏快速获取账号清单作数据支撑;人工收集信息耗时费力。
B:各类设备均存在弱密码、无人力资源定期重置账号密码;改密后数据无安全存储、有效备份机制。
C:密码修改后,各类应用程序相关密码副本需同步;数据库连接池相关应用需要重启;每次密码修改风险高、怕遗漏。
3)客户收益:
A:识别各类账号风险(弱密码、僵尸账号、幽灵账号、权限变更、长期未改密等);精细化内控管理;快速合规;红蓝对抗中提供完备数据支撑。
B:杜绝“弱密码”;快速符合《等保》、监管机构对账号密码的要求;遵从国家密码法要求;密码备份保障。
C:解决应用相关账号不便于修改的长期困境、防止数据泄露、被拖库。解决账号密码管理“最后一公里”。
案例二:天津电信
被管设备部署于天津电信核心机房,该机房所承载系统是核心业务系统。被管设备涵盖BSS、OSS类设备,被管设备约为2000台。
1)被管设备种类
Unix系统包括HP-UX,AIX;
Linux系统包括SUSE,CentOS,Redhat;
Windows系统包括Win2003,Win2008;
网络设备包括华为、思科的路由器和交换机。
2)解决问题
解决所有设备特权账号自动发现;
解决所有设备特权账号的口令更换问题;
解决所有设备弱口令实时发现问题;
解决所有设备账号安全配置和环境检测问题;
解决所有设备的临时口令申请问题。
案例三:稻城亚丁智慧旅游项目
稻城亚丁智慧旅游项目机房通过部署特权账号管理系统,解决特权账号自动发现、以及弱口令发现、及日常的口令管理。
1)被管设备种类
Linux系统包括SUSE,CentOS,Redhat;
Windows系统包括Win2003,Win2008。
2)解决问题
解决所有设备特权账号自动发现;
解决所有设备特权账号的口令更换问题;
解决所有设备弱口令实时发现问题。
案例四:甘孜州数字林草项目
甘孜州数字林草项目的机房中设备属于等保二级资产,甘孜州数字林草项目机房通过部署特权账号管理系统,解决特权账号自动发现、以及弱口令发现、及日常的口令管理。以避免口令泄露等管理类风险,威胁项目中数据安全。
1)被管设备种类
Linux系统包括CentOS,Redhat;
Windows系统包括Win2008。
2)解决问题
解决所有设备特权账号自动发现;
解决所有设备特权账号的口令更换问题;
解决所有设备弱口令实时发现问题。
如图5所示,本发明还提供了一种电子设备,包括处理器301和与所述处理器301连接的存储器302,所述存储器302存储有多条指令,所述指令可被所述处理器加载并执行,以使所述处理器能够执行如实施例二所述的方法。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于动态安全环境的特权账号认证方法,其特征在于,包括:
S1,采集应用场景信息并确定应用场景的安全环境等级;
S2,确定账号类别,所述账号类别包括特权账号、危险账号和普通账号;
S3,基于所述安全环境等级对于所述账号类别为特权账号的账号类别进行特权账号认证。
2.根据权利要求1所述的一种基于动态安全环境的特权账号认证方法,其特征在于,所述S1所述安全环境等级包括:高安全等级环境的应用场景和中低安全等级环境的应用场景;所述高安全等级环境的应用场景包括网银登陆和移动支付认证;所述中低安全等级环境的应用场景包括网游登录认证、企业内部登录以及Wi-Fi接入登录认证。
3.根据权利要求1所述的一种基于动态安全环境的特权账号认证方法,其特征在于,所述S3中所述基于所述安全环境等级进行特权账号认证包括:
S31,加载一对多口令生成算法,所述一对多口令生成算法基于加密种子密钥设计,同一账号在不同服务器可拥有不同的动态口令;
S32,基于令牌生成动态口令;
S33,基于安全等级选择动态口令生成因子作为动态口令权重;
S34,建立多因素安全身份鉴别机制,包括用户记忆的静态口令和S32基于令牌生成的动态口令相结合,以实现对于特权账号的多重身份鉴别保险;
S35,认证接收后针对每个所述综合口令产生一个临时的会话密钥,并加盖时间戳后存储在灾备服务器中作为后期审计和验证使用。
4.根据权利要求3所述的一种基于动态安全环境的特权账号认证方法,其特征在于,所述一对多口令生成算法包括:
(1)生成种子密钥:由客户端采用真随机数方式生成种子密钥,种子密钥本实施例中优选为160bits;
(2)对种子密钥进行加密:由客户端通过种子密钥加密工具,利用数字证书对种子密钥文件进行加密和签名,加密后,只有对应的令牌持有者才能解密;
(3)种子密钥解密:由令牌持有者完成种子密钥文件的解密和验签,种子文件解密后,导入到令牌持有者的生成系统;
(4)将种子密钥写入令牌:由令牌持有者完成,同样使用数字证书保证种子密钥的安全;
(5)种子密钥导入认证系统:通过导种子工具导入统一认证系统后从而生效,导入的种子密钥采用SM4加密的方式保障种子密钥的安全;
(6)在认证系统中将种子密钥进行二次变形:采用一个激活码或随机数与原种子密钥进行运算,从而导致种子密钥发生变化后形成新的种子密钥,作为令牌的工作密钥,激活码或随机数由认证系统生成,认证系统的种子密钥更新与令牌的种子密钥更新同时进行或早于后者;
(7)令牌种子密钥二次更新:由客户端接入者完成,基于认证系统种子密钥更新同一个激活码或随机数进行运算,确保令牌和认证系统种子密钥更新完成后,工作用种子密钥保持一致。
5.根据权利要求4所述的一种基于动态安全环境的特权账号认证方法,其特征在于,所述S32,基于令牌生成动态口令包括:
(1)对于高安全等级环境的应用场景,使用国家密码管理局发布的国密SM3OTP算法或国密SM4 OTP算法作为基础加解密认证算法生成动态口令;
(2)对于中低安全等级环境的应用场景,使用Open AuThentication(oath)组织发布的HMAC-SHA-1算法生成动态口令。
6.根据权利要求5所述的一种基于动态安全环境的特权账号认证方法,其特征在于,所述S33,基于安全等级选择动态口令生成因子作为动态口令权重,包括:
(1)针对安全级别较高的应用场景,使用基于UIM卡的口令因子,即集成电路卡号ICCID、应用ID以及当前时间作为动态口令生成因子,并将动态口令生成因子作为动态口令权重;
(2)对于安全级别为中低的应用场景,使用UIM卡的集成电路卡号或IMSI 号、应用ID及计数器当前值作为动态口令生产因子。
7.根据权利要求6所述的一种基于动态安全环境的特权账号认证方法,其特征在于,所述S34,建立多因素安全身份鉴别机制,包括用户记忆的静态口令和S32基于令牌生成的动态口令相结合,以实现对于特权账号的多重身份鉴别保险,包括:
(1)接收用户输入的静态口令,再次验证是否属于特权账号;
(2)对于属于特权账号的,为静态口令赋予静态口令权重,将静态口令与静态口令权重相乘获得第一乘积;
(3)将S32中的动态口令和S33中的动态口令权重相乘获得第二乘积;
(4)将第一乘积和第二乘积相加获得最终的综合口令,基于综合口令的比较鉴别进行特权账号认证。
8.一种基于动态安全环境的特权账号认证系统,用于实施根据权利要求1-7任一所述的认证方法,其特征在于,包括:
后台管理门户,用于采集应用场景信息并确定应用场景的安全环境等级;
其中:后台管理门户:提供特权账号全生命周期管理流程、全局策略管理等功能,运维团队中的系统管理员通过全生命周期管理流程管理特权账号的开通、变更、销毁等重要阶段,并帮助服务器管理员使用的特权账号口令的长度、强度、期限、更换频度等口令策略。
资源管理模块和日志管理模块,用于确定账号类别,所述账号类别包括特权账号、危险账号和普通账号;其中
资源管理模块用于管理所有被管服务器以及特权账号资产信息,并通过扫描引擎,结合操作系统内核技术,对账号信息、账号权限、账号弱口令、账号入侵进行检测;
日志管理模块用于管理全网服务器登录日志,系统审计日志,特权账号合规性扫描日志。
集中身份鉴别模块、数据保险柜、加密机以及包括动态口令插件的客户端,用于对于所述账号类别为特权账号的账号类别,基于所述安全环境等级进行特权账号认证;其中,
集中身份鉴别模块用于对被管服务器的动态口令进行集中身份鉴别;
数据保险柜采用国产加密算法,对全局的敏感数据进行数据加密,包括:动态令牌、账号信息和管理员个人隐私信息;
加密机支持硬件加密,接入加密机用于密钥管理;或支持纯软加密,由软件管理密钥;
动态口令插件,配置于被管服务器或客户端中,用于生成、认证动态口令。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有多条指令,所述处理器用于读取所述指令并执行如权利要求1-7任一所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述多条指令可被处理器读取并执行如权利要求1-7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211207846.3A CN115643573A (zh) | 2022-09-30 | 2022-09-30 | 一种基于动态安全环境的特权账号认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211207846.3A CN115643573A (zh) | 2022-09-30 | 2022-09-30 | 一种基于动态安全环境的特权账号认证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115643573A true CN115643573A (zh) | 2023-01-24 |
Family
ID=84942257
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211207846.3A Pending CN115643573A (zh) | 2022-09-30 | 2022-09-30 | 一种基于动态安全环境的特权账号认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115643573A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117350728A (zh) * | 2023-12-05 | 2024-01-05 | 山东恒宇电子有限公司 | 基于Linux白名单的车载机IC卡补登充值方法及系统 |
| CN118019000A (zh) * | 2024-04-07 | 2024-05-10 | 深圳市冠群电子有限公司 | 一种基于动态令牌链路加密的高安全手机通信系统 |
-
2022
- 2022-09-30 CN CN202211207846.3A patent/CN115643573A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117350728A (zh) * | 2023-12-05 | 2024-01-05 | 山东恒宇电子有限公司 | 基于Linux白名单的车载机IC卡补登充值方法及系统 |
| CN117350728B (zh) * | 2023-12-05 | 2024-02-20 | 山东恒宇电子有限公司 | 基于Linux白名单的车载机IC卡补登充值方法及系统 |
| CN118019000A (zh) * | 2024-04-07 | 2024-05-10 | 深圳市冠群电子有限公司 | 一种基于动态令牌链路加密的高安全手机通信系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109450910B (zh) | 基于区块链的数据共享方法、数据共享网络及电子设备 | |
| CN109525671B (zh) | 基于区块链的数据存储方法、电子设备及存储介质 | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| US7788700B1 (en) | Enterprise security system | |
| CN103310161B (zh) | 一种用于数据库系统的防护方法及系统 | |
| CN110957025A (zh) | 一种医疗卫生信息安全管理系统 | |
| US20150281278A1 (en) | System For Securing Electric Power Grid Operations From Cyber-Attack | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN115643573A (zh) | 一种基于动态安全环境的特权账号认证方法及系统 | |
| CN113495920A (zh) | 一种基于区块链的内容审核系统、方法、装置和存储介质 | |
| AU2012318937A1 (en) | Secure integrated cyberspace security and situational awareness system | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| Bamrara | Evaluating database security and cyber attacks: A relational approach | |
| CN106603488A (zh) | 一种基于电网统计数据搜索方法的安全系统 | |
| CN112115199A (zh) | 一种基于区块链技术的数据管理系统 | |
| Osman et al. | Proposed security model for web based applications and services | |
| Sathish Babu et al. | A dynamic authentication scheme for mobile transactions | |
| CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
| Salau et al. | Towards a Threat Model and Security Analysis for Data Cooperatives. | |
| CN116827821B (zh) | 基于区块链云应用程序性能监控方法 | |
| Yu et al. | Research on zero trust access control model and formalization based on rail transit data platform | |
| Waziri et al. | A Secure Maturity Model for Protecting e-Government Services: A Case of Tanzania | |
| CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
| Zhu et al. | [Retracted] Research on Privacy Data Protection Based on Trusted Computing and Blockchain | |
| Dhondge | Lifecycle IoT Security for Engineers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |