CN115795439A - 一种基于安全堡垒机的资源自动改密系统 - Google Patents
一种基于安全堡垒机的资源自动改密系统 Download PDFInfo
- Publication number
- CN115795439A CN115795439A CN202310056538.3A CN202310056538A CN115795439A CN 115795439 A CN115795439 A CN 115795439A CN 202310056538 A CN202310056538 A CN 202310056538A CN 115795439 A CN115795439 A CN 115795439A
- Authority
- CN
- China
- Prior art keywords
- login
- account
- encryption
- monitoring
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及网络数据安全技术领域,尤其涉及一种基于安全堡垒机的资源自动改密系统,包括,操作控制端、服务器数据库、资源管理单元、监控改密单元以及虚拟数据库。本发明通过在资源管理单元中对各登录账号建立对应的登录密码矩阵,通过登录账号的不同登录密码对登录账号的权限等级进行管理,同时通过监控改密单元以预设改密周期对登录密码矩阵的密码进行自动改密更新,对操作控制端输入的身份信息与登录账号进行匹配判定,并且对调整后的预设改密周期进行判定,调整登录账号对应的权限等级,能够在服务器内部的登录账号对数据库进行操作时,精准地控制各登录账号的权限等级,提高了各登录账号的权限管理与登录密码的安全性。
Description
技术领域
本发明涉及网络数据安全技术领域,尤其涉及一种基于安全堡垒机的资源自动改密系统。
背景技术
堡垒机又称安全审计系统,是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责,堡垒机通常采用对密钥进行分配管理以及在预设周期向目标服务器发送自动改密指令,提高服务器登录的安全性。
中国专利公开号CN112395591A,公开了一种改密方法及系统,其核心技术点是通过采用数据库自动改密技术,降低客户数据库操作难度和复杂度,同时避免账号管理的混乱,由此可见,在现有的自动改密系统中均为周期性的改密,虽然能够减少被窃取的隐患,但在同一个预设周期内仍存在较大的安全问题,而现有的安全堡垒机在改密的预设周期内也只能单方面地进行肯记录审计,缺少在账号登录期间的权限管理控制,导致了服务器内部账号的权限操作仍对数据库的安全产生隐患。
发明内容
为此,本发明提供一种基于安全堡垒机的资源自动改密系统,用以克服现有技术中自动改密系统中服务器内部账号的权限等级管理与账号密码登录较大安全隐患的问题。
为实现上述目的,本发明提供一种基于安全堡垒机的资源自动改密系统,包括,
操作控制端,其用以输入身份信息与登录账号,所述操作控制端能够在登录后对服务器数据库进行操作控制;
资源管理单元,其与所述操作控制端相连,用以验证操作控制端输入的身份信息与登录账号是否匹配,所述资源管理单元能够根据操作控制端输入的登录账号确定对应的登录密码矩阵,并在账号权限矩阵中确定该登录账号的当前权限等级,根据登录账号的当前权限等级在对应的登录密码矩阵选取登录密码并发送至操作控制端;
监控改密单元,其与所述服务器数据库、所述资源管理单元和所述操作控制端分别相连,所述监控改密单元能够根据预设改密周期对输入的登录账号的登录密码矩阵进行自动更新改密,并在输入的身份信息与登录账号不匹配时,根据内部设置的登录验证缩减周期对预设改密周期进行调整,监控改密单元并根据降权周期对调整后的预设改密周期进行判定,并在判定调整后的预设改密周期达到降权周期时,对账号权限矩阵中对应的当前权限等级进行替换修改。
进一步地,所述资源管理单元内设置有账号信息库,所述账号信息库内储存有若干登录账号以及与各登录账号对应的身份信息,在所述操作控制端输入身份信息A与登录账号B时,所述资源管理单元根据账号信息库对输入的身份信息A与登录 账号B进行判定,
若输入的身份信息A与登录账号B匹配,所述资源管理单元将根据登录账号B选取登录密码并发送至操作控制端;
若输入的身份信息A与登录账号B不匹配,所述资源管理单元不进行登录账号B的登录密码选取,并对所述监控改密单元内登录账号B对应的预设改密周期进行调整。
进一步地,所述资源管理单元内设置有账号权限矩阵L,所述账号权限矩阵L包括所述账号信息库内储存的所述各登录账号以及与各登录账号对应的权限等级,资源管理单元内还设置有所述各登录账号对应的若干登录密码矩阵,资源管理单元在输入的身份信息A与登录账号B匹配时,将登录账号B在账号权限矩阵L进行匹配,确定登录账号B对应的当前权限等级Li,资源管理单元并根据登录账号B确定与登录账号B对应的登录密码矩阵Bc,在登录密码矩阵Bc中选取当前权限等级Li对应的登录密码Ck发送至所述操作控制端,操作控制端通过输入登录账号B与登录密码Ck进行登录。
进一步地,所述监控改密单元内设置有自动改密模块,所述自动改密模块内设置有预设改密周期Ty与登录验证缩减周期Tj,所述资源管理单元在输入的身份信息A与登录账号B不匹配时,将登录验证错误指令发送至所述监控改密单元,监控改密单元将登录账号B的预设改密周期Ty调整为Ty’,Ty’=Ty-Tj,所述自动改密模块将以调整后的预设改密周期Ty’对登录账号B的登录密码矩阵Bc中各权限等级的登录密码进行自动更新改密。
进一步地,所述监控改密单元内设置有降权周期Tq,当所述监控改密单元对登录账号B的预设改密周期进行调整后,监控改密单元将调整后的预设改密周期Ty’与降权周期Tq进行对比,
若Ty’>Tq,所述监控改密单元判定调整后的预设改密周期Ty’未达到降权周期Tq,监控改密单元不对所述资源管理单元内的账号权限矩阵L进行调整;
若Ty’≤Tq,所述监控改密单元判定调整后的预设改密周期Ty’已达到降权周期Tq,监控改密单元将根据调整后的预设改密周期Ty’对所述资源管理单元内的账号权限矩阵L进行调整。
进一步地,所述监控改密单元内设置有最小权限等级Le,监控改密单元在判定调整后的预设改密周期Ty’已达到降权周期Tq时,将计算登录账号B的权限等级Li’,Li’=Li-[Li×(Tq-Ty’)/Tq],其中,Li’的计算结果保留整数,监控改密单元将账号权限矩阵L中登录账号B对应的当前权限等级Li替换为Li’,并将替换后的当前权限等级Li’与最小权限等级Le进行对比,
若Li’≥Le,所述监控改密单元判定替换后的当前权限等级Li’未低于最小权限等级Le,所述资源管理单元不对登录账号B锁定;
若Li’<Le,所述监控改密单元判定替换后的当前权限等级Li’已低于最小权限等级Le,所述资源管理单元将删除登录账号B对应的登录密码矩阵Bc,并将登录账号B锁定,限制登录账号B登录。
进一步地,所述监控改密单元内设置有标准登录数据量差ΔMb,在所述操作控制端通过输入登录账号B与登录密码Ck进行登录时,所述资源管理单元将登录账号B与登录密码Ck对应的标准登录数据量Mb传递至所述监控改密单元,监控改密单元获取操作控制端在登录账号B登录期间的实时登录数据量Ms,并计算实时登录数据量差ΔMs,监控改密单元将实时登录数据量差ΔMs与标准登录数据量差ΔMb进行对比,
当ΔMs≤ΔMb时,所述监控改密单元判定实时登录数据量差未超出标准登录数据量差,监控改密单元判定登录账号B为安全登录;
当ΔMs>ΔMb时,所述监控改密单元判定实时登录数据量差已超出标准登录数据量差,监控改密单元根据实时登录数据量Ms与标准登录数据量Mb判定登录账号B是否为安全登录。
进一步地,当所述监控改密单元判定实时登录数据量差已超出标准登录数据量差时,监控改密单元将实时登录数据量Ms与标准登录数据量Mb进行对比,
当Ms<Mb时,所述监控改密单元判定实时登录数据量Ms低于标准登录数据量Mb,监控改密单元判定登录账号B为安全登录,监控改密单元并将所述资源管理单元中登录账号B与登录密码Ck对应的标准登录数据量Mb调整为Mb’,Mb’=(Ms+Mb)/2;
当Ms>Mb时,所述监控改密单元判定实时登录数据量Ms高于标准登录数据量Mb,监控改密单元将根据实时登录数据量对所述自动改密模块内的预设密码复杂度进行调整。
进一步地,所述自动改密模块内设置有预设密码复杂度Py,自动改密模块以预设密码复杂度Py对登录密码进行自动更新改密,当所述监控改密单元判定登录账号B的实时登录数据量Ms高于标准登录数据量Mb时,监控改密单元将登录账号B的预设密码复杂度Py调整为Py’,Py’=Py×(Ms/Mb),自动改密模块将以预设密码复杂度Py’对登录账号B的登录密码矩阵Bc中的各登录密码进行自动更新改密,所述资源管理单元将注销所述操作控制端的登录,操作控制端将重新进行输入的身份信息A与登录账号B的匹配判定。
进一步地,所述操作控制端与所述服务器数据库之间设置有虚拟数据库,所述虚拟数据库与所述监控改密单元相连,虚拟数据库能够根据操作控制端的操作指令,提取服务器数据库内的数据在所述虚拟数据库内操作,或将外部数据储存至虚拟数据库,并在操作完成后储存至服务器数据库,所述监控改密单元能够对所述虚拟数据库内的数据操作进行记录,生成登录账号B的操作日志。
与现有技术相比,本发明的有益效果在于,通过在资源管理单元中存储各登录账号,并分别对每一个登录账号建立对应的登录密码矩阵,其中任意一登录账号对应一个登录密码矩阵,在登录密码矩阵内存储有该登录账号的若干登录密码,各登录密码对应着同的权限等级,同一账号以不同密码进行登录,可以实现同一登录账号的不同权限操作,同时在资源管理单元中设置账号权限矩阵,存储各登录账号与对应的权限等级,在资源管理单元根据登录账号进行寻密时,将通过登录账号对应的当前权限等级,在登录密码矩阵确定与登录账号当前权限匹配的密码,能够在服务器内部的登录账号对数据库进行操作时,准确地控制其权限等级,提高权限管理的安全性,同时通过设置监控改密单元,在输入的身份信息与登录账号不匹配时,对预设改密周期进行调整,随着身份信息验证次数的增加,该登录账号对应的预设改密周期逐渐缩短,避免外部插件对登录账号进行破解,并且通过在监控改密单元内设置降权周期,对调整后的预设改密周期进行判定,在调整后的预设改密周期缩短至降权周期时,监控改密单元会将该登录账号的当前权限等级进行修改,并在账号权限矩阵中对应进行更新,能够有效地较少人为或插件对登录账号密码的读取,在精准地控制各登录账号权限等级的同时极大地增强了服务器内部账号管理的安全性。
进一步地,通过在资源管理单元内设置账号信息库,将资源管理单元储存的各登录账号与身份信息建立对应关系,在操作控制端进行身份信息的验证,确定身份信息与登录账号是否匹配,在身份信息与登录账号匹配时,资源管理单元将选取登录密码发送至操作控制端,在身份信息与登录账号不匹配时,通过监控改密单元调整其内部设置的预设改密周期,避免登录账号被破解,提高了登录账号的安全性。
尤其,通过在资源管理单元内设置账号权限矩阵,能够准确实时地对各登录账号进行权限等级的管理,同时在资源管理单元内设置各登录账号对应的登录密码矩阵,使登录密码矩阵内的各登录密码与权限等级对应,减少了在登录账号权限等级改变时,新的权限等级对应的登录密码的创建,同时通过对同一登录账号建立大量的登录密码,减小了外部插件入侵获取准确登录密码的安全隐患,同时无需建立单独的权限等级管理系统,将权限等级管理与登录密码安全进行绑定,能够同时提高了权限等级管理与登录密码的安全性。
进一步地,通过在监控改密单元内设置自动改密模块,实时地对资源管理单元内各登录账号对应的登录密码矩阵进行自动更新改密,提高了登录密码的安全性,同时在检测到操作控制端输入的身份信息与登录账号不匹配时,对该登录账号的预设改密周期进行调整,减小登录密码被入侵破解的安全隐患,提高了登录密码管理的安全性。
进一步地,通过在监控改密单元内设置降权周期,并在预设改密周期调整后,对调整的预设改密周期进行判定,以确定是否更改该登录账号的权限等级,避免了人为或插件对登录账号的登录密码尝试破解,提高了登录密码管理的安全性。
进一步地,根据登录账号调整后的预设改密周期与降权周期对登录账号的权限等级进行对应计算与替换,并在监控改密单元内设置最小权限等级,将替换后登录账号的权限等级与最小权限等级进行对比,确定该登录账号是否存在异常,当替换后的当前权限等级低于最小权限等级时,表示该登录账号已无权限,将通过对该登录账号进行锁定,现在其进行登录,提高了登录账号管理的安全性。
进一步地,通过在监控改密单元内设置标准登录数据量差,并在登录账号登录时对实时登录数据量进行监控获取,避免了操作控制端在登录时,存在其他插件在操作控制端运行,同时也能够避免不安全数据在进行账号登录时传输至资源管理单元,读取或破坏资源管理单元中账号权限矩阵与登录密码矩阵中的数据信息,提高了资源自动改密系统的安全性。
进一步地,在监控改密单元判定实时登录数据量差已超出标准登录数据量差时,将实时登录数据量与标准登录数据量进行对比,若实时登录数据量低于标准登录数据量,表示操作控制端在登录期间产生的数据量低于已经记录的标准登录数据量,因此,对资源管理单元中该登录账号的标准登录数据量进行更改,提高了监控改密单元判定数据的准确性。
尤其,在监控改密单元判定实时登录数据量高于标准登录数据量时,表示账号的同时存在其他数据的传输,存在安全风险,因此直接通过控制自动改密模块进行自动更新改密,并提高原有的预设密码复杂度,提高登录密码的安全性,同时对已经登录完成账号的登录状态注销,避免对服务器数据库产生风险操作,对应注销了登录状态的登录账号,应重新进行身份信息与登录账号的匹配判定与登录密码的选取,进一步提高了资源自动改密系统的安全性。
进一步地,通过在操作控制端与服务器数据库之间设置虚拟数据库,将操作控制端对服务器数据库的操作转换为在虚拟数据库中的操作,一方面避免了操作控制端对服务器数据库进行了不可逆的操作,保障了服务器数据库的安全性,另一方面在服务器数据库对应多个操作控制端时,能够通过设置对应的多个虚拟数据库对各操作控制端的操作记录进行准确获取,并由监控改密单元生成操作日志,提高了服务器内部账号的权限等级管理与账号密码登录较大安全隐患的问题。
附图说明
图1为本实施例所述基于安全堡垒机的资源自动改密系统的示意图。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1所示,其为本实施例所述基于安全堡垒机的资源自动改密系统的示意图,本实施例公开一种基于安全堡垒机的资源自动改密系统,包括,
操作控制端,其用以输入身份信息与登录账号,所述操作控制端能够在登录后对服务器数据库进行操作控制;
资源管理单元,其与所述操作控制端相连,用以验证操作控制端输入的身份信息与登录账号是否匹配,所述资源管理单元能够根据操作控制端输入的登录账号确定对应的登录密码矩阵,并在账号权限矩阵中确定该登录账号的当前权限等级,根据登录账号的当前权限等级在对应的登录密码矩阵选取登录密码并发送至操作控制端;
监控改密单元,其与所述服务器数据库、所述资源管理单元和所述操作控制端分别相连,所述监控改密单元能够根据预设改密周期对输入的登录账号的登录密码矩阵进行自动更新改密,并在输入的身份信息与登录账号不匹配时,根据内部设置的登录验证缩减周期对预设改密周期进行调整,监控改密单元并根据降权周期对调整后的预设改密周期进行判定,并在判定调整后的预设改密周期达到降权周期时,对账号权限矩阵中对应的当前权限等级进行替换修改。
通过在资源管理单元中存储各登录账号,并分别对每一个登录账号建立对应的登录密码矩阵,其中任意一登录账号对应一个登录密码矩阵,在登录密码矩阵内存储有该登录账号的若干登录密码,各登录密码对应着同的权限等级,同一账号以不同密码进行登录,可以实现同一登录账号的不同权限操作,同时在资源管理单元中设置账号权限矩阵,存储各登录账号与对应的权限等级,在资源管理单元根据登录账号进行寻密时,将通过登录账号对应的当前权限等级,在登录密码矩阵确定与登录账号当前权限匹配的密码,能够在服务器内部的登录账号对数据库进行操作时,准确地控制其权限等级,提高权限管理的安全性,同时通过设置监控改密单元,在输入的身份信息与登录账号不匹配时,对预设改密周期进行调整,随着身份信息验证次数的增加,该登录账号对应的预设改密周期逐渐缩短,避免外部插件对登录账号进行破解,并且通过在监控改密单元内设置降权周期,对调整后的预设改密周期进行判定,在调整后的预设改密周期缩短至降权周期时,监控改密单元会将该登录账号的当前权限等级进行修改,并在账号权限矩阵中对应进行更新,能够有效地较少人为或插件对登录账号密码的读取,在精准地控制各登录账号权限等级的同时极大地增强了服务器内部账号管理的安全性。
具体而言,所述资源管理单元内设置有账号信息库,所述账号信息库内储存有若干登录账号以及与各登录账号对应的身份信息,在所述操作控制端输入身份信息A与登录账号B时,所述资源管理单元根据账号信息库对输入的身份信息A与登录账号B进行判定,
若输入的身份信息A与登录账号B匹配,所述资源管理单元将根据登录账号B选取登录密码并发送至操作控制端;
若输入的身份信息A与登录账号B不匹配,所述资源管理单元不进行登录账号B的登录密码选取,并对所述监控改密单元内登录账号B对应的预设改密周期进行调整。
通过在资源管理单元内设置账号信息库,将资源管理单元储存的各登录账号与身份信息建立对应关系,在操作控制端进行身份信息的验证,确定身份信息与登录账号是否匹配,在身份信息与登录账号匹配时,资源管理单元将选取登录密码发送至操作控制端,在身份信息与登录账号不匹配时,通过监控改密单元调整其内部设置的预设改密周期,避免登录账号被破解,提高了登录账号的安全性。
具体而言,所述资源管理单元内设置有账号权限矩阵L,所述账号权限矩阵L包括所述账号信息库内储存的所述各登录账号以及与各登录账号对应的权限等级,资源管理单元内还设置有所述各登录账号对应的若干登录密码矩阵,资源管理单元在输入的身份信息A与登录账号B匹配时,将登录账号B在账号权限矩阵L进行匹配,确定登录账号B对应的当前权限等级Li,资源管理单元并根据登录账号B确定与登录账号B对应的登录密码矩阵Bc,在登录密码矩阵Bc中选取当前权限等级Li对应的登录密码Ck发送至所述操作控制端,操作控制端通过输入登录账号B与登录密码Ck进行登录。
通过在资源管理单元内设置账号权限矩阵,能够准确实时地对各登录账号进行权限等级的管理,同时在资源管理单元内设置各登录账号对应的登录密码矩阵,使登录密码矩阵内的各登录密码与权限等级对应,减少了在登录账号权限等级改变时,新的权限等级对应的登录密码的创建,同时通过对同一登录账号建立大量的登录密码,减小了外部插件入侵获取准确登录密码的安全隐患,同时无需建立单独的权限等级管理系统,将权限等级管理与登录密码安全进行绑定,能够同时提高了权限等级管理与登录密码的安全性。
具体而言,所述监控改密单元内设置有自动改密模块,所述自动改密模块内设置有预设改密周期Ty与登录验证缩减周期Tj,所述资源管理单元在输入的身份信息A与登录账号B不匹配时,将登录验证错误指令发送至所述监控改密单元,监控改密单元将登录账号B的预设改密周期Ty调整为Ty’,Ty’=Ty-Tj,所述自动改密模块将以调整后的预设改密周期Ty’对登录账号B的登录密码矩阵Bc中各权限等级的登录密码进行自动更新改密。
通过在监控改密单元内设置自动改密模块,实时地对资源管理单元内各登录账号对应的登录密码矩阵进行自动更新改密,提高了登录密码的安全性,同时在检测到操作控制端输入的身份信息与登录账号不匹配时,对该登录账号的预设改密周期进行调整,减小登录密码被入侵破解的安全隐患,提高了登录密码管理的安全性。
具体而言,所述监控改密单元内设置有降权周期Tq,当所述监控改密单元对登录账号B的预设改密周期进行调整后,监控改密单元将调整后的预设改密周期Ty’与降权周期Tq进行对比,
若Ty’>Tq,所述监控改密单元判定调整后的预设改密周期Ty’未达到降权周期Tq,监控改密单元不对所述资源管理单元内的账号权限矩阵L进行调整;
若Ty’≤Tq,所述监控改密单元判定调整后的预设改密周期Ty’已达到降权周期Tq,监控改密单元将根据调整后的预设改密周期Ty’对所述资源管理单元内的账号权限矩阵L进行调整。
通过在监控改密单元内设置降权周期,并在预设改密周期调整后,对调整的预设改密周期进行判定,以确定是否更改该登录账号的权限等级,避免了人为或插件对登录账号的登录密码尝试破解,提高了登录密码管理的安全性。
具体而言,所述监控改密单元内设置有最小权限等级Le,监控改密单元在判定调整后的预设改密周期Ty’已达到降权周期Tq时,将计算登录账号B的权限等级Li’,Li’=Li-[Li×(Tq-Ty’)/Tq],其中,Li’的计算结果保留整数,监控改密单元将账号权限矩阵L中登录账号B对应的当前权限等级Li替换为Li’,并将替换后的当前权限等级Li’与最小权限等级Le进行对比,
若Li’≥Le,所述监控改密单元判定替换后的当前权限等级Li’未低于最小权限等级Le,所述资源管理单元不对登录账号B锁定;
若Li’<Le,所述监控改密单元判定替换后的当前权限等级Li’已低于最小权限等级Le,所述资源管理单元将删除登录账号B对应的登录密码矩阵Bc,并将登录账号B锁定,限制登录账号B登录。
根据登录账号调整后的预设改密周期与降权周期对登录账号的权限等级进行对应计算与替换,并在监控改密单元内设置最小权限等级,将替换后登录账号的权限等级与最小权限等级进行对比,确定该登录账号是否存在异常,当替换后的当前权限等级低于最小权限等级时,表示该登录账号已无权限,将通过对该登录账号进行锁定,现在其进行登录,提高了登录账号管理的安全性。
具体而言,所述监控改密单元内设置有标准登录数据量差ΔMb,在所述操作控制端通过输入登录账号B与登录密码Ck进行登录时,所述资源管理单元将登录账号B与登录密码Ck对应的标准登录数据量Mb传递至所述监控改密单元,监控改密单元获取操作控制端在登录账号B登录期间的实时登录数据量Ms,并计算实时登录数据量差ΔMs,监控改密单元将实时登录数据量差ΔMs与标准登录数据量差ΔMb进行对比,
当ΔMs≤ΔMb时,所述监控改密单元判定实时登录数据量差未超出标准登录数据量差,监控改密单元判定登录账号B为安全登录;
当ΔMs>ΔMb时,所述监控改密单元判定实时登录数据量差已超出标准登录数据量差,监控改密单元根据实时登录数据量Ms与标准登录数据量Mb判定登录账号B是否为安全登录。
通过在监控改密单元内设置标准登录数据量差,并在登录账号登录时对实时登录数据量进行监控获取,避免了操作控制端在登录时,存在其他插件在操作控制端运行,同时也能够避免不安全数据在进行账号登录时传输至资源管理单元,读取或破坏资源管理单元中账号权限矩阵与登录密码矩阵中的数据信息,提高了资源自动改密系统的安全性。
具体而言,当所述监控改密单元判定实时登录数据量差已超出标准登录数据量差时,监控改密单元将实时登录数据量Ms与标准登录数据量Mb进行对比,
当Ms<Mb时,所述监控改密单元判定实时登录数据量Ms低于标准登录数据量Mb,监控改密单元判定登录账号B为安全登录,监控改密单元并将所述资源管理单元中登录账号B与登录密码Ck对应的标准登录数据量Mb调整为Mb’,Mb’=(Ms+Mb)/2;
当Ms>Mb时,所述监控改密单元判定实时登录数据量Ms高于标准登录数据量Mb,监控改密单元将根据实时登录数据量对所述自动改密模块内的预设密码复杂度进行调整。
在监控改密单元判定实时登录数据量差已超出标准登录数据量差时,将实时登录数据量与标准登录数据量进行对比,若实时登录数据量低于标准登录数据量,表示操作控制端在登录期间产生的数据量低于已经记录的标准登录数据量,因此,对资源管理单元中该登录账号的标准登录数据量进行更改,提高了监控改密单元判定数据的准确性。
具体而言,所述自动改密模块内设置有预设密码复杂度Py,自动改密模块以预设密码复杂度Py对登录密码进行自动更新改密,当所述监控改密单元判定登录账号B的实时登录数据量Ms高于标准登录数据量Mb时,监控改密单元将登录账号B的预设密码复杂度Py调整为Py’,Py’=Py×(Ms/Mb),自动改密模块将以预设密码复杂度Py’对登录账号B的登录密码矩阵Bc中的各登录密码进行自动更新改密,所述资源管理单元将注销所述操作控制端的登录,操作控制端将重新进行输入的身份信息A与登录账号B的匹配判定。
在监控改密单元判定实时登录数据量高于标准登录数据量时,表示账号的同时存在其他数据的传输,存在安全风险,因此直接通过控制自动改密模块进行自动更新改密,并提高原有的预设密码复杂度,提高登录密码的安全性,同时对已经登录完成账号的登录状态注销,避免对服务器数据库产生风险操作,对应注销了登录状态的登录账号,应重新进行身份信息与登录账号的匹配判定与登录密码的选取,进一步提高了资源自动改密系统的安全性。
具体而言,所述操作控制端与所述服务器数据库之间设置有虚拟数据库,所述虚拟数据库与所述监控改密单元相连,虚拟数据库能够根据操作控制端的操作指令,提取服务器数据库内的数据在所述虚拟数据库内操作,或将外部数据储存至虚拟数据库,并在操作完成后储存至服务器数据库,所述监控改密单元能够对所述虚拟数据库内的数据操作进行记录,生成登录账号B的操作日志。
通过在操作控制端与服务器数据库之间设置虚拟数据库,将操作控制端对服务器数据库的操作转换为在虚拟数据库中的操作,一方面避免了操作控制端对服务器数据库进行了不可逆的操作,保障了服务器数据库的安全性,另一方面在服务器数据库对应多个操作控制端时,能够通过设置对应的多个虚拟数据库对各操作控制端的操作记录进行准确获取,并由监控改密单元生成操作日志,提高了服务器内部账号的权限等级管理与账号密码登录较大安全隐患的问题。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于安全堡垒机的资源自动改密系统,其特征在于,包括,
操作控制端,其用以输入身份信息与登录账号,所述操作控制端能够在登录后对服务器数据库进行操作控制;
资源管理单元,其与所述操作控制端相连,用以验证操作控制端输入的身份信息与登录账号是否匹配,所述资源管理单元能够根据操作控制端输入的登录账号确定对应的登录密码矩阵,并在账号权限矩阵中确定该登录账号的当前权限等级,根据登录账号的当前权限等级在对应的登录密码矩阵选取登录密码并发送至操作控制端;
监控改密单元,其与所述服务器数据库、所述资源管理单元和所述操作控制端分别相连,所述监控改密单元能够根据预设改密周期对输入的登录账号的登录密码矩阵进行自动更新改密,并在输入的身份信息与登录账号不匹配时,根据内部设置的登录验证缩减周期对预设改密周期进行调整,监控改密单元并根据降权周期对调整后的预设改密周期进行判定,并在判定调整后的预设改密周期达到降权周期时,对账号权限矩阵中对应的当前权限等级进行替换修改。
2.根据权利要求1所述的基于安全堡垒机的资源自动改密系统,其特征在于,所述资源管理单元内设置有账号信息库,所述账号信息库内储存有若干登录账号以及与各登录账号对应的身份信息,在所述操作控制端输入身份信息A与登录账号B时,所述资源管理单元根据账号信息库对输入的身份信息A与登录 账号B进行判定,
若输入的身份信息A与登录账号B匹配,所述资源管理单元将根据登录账号B选取登录密码并发送至操作控制端;
若输入的身份信息A与登录账号B不匹配,所述资源管理单元不进行登录账号B的登录密码选取,并对所述监控改密单元内登录账号B对应的预设改密周期进行调整。
3.根据权利要求2所述的基于安全堡垒机的资源自动改密系统,其特征在于,所述资源管理单元内设置有账号权限矩阵L,所述账号权限矩阵L包括所述账号信息库内储存的所述各登录账号以及与各登录账号对应的权限等级,资源管理单元内还设置有所述各登录账号对应的若干登录密码矩阵,资源管理单元在输入的身份信息A与登录账号B匹配时,将登录账号B在账号权限矩阵L进行匹配,确定登录账号B对应的当前权限等级Li,资源管理单元并根据登录账号B确定与登录账号B对应的登录密码矩阵Bc,在登录密码矩阵Bc中选取当前权限等级Li对应的登录密码Ck发送至所述操作控制端,操作控制端通过输入登录账号B与登录密码Ck进行登录。
4.根据权利要求3所述的基于安全堡垒机的资源自动改密系统,其特征在于,所述监控改密单元内设置有自动改密模块,所述自动改密模块内设置有预设改密周期Ty与登录验证缩减周期Tj,所述资源管理单元在输入的身份信息A与登录账号B不匹配时,将登录验证错误指令发送至所述监控改密单元,监控改密单元将登录账号B的预设改密周期Ty调整为Ty’,Ty’=Ty-Tj,所述自动改密模块将以调整后的预设改密周期Ty’对登录账号B的登录密码矩阵Bc中各权限等级的登录密码进行自动更新改密。
5.根据权利要求4所述的基于安全堡垒机的资源自动改密系统,其特征在于,所述监控改密单元内设置有降权周期Tq,当所述监控改密单元对登录账号B的预设改密周期进行调整后,监控改密单元将调整后的预设改密周期Ty’与降权周期Tq进行对比,
若Ty’>Tq,所述监控改密单元判定调整后的预设改密周期Ty’未达到降权周期Tq,监控改密单元不对所述资源管理单元内的账号权限矩阵L进行调整;
若Ty’≤Tq,所述监控改密单元判定调整后的预设改密周期Ty’已达到降权周期Tq,监控改密单元将根据调整后的预设改密周期Ty’对所述资源管理单元内的账号权限矩阵L进行调整。
6.根据权利要求5所述的基于安全堡垒机的资源自动改密系统,其特征在于,所述监控改密单元内设置有最小权限等级Le,监控改密单元在判定调整后的预设改密周期Ty’已达到降权周期Tq时,将计算登录账号B的权限等级Li’,Li’=Li-[Li×(Tq-Ty’)/Tq],其中,Li’的计算结果保留整数,监控改密单元将账号权限矩阵L中登录账号B对应的当前权限等级Li替换为Li’,并将替换后的当前权限等级Li’与最小权限等级Le进行对比,
若Li’≥Le,所述监控改密单元判定替换后的当前权限等级Li’未低于最小权限等级Le,所述资源管理单元不对登录账号B锁定;
若Li’<Le,所述监控改密单元判定替换后的当前权限等级Li’已低于最小权限等级Le,所述资源管理单元将删除登录账号B对应的登录密码矩阵Bc,并将登录账号B锁定,限制登录账号B登录。
7.根据权利要求6所述的基于安全堡垒机的资源自动改密系统,其特征在于,所述监控改密单元内设置有标准登录数据量差ΔMb,在所述操作控制端通过输入登录账号B与登录密码Ck进行登录时,所述资源管理单元将登录账号B与登录密码Ck对应的标准登录数据量Mb传递至所述监控改密单元,监控改密单元获取操作控制端在登录账号B登录期间的实时登录数据量Ms,并计算实时登录数据量差ΔMs,监控改密单元将实时登录数据量差ΔMs与标准登录数据量差ΔMb进行对比,
当ΔMs≤ΔMb时,所述监控改密单元判定实时登录数据量差未超出标准登录数据量差,监控改密单元判定登录账号B为安全登录;
当ΔMs>ΔMb时,所述监控改密单元判定实时登录数据量差已超出标准登录数据量差,监控改密单元根据实时登录数据量Ms与标准登录数据量Mb判定登录账号B是否为安全登录。
8.根据权利要求7所述的基于安全堡垒机的资源自动改密系统,其特征在于,当所述监控改密单元判定实时登录数据量差已超出标准登录数据量差时,监控改密单元将实时登录数据量Ms与标准登录数据量Mb进行对比,
当Ms<Mb时,所述监控改密单元判定实时登录数据量Ms低于标准登录数据量Mb,监控改密单元判定登录账号B为安全登录,监控改密单元并将所述资源管理单元中登录账号B与登录密码Ck对应的标准登录数据量Mb调整为Mb’,Mb’=(Ms+Mb)/2;
当Ms>Mb时,所述监控改密单元判定实时登录数据量Ms高于标准登录数据量Mb,监控改密单元将根据实时登录数据量对所述自动改密模块内的预设密码复杂度进行调整。
9.根据权利要求8所述的基于安全堡垒机的资源自动改密系统,其特征在于,所述自动改密模块内设置有预设密码复杂度Py,自动改密模块以预设密码复杂度Py对登录密码进行自动更新改密,当所述监控改密单元判定登录账号B的实时登录数据量Ms高于标准登录数据量Mb时,监控改密单元将登录账号B的预设密码复杂度Py调整为Py’,Py’=Py×(Ms/Mb),自动改密模块将以预设密码复杂度Py’对登录账号B的登录密码矩阵Bc中的各登录密码进行自动更新改密,所述资源管理单元将注销所述操作控制端的登录,操作控制端将重新进行输入的身份信息A与登录账号B的匹配判定。
10.根据权利要求9所述的基于安全堡垒机的资源自动改密系统,其特征在于,所述操作控制端与所述服务器数据库之间设置有虚拟数据库,所述虚拟数据库与所述监控改密单元相连,虚拟数据库能够根据操作控制端的操作指令,提取服务器数据库内的数据在所述虚拟数据库内操作,或将外部数据储存至虚拟数据库,并在操作完成后储存至服务器数据库,所述监控改密单元能够对所述虚拟数据库内的数据操作进行记录,生成登录账号B的操作日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310056538.3A CN115795439B (zh) | 2023-01-18 | 2023-01-18 | 一种基于安全堡垒机的资源自动改密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310056538.3A CN115795439B (zh) | 2023-01-18 | 2023-01-18 | 一种基于安全堡垒机的资源自动改密系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115795439A true CN115795439A (zh) | 2023-03-14 |
| CN115795439B CN115795439B (zh) | 2023-04-18 |
Family
ID=85429723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310056538.3A Active CN115795439B (zh) | 2023-01-18 | 2023-01-18 | 一种基于安全堡垒机的资源自动改密系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115795439B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100174758A1 (en) * | 2009-01-05 | 2010-07-08 | International Business Machines Corporation | Automatic management of single sign on passwords |
| CN106506153A (zh) * | 2016-11-28 | 2017-03-15 | 浙江齐治科技股份有限公司 | 一种自动改密方法、装置及堡垒机 |
| CN110719276A (zh) * | 2019-09-30 | 2020-01-21 | 北京网瑞达科技有限公司 | 基于缓存密码的网络设备安全访问的系统及其工作方法 |
| CN110719298A (zh) * | 2019-11-05 | 2020-01-21 | 广州海颐信息安全技术有限公司 | 支持自定义更改特权账号密码的方法及装置 |
| CN111339506A (zh) * | 2020-02-21 | 2020-06-26 | 安徽斯跑特科技有限公司 | 一种可信操作系统销售用客户管理平台 |
| CN111586032A (zh) * | 2020-03-07 | 2020-08-25 | 浙江齐治科技股份有限公司 | 一种堡垒机 |
-
2023
- 2023-01-18 CN CN202310056538.3A patent/CN115795439B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100174758A1 (en) * | 2009-01-05 | 2010-07-08 | International Business Machines Corporation | Automatic management of single sign on passwords |
| CN106506153A (zh) * | 2016-11-28 | 2017-03-15 | 浙江齐治科技股份有限公司 | 一种自动改密方法、装置及堡垒机 |
| CN110719276A (zh) * | 2019-09-30 | 2020-01-21 | 北京网瑞达科技有限公司 | 基于缓存密码的网络设备安全访问的系统及其工作方法 |
| CN110719298A (zh) * | 2019-11-05 | 2020-01-21 | 广州海颐信息安全技术有限公司 | 支持自定义更改特权账号密码的方法及装置 |
| CN111339506A (zh) * | 2020-02-21 | 2020-06-26 | 安徽斯跑特科技有限公司 | 一种可信操作系统销售用客户管理平台 |
| CN111586032A (zh) * | 2020-03-07 | 2020-08-25 | 浙江齐治科技股份有限公司 | 一种堡垒机 |
| CN111600857A (zh) * | 2020-03-07 | 2020-08-28 | 浙江齐治科技股份有限公司 | 数据中心账号维护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115795439B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10169764B2 (en) | Secure end-to-end permitting system for device operations | |
| CN107231346A (zh) | 一种云平台身份识别的方法 | |
| RU2523927C2 (ru) | Проверка изменения конфигурации (ied) | |
| CN110011848B (zh) | 一种移动运维审计系统 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN110930551A (zh) | 开锁方法及其装置、密码授权方法及其装置、及门锁系统 | |
| CN106559408A (zh) | 一种基于信任管理的sdn认证方法 | |
| CN111064718A (zh) | 一种基于用户上下文及策略的动态授权方法和系统 | |
| CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
| CN110211276A (zh) | 一种枪弹紧急解锁管理方法、装置及系统 | |
| CN111292438A (zh) | 一种信息安全的无人机巡检方法 | |
| CN115795439B (zh) | 一种基于安全堡垒机的资源自动改密系统 | |
| CN112214772A (zh) | 一种特权凭证集中管控与服务系统 | |
| US11245699B2 (en) | Token-based device access restriction systems | |
| CN110740122B (zh) | 一种提高数据仓库安全性的方法、装置 | |
| CN115189958B (zh) | 一种实现多级架构之间认证漫游和鉴权的方法 | |
| CN115982681A (zh) | 一种计算机网络身份验证系统 | |
| CN111652454A (zh) | 一种监理质量、安全生产管理评测管理系统 | |
| CN103220265B (zh) | 工业自动化系统和对其进行保护的方法 | |
| CN112199651A (zh) | 一种登录身份信息验证系统及其验证方法 | |
| CN111651737A (zh) | 一种程序账号密码安全管理系统 | |
| CN111597525A (zh) | 资源管理系统安全平台 | |
| CN115632892B (zh) | 基于代理对oracle10g认证过程中用户名和密码替换的方法 | |
| CN115174234B (zh) | 基于区块链的物联网标识管理方法 | |
| CN114520731B (zh) | 一种云计算用防数据入侵的云服务器及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |