CN115987524B - 一种用于堡垒机的多因子认证安全管理方法及装置 - Google Patents
一种用于堡垒机的多因子认证安全管理方法及装置 Download PDFInfo
- Publication number
- CN115987524B CN115987524B CN202211659478.6A CN202211659478A CN115987524B CN 115987524 B CN115987524 B CN 115987524B CN 202211659478 A CN202211659478 A CN 202211659478A CN 115987524 B CN115987524 B CN 115987524B
- Authority
- CN
- China
- Prior art keywords
- authentication
- factor
- remote
- fort machine
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明提供一种用于堡垒机的多因子认证安全管理方法及装置,方法包括:终端向堡垒机发出对远程微隔离服务资源的第一访问请求,第一访问请求包括终端的第一认证因子;堡垒机将第一认证因子发送到远程认证平台对第一认证因子进行第一验证,第一验证通过后堡垒机发出对远程微隔离服务资源的第二访问请求,第二访问请求包括堡垒机的第二认证因子和第三认证因子;微隔离服务资源将第二认证因子和第三认证因子发送到远程认证平台进行第二验证和第三验证,第二验证和第三验证通过后微隔离服务资源接受终端的访问。本发明提供的用于堡垒机的多因子认证安全管理方法及装置,通过对终端以及堡垒机进行多因子认证,从而保证堡垒机管理的安全性。
Description
技术领域
本发明涉及堡垒机运维技术领域,特别是涉及一种用于堡垒机的多因子认证安全管理方法及装置。
背景技术
堡垒机或云堡垒机主要基于对协议的正向代理,实现对服务器、容器等资产的批量运维操作管理,同时还提供身份认证、权限管理、资产管理、操作审计等功能,以实现针对运维人员为目标的安全运维审计。
申请号为CN202210790944.8,名称为“一种基于多局域网环境的堡垒机系统及堡垒机访问方法”的发明专利公开了一种基于多局域网环境的堡垒机系统及堡垒机访问方法,属于网络安全领域。所述方法为每个局域网设置一个代理网关,为多局域网环境设置唯一一台堡垒机,所有代理网关同时与堡垒机连接;在堡垒机中对应代理网关设置数据库,并基于主机IP对数据库进行分区,分区中存储当前主机IP访问用户的关联信息;用户登录堡垒机系统后,堡垒机系统根据用户的登录信息直接生成请求数据,根据代理网关IP将请求数据发送给相应的代理网关;代理网关将传输层TCP数据包报文中的目标IP修改为目标主机IP,将源IP修改为代理网关IP,使用户的客户端与目标主机间直接建立连接,实现访问。然而,在现有大网络互通的环境下,给堡垒机的安全管理带来了很大的压力。堡垒机作为承载企业大量敏感信息的核心资产和关键边界入口,容易遭受外部的各类攻击,其自身安全性存在较高风险。
因此,有必要提供一种用于堡垒机的多因子认证安全管理方法及装置,能够解决上述问题。
发明内容
本发明针对现有技术存在的问题和不足,提供一种用于堡垒机的多因子认证安全管理方法及装置,通过对终端以及堡垒机进行多因子认证,从而保证堡垒机管理的安全性。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供一种用于堡垒机的多因子认证安全管理方法,所述方法包括:
终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子;
所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子;
所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问。
优选地,所述第一认证因子包括预先被加入随机字符串并进行第一哈希运算后得到的所述终端的私钥的第一密文和第一哈希摘要,所述远程认证平台的第一存储器存储有和所述第一密文对应的第一公钥;
所述第二认证因子包括进行第二哈希运算后得到的所述堡垒机的私钥的第二密文和第二哈希摘要,所述远程认证平台的第二存储器存储有和所述第二密文对应的第二公钥;
所述第三认证因子包括所述堡垒机的令牌和网络配置信息,所述堡垒机的令牌和所述堡垒机的私钥一一对应,所述远程认证平台的第三存储器存储有所述堡垒机的令牌和网络配置信息。
优选地,所述第一哈希运算为加盐哈希运算,所述第二哈希运算为HMAC运算。
优选地,所述第二密文还包括需校验内容和未校验内容以及校验位置信息,根据所述校验位置信息,对所述第二密文的需校验内容进行第二哈希计算得到哈希摘要。
优选地,所述远程认证平台运行第一代码计算得到所述终端的私钥的哈希摘要,如果所述终端的私钥的哈希摘要和所述第一哈希摘要相同且所述第一公钥成功解密所述第一密文,则所述第一验证通过。
优选地,所述远程认证平台运行第二代码计算得到所述堡垒机的私钥的哈希摘要,如果所述堡垒机的私钥的哈希摘要和所述第二哈希摘要相同且所述第二公钥成功解密所述第二密文,则所述第二验证通过。
优选地,所述第一访问请求还包括访问远程微隔离服务资源的预设时长,所述堡垒机根据所述访问远程微隔离服务资源的预设时长生成时间戳,当所述终端对所述远程微隔离服务资源的访问达到预设时长时,则断开和所述远程微隔离服务资源的连接。
优选地,如果所述第一验证或所述第二验证或所述第三验证未通过,则终止所述终端对所述远程微隔离服务资源的访问,所述远程认证平台向所述堡垒机发出警告信息。
优选地,所述警告信息包括第一级警告信息、第二级警告信息和第三级警告信息,当所述第一验证未通过时,所述远程认证平台向所述堡垒机发出所述第一级警告信息,当所述第二验证未通过时,所述远程认证平台向所述堡垒机发出所述第二级警告信息,当所述第三验证未通过时,所述远程认证平台向所述堡垒机发出所述第三级警告信息。
本发明还提供一种用于堡垒机的多因子认证安全管理装置,所述装置包括:
第一访问请求模块,其用于终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子;
第二访问请求模块,其用于所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子;
验证模块,其用于所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问。
与现有技术相比,本发明实施例的技术方案具有以下有益效果:
本发明实施例提供的用于堡垒机的多因子认证安全管理方法及装置,终端向堡垒机发出对远程微隔离服务资源的第一访问请求,第一访问请求包括终端的第一认证因子;堡垒机将第一认证因子发送到远程认证平台对第一认证因子进行第一验证,第一验证通过后堡垒机发出对远程微隔离服务资源的第二访问请求,第二访问请求包括堡垒机的第二认证因子和第三认证因子;微隔离服务资源将第二认证因子和第三认证因子发送到远程认证平台进行第二验证和第三验证,第二验证和第三验证通过后微隔离服务资源接受终端的访问,通过对终端以及堡垒机进行多因子认证,从而保证堡垒机管理的安全性;
进一步地,所述第一认证因子包括预先被加入随机字符串并进行第一哈希运算后得到的所述终端的私钥的第一密文和第一哈希摘要,所述远程认证平台的第一存储器存储有和所述第一密文对应的第一公钥;所述第二认证因子包括进行第二哈希运算后得到的所述堡垒机的私钥的第二密文和第二哈希摘要,所述远程认证平台的第二存储器存储有和所述第二密文对应的第二公钥;所述第三认证因子包括所述堡垒机的令牌和网络配置信息,所述堡垒机的令牌和所述堡垒机的私钥一一对应,所述远程认证平台的第三存储器存储有所述堡垒机的令牌和网络配置信息,通过使用私钥公钥密钥对并结合第一哈希运算和第二哈希运算,进一步保证堡垒机管理的安全性;
进一步地,所述第二密文还包括需校验内容和未校验内容以及校验位置信息,根据所述校验位置信息,对所述第二密文的需校验内容进行第二哈希计算得到哈希摘要,通过根据校验位置信息对第二密文的需校验内容进行校验,从而进一步保证堡垒机管理的安全性;
进一步地,所述第一访问请求还包括访问远程微隔离服务资源的预设时长,所述堡垒机根据所述访问远程微隔离服务资源的预设时长生成时间戳,当所述终端对所述远程微隔离服务资源的访问达到预设时长时,则断开和所述远程微隔离服务资源的连接,从而避免终端对远程微隔离服务资源的不必要的长时间的访问,进一步保证堡垒机管理的安全性。
附图说明
图1为本发明一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图;
图2为本发明又一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图;
图3为本发明又一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图;
图4为本发明又一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图;
图5为本发明又一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图;
图6为本发明的一个实施例提供的一种用于堡垒机的多因子认证安全管理装置的模块示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
基于现有技术存在的问题,提供一种用于堡垒机的多因子认证安全管理方法及装置,通过对终端以及堡垒机进行多因子认证,从而保证堡垒机管理的安全性。
图1为本发明一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图,如图1所示,本发明提供一种用于堡垒机的多因子认证安全管理方法,所述方法包括:
步骤S101:终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子;
步骤S102:所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子;
步骤S103:所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问。
具体地,终端向堡垒机发出的对远程微隔离服务资源的第一访问请求,除了包括所述终端的第一认证因子,还可以包括所述终端的身份标签。堡垒机发出的对远程微隔离服务资源的第二访问请求,除了包括所述堡垒机的第二认证因子和第三认证因子,还可以包括所述堡垒机的身份标签。远程认证平台可以是提供用于访问远程微隔离服务资源的多种认证服务的认证平台,所述认证服务包括认证所述终端的第一认证因子、所述堡垒机的第二认证因子和第三认证因子,从而使得所述终端和/或所述堡垒机能够向远程认证平台证明其身份。可以通过超文本传输协议将第一认证因子、第二认证因子、第三认证因子发送到远程认证平台。
其中,微隔离服务资源通过交换机和所述堡垒机连接,微隔离服务资源有多个。
在具体实施中,所述第一认证因子包括预先被加入随机字符串并进行第一哈希运算后得到的所述终端的私钥的第一密文和第一哈希摘要,所述远程认证平台的第一存储器存储有和所述第一密文对应的第一公钥;
所述第二认证因子包括进行第二哈希运算后得到的所述堡垒机的私钥的第二密文和第二哈希摘要,所述远程认证平台的第二存储器存储有和所述第二密文对应的第二公钥;
所述第三认证因子包括所述堡垒机的令牌和网络配置信息,所述堡垒机的令牌和所述堡垒机的私钥一一对应,所述远程认证平台的第三存储器存储有所述堡垒机的令牌和网络配置信息。
具体地,所述终端的私钥被预先加入随机字符串后进行第一哈希运算,得到第一密文和第一哈希摘要,所述堡垒机的私钥进行第二哈希运算后,得到第二密文和第二哈希摘要,由此终端的私钥和堡垒机的私钥是以加密后的形式发送给远程认证平台,而不是以明文的形式进行发送,从而提高终端私钥以及堡垒机私钥在传送过程中的安全性。
所述堡垒机的令牌和所述堡垒机的私钥一一对应,可以根据堡垒机的令牌查询堡垒机的第二密文。所述堡垒机的网络配置信息包括堡垒机的IP地址、堡垒机的子网掩码、以及堡垒机的域名系统等网络配置信息。远程认证平台存储有堡垒机的令牌和网络配置信息,远程认证平台可以对发送过来的第三认证因子进行一一核对,核对堡垒机的令牌是否正确,以及核对堡垒机的网络配置信息是否正确,如果核对下来令牌和网络配置信息有误,则拒绝堡垒机的第二访问请求。
所述远程认证平台分别用第一存储器、第二存储器、第三存储器来存储和所述第一密文对应的第一公钥、和所述第二密文对应的第二公钥、所述堡垒机的令牌和网络配置信息。其中,第一公钥和终端的私钥为一对密钥对,第二公钥和堡垒机的私钥为一对密钥对。
在具体实施中,所述第一哈希运算为加盐哈希运算,所述第二哈希运算为HMAC(Hash-based Message Authentication Code,哈希运算消息认证码)运算。
例如,可以在所述终端的私钥被预先加入随机字符串后进行加盐哈希运算,得到第一密文和第一哈希摘要,所述堡垒机的私钥进行HMAC运算后,得到第二密文和第二哈希摘要。
图2为本发明又一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图,现在参看图2,一种用于堡垒机的多因子认证安全管理方法,所述方法包括:
步骤S201:终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子;
步骤S202:所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子;
步骤S203:所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问;
步骤S204:所述第二密文还包括需校验内容和未校验内容以及校验位置信息,根据所述校验位置信息,对所述第二密文的需校验内容进行第二哈希计算得到哈希摘要。
具体地,所述校验位置信息可以是一个起始位置加上一个长度信息,也可以只是一个长度信息。
图3为本发明又一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图,现在参看图3,一种用于堡垒机的多因子认证安全管理方法,所述方法包括:
步骤S301:终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子;
步骤S302:所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子;
步骤S303:所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问;
步骤S304:所述远程认证平台运行第一代码计算得到所述终端的私钥的哈希摘要,如果所述终端的私钥的哈希摘要和所述第一哈希摘要相同且所述第一公钥成功解密所述第一密文,则所述第一验证通过。
步骤S305:所述远程认证平台运行第二代码计算得到所述堡垒机的私钥的哈希摘要,如果所述堡垒机的私钥的哈希摘要和所述第二哈希摘要相同且所述第二公钥成功解密所述第二密文,则所述第二验证通过。
具体地,如果所述终端的私钥的哈希摘要和所述第一哈希摘要相同且所述第一公钥成功解密所述第一密文,分别通过第一哈希算法和第一公钥对终端私钥进行解密,双重保证第一验证的正确性。如果所述堡垒机的私钥的哈希摘要和所述第二哈希摘要相同且所述第二公钥成功解密所述第二密文,分别通过第二哈希算法和第二公钥对堡垒机私钥进行解密,双重保证第二验证的正确性。
图4为本发明又一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图,现在参看图4,一种用于堡垒机的多因子认证安全管理方法,所述方法包括:
步骤S401:终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子;
步骤S402:所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子;
步骤S403:所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问;
步骤S404:所述第一访问请求还包括访问远程微隔离服务资源的预设时长,所述堡垒机根据所述访问远程微隔离服务资源的预设时长生成时间戳,当所述终端对所述远程微隔离服务资源的访问达到预设时长时,则断开和所述远程微隔离服务资源的连接。
具体地,根据终端的第一访问请求,对远程微隔离服务资源的访问时长进行预设,并生成时间戳,如终端对远程微隔离服务资源的访问时长达到预设时长,则断开终端和远程微隔离服务资源的连接,由此避免不必要的长时间占用远程微隔离服务资源的占用,从而保证堡垒机的安全性。
图5为本发明又一个实施例提供的一种用于堡垒机的多因子认证安全管理方法的流程示意图,现在参看图5,一种用于堡垒机的多因子认证安全管理方法,所述方法包括:
步骤S501:终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子;
步骤S502:所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子;
步骤S503:所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问;
步骤S504:如果所述第一验证或所述第二验证或所述第三验证未通过,则终止所述终端对所述远程微隔离服务资源的访问,所述远程认证平台向所述堡垒机发出警告信息。
在具体实施中,所述警告信息包括第一级警告信息、第二级警告信息和第三级警告信息,当所述第一验证未通过时,所述远程认证平台向所述堡垒机发出所述第一级警告信息,当所述第二验证未通过时,所述远程认证平台向所述堡垒机发出所述第二级警告信息,当所述第三验证未通过时,所述远程认证平台向所述堡垒机发出所述第三级警告信息。
具体地,第一级警告信息包括通过短信、微信、钉钉、邮件等方式向堡垒机发送警告,第二级警告信息包括通过语音方式向堡垒机发送警告,第三级警告信息包括通过堡垒机屏幕警示方式向堡垒机发送警告。
基于现有技术存在的问题,如图6所示,本发明还提供一种用于堡垒机的多因子认证安全管理装置,所述装置包括:
第一访问请求模块61,其用于终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子;
第二访问请求模块62,其用于所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子;
验证模块63,其用于所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问。
综上所述,本发明实施例提供的用于堡垒机的多因子认证安全管理方法及装置,终端向堡垒机发出对远程微隔离服务资源的第一访问请求,第一访问请求包括终端的第一认证因子;堡垒机将第一认证因子发送到远程认证平台对第一认证因子进行第一验证,第一验证通过后堡垒机发出对远程微隔离服务资源的第二访问请求,第二访问请求包括堡垒机的第二认证因子和第三认证因子;微隔离服务资源将第二认证因子和第三认证因子发送到远程认证平台进行第二验证和第三验证,第二验证和第三验证通过后微隔离服务资源接受终端的访问,通过对终端以及堡垒机进行多因子认证,从而保证堡垒机管理的安全性;
进一步地,所述第一认证因子包括预先被加入随机字符串并进行第一哈希运算后得到的所述终端的私钥的第一密文和第一哈希摘要,所述远程认证平台的第一存储器存储有和所述第一密文对应的第一公钥;所述第二认证因子包括进行第二哈希运算后得到的所述堡垒机的私钥的第二密文和第二哈希摘要,所述远程认证平台的第二存储器存储有和所述第二密文对应的第二公钥;所述第三认证因子包括所述堡垒机的令牌和网络配置信息,所述堡垒机的令牌和所述堡垒机的私钥一一对应,所述远程认证平台的第三存储器存储有所述堡垒机的令牌和网络配置信息,通过使用私钥公钥密钥对并结合第一哈希运算和第二哈希运算,进一步保证堡垒机管理的安全性;
进一步地,所述第二密文还包括需校验内容和未校验内容以及校验位置信息,根据所述校验位置信息,对所述第二密文的需校验内容进行第二哈希计算得到哈希摘要,通过根据校验位置信息对第二密文的需校验内容进行校验,从而进一步保证堡垒机管理的安全性;
进一步地,所述第一访问请求还包括访问远程微隔离服务资源的预设时长,所述堡垒机根据所述访问远程微隔离服务资源的预设时长生成时间戳,当所述终端对所述远程微隔离服务资源的访问达到预设时长时,则断开和所述远程微隔离服务资源的连接,从而避免终端对远程微隔离服务资源的不必要的长时间的访问,进一步保证堡垒机管理的安全性。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (8)
1.一种用于堡垒机的多因子认证安全管理方法,其特征在于,所述方法包括:
终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子,所述第一认证因子包括所述终端的私钥的第一密文和第一哈希摘要,所述第一密文预先被加入随机字符串并进行加密后得到,所述第一哈希摘要通过对所述第一密文进行第一哈希运算后得到;
所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子,所述第二认证因子包括第二密文和第二哈希摘要,所述第二密文通过对所述堡垒机的私钥进行 HMAC 运算后得到,所述第二哈希摘要通过对所述第二密文进行第二哈希运算后得到,所述第三认证因子包括所述堡垒机的令牌和网络配置信息;
所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问。
2.根据权利要求1所述的用于堡垒机的多因子认证安全管理方法,其特征在于,
所述远程认证平台的第一存储器存储有和所述第一密文对应的第一公钥;
所述远程认证平台的第二存储器存储有和所述第二密文对应的第二公钥;
所述堡垒机的令牌和所述堡垒机的私钥一一对应,所述远程认证平台的第三存储器存储有所述堡垒机的令牌和网络配置信息。
3.根据权利要求1所述的用于堡垒机的多因子认证安全管理方法,其特征在于,所述第一哈希运算为加盐哈希运算,所述第二哈希运算为HMAC运算。
4.根据权利要求2所述的用于堡垒机的多因子认证安全管理方法,其特征在于,所述第二密文还包括需校验内容和未校验内容以及校验位置信息,根据所述校验位置信息,对所述第二密文的需校验内容进行第二哈希计算得到哈希摘要。
5.根据权利要求1所述的用于堡垒机的多因子认证安全管理方法,其特征在于,所述第一访问请求还包括访问远程微隔离服务资源的预设时长,所述堡垒机根据所述访问远程微隔离服务资源的预设时长生成时间戳,当所述终端对所述远程微隔离服务资源的访问达到预设时长时,则断开和所述远程微隔离服务资源的连接。
6.根据权利要求1所述的用于堡垒机的多因子认证安全管理方法,其特征在于,如果所述第一验证或所述第二验证或所述第三验证未通过,则终止所述终端对所述远程微隔离服务资源的访问,所述远程认证平台向所述堡垒机发出警告信息。
7.根据权利要求6所述的用于堡垒机的多因子认证安全管理方法,其特征在于,所述警告信息包括第一级警告信息、第二级警告信息和第三级警告信息,当所述第一验证未通过时,所述远程认证平台向所述堡垒机发出所述第一级警告信息,当所述第二验证未通过时,所述远程认证平台向所述堡垒机发出所述第二级警告信息,当所述第三验证未通过时,所述远程认证平台向所述堡垒机发出所述第三级警告信息。
8.一种用于堡垒机的多因子认证安全管理装置,其特征在于,所述装置包括:
第一访问请求模块,其用于终端向堡垒机发出对远程微隔离服务资源的第一访问请求,所述第一访问请求包括所述终端的第一认证因子,所述第一认证因子包括所述终端的私钥的第一密文和第一哈希摘要,所述第一密文预先被加入随机字符串并进行加密后得到,所述第一哈希摘要通过对所述第一密文进行哈希运算后得到;
第二访问请求模块,其用于所述堡垒机将所述第一认证因子发送到远程认证平台对所述第一认证因子进行第一验证,所述第一验证通过后所述堡垒机发出对所述远程微隔离服务资源的第二访问请求,所述第二访问请求包括所述堡垒机的第二认证因子和第三认证因子,所述第二认证因子包括第二密文和第二哈希摘要,所述第二密文通过对所述堡垒机的私钥进行 HMAC 运算后得到,所述第二哈希摘要通过对所述第二密文进行哈希运算后得到,所述第三认证因子包括所述堡垒机的令牌和网络配置信息;
验证模块,其用于所述微隔离服务资源将所述第二认证因子和第三认证因子发送到所述远程认证平台进行第二验证和第三验证,所述第二验证和第三验证通过后所述微隔离服务资源接受所述终端的访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211659478.6A CN115987524B (zh) | 2022-12-22 | 2022-12-22 | 一种用于堡垒机的多因子认证安全管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211659478.6A CN115987524B (zh) | 2022-12-22 | 2022-12-22 | 一种用于堡垒机的多因子认证安全管理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115987524A CN115987524A (zh) | 2023-04-18 |
| CN115987524B true CN115987524B (zh) | 2023-06-27 |
Family
ID=85973431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211659478.6A Active CN115987524B (zh) | 2022-12-22 | 2022-12-22 | 一种用于堡垒机的多因子认证安全管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115987524B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936817A (zh) * | 2017-02-16 | 2017-07-07 | 上海帝联信息科技股份有限公司 | 操作执行方法、跳板机、集群认证服务器和堡垒机系统 |
| CN107395358A (zh) * | 2017-06-30 | 2017-11-24 | 上海策赢网络科技有限公司 | 信息请求及提供方法和装置、存储介质和设备 |
| KR20180054530A (ko) * | 2018-05-03 | 2018-05-24 | 유비벨록스(주) | 중계 서버를 이용하는 본인인증 시스템 및 이에 의한 본인인증 방법 |
| CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及系统、相关设备和装置 |
| CN113765866A (zh) * | 2020-07-31 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种登录远程主机的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019179541A2 (en) * | 2019-03-27 | 2019-09-26 | Alibaba Group Holding Limited | Improving integrity of communications between blockchain networks and external data sources |
-
2022
- 2022-12-22 CN CN202211659478.6A patent/CN115987524B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936817A (zh) * | 2017-02-16 | 2017-07-07 | 上海帝联信息科技股份有限公司 | 操作执行方法、跳板机、集群认证服务器和堡垒机系统 |
| CN107395358A (zh) * | 2017-06-30 | 2017-11-24 | 上海策赢网络科技有限公司 | 信息请求及提供方法和装置、存储介质和设备 |
| KR20180054530A (ko) * | 2018-05-03 | 2018-05-24 | 유비벨록스(주) | 중계 서버를 이용하는 본인인증 시스템 및 이에 의한 본인인증 방법 |
| CN113765866A (zh) * | 2020-07-31 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种登录远程主机的方法和装置 |
| CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及系统、相关设备和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115987524A (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102195957B (zh) | 一种资源共享方法、装置及系统 | |
| US11849052B2 (en) | Certificate in blockchain network, storage medium, and computer device | |
| TW201706900A (zh) | 終端的認證處理、認證方法及裝置、系統 | |
| CN103503408A (zh) | 用于提供访问凭证的系统和方法 | |
| CN102378170A (zh) | 一种鉴权及业务调用方法、装置和系统 | |
| CN110933078B (zh) | 一种h5未登录用户会话跟踪方法 | |
| US10461941B2 (en) | Data structure for use as a positive list in a device, method for updating a positive list and device | |
| US10341286B2 (en) | Methods and systems for updating domain name service (DNS) resource records | |
| US20110078784A1 (en) | Vpn system and method of controlling operation of same | |
| CA2986401C (en) | Authenticating a system based on a certificate | |
| US7707424B2 (en) | Secure file transfer | |
| CN101637004B (zh) | 用于通信系统中的前缀可达性的方法 | |
| CN102231748A (zh) | 一种客户端验证方法及装置 | |
| CN103220174A (zh) | 配置节点的方法、相关节点和配置服务器 | |
| CN111934888B (zh) | 一种改进软件定义网络的安全通信系统 | |
| CN115987524B (zh) | 一种用于堡垒机的多因子认证安全管理方法及装置 | |
| CN110035082A (zh) | 一种交换机准入认证方法、交换机及系统 | |
| US11870899B2 (en) | Secure device access recovery based on validating encrypted target password from secure recovery container in trusted recovery device | |
| CN113794563B (zh) | 一种通信网络安全控制方法及系统 | |
| CN115296940B (zh) | 用于隔离网络的安全远程数据交互方法及相关设备 | |
| TWI818750B (zh) | 驗證裝置及方法 | |
| CN110611719B (zh) | 一种消息推送方法、服务器和系统 | |
| KR101314695B1 (ko) | 전산망 보안 관리 시스템, 격실 서버, 및 보안 방법 | |
| EP3907967A1 (en) | Method for preventing sip device from being attacked, calling device, and called device | |
| CN116896456A (zh) | 通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |