[go: up one dir, main page]

CN113114464B - 统一安全管理系统及身份认证方法 - Google Patents

统一安全管理系统及身份认证方法 Download PDF

Info

Publication number
CN113114464B
CN113114464B CN202010033881.2A CN202010033881A CN113114464B CN 113114464 B CN113114464 B CN 113114464B CN 202010033881 A CN202010033881 A CN 202010033881A CN 113114464 B CN113114464 B CN 113114464B
Authority
CN
China
Prior art keywords
authentication
host
password
account
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010033881.2A
Other languages
English (en)
Other versions
CN113114464A (zh
Inventor
邓秘密
杨翔
赵立农
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Chongqing Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Chongqing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Chongqing Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202010033881.2A priority Critical patent/CN113114464B/zh
Publication of CN113114464A publication Critical patent/CN113114464A/zh
Application granted granted Critical
Publication of CN113114464B publication Critical patent/CN113114464B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种统一安全管理系统及身份认证方法,该系统包括:安全管理门户以及安全管理中心;所述安全管理中心进一步包括:集中认证服务、远程用户拨号认证服务、程序账号接口以及一次性密码服务;其中,所述远程用户拨号认证服务用于将主机的认证请求转发给集中认证服务进行集中认证;以及,所述程序账号接口和一次性密码服务用于在应用程序登录主机时为应用程序分配一次性访问密码,并且所述一次性密码服务还用于提供该一次性访问密码给集中认证服务进行身份认证。由此可见,本发明方案,基于改造后的4A系统,可提高主机的安全性、减小软件复杂度、有效防止了用户信息泄漏、杜绝了密码被破解的可能性。

Description

统一安全管理系统及身份认证方法
技术领域
本发明涉及身份认证技术领域,具体涉及一种统一安全管理系统及身份认证方法。
背景技术
在Linux系统下,目前远程登录系统有两种认证方式:密码认证和密钥认证。图1示出了两种常用的linux认证方式的认证过程示意图。如图1所示,其中,密码认证方式是一种传统的安全策略,通过设置一个相对复杂的密码,对系统安全能起到一定的防护作用,但是也面临一些其他问题,例如密码暴力破解、密码泄露、密码丢失等,同时过于复杂的密码也会对运维工作造成一定的负担。
以及,密钥认证则是一种新型的认证方式,公用密钥存储在远程服务器上,私钥保存在本地,当需要登录系统时,通过本地私钥和远程服务器的公用密钥进行配对认证,如果认证成功,就可以成功登录系统,这种认证方式避免了被暴力破解的危险,同时只要保存在本地的私钥不被黑客盗用,攻击者一般无法通过密钥认证的方式进入系统。
密码认证和密钥认证都采用的密码学中的非对称密钥算法,密码认证方式在用户第一次登录服务器时系统提示保存服务器公钥到客户端本地,方便用户下次登录服务器时进行密码加密;密钥认证需要管理员手动生成登录服务器的公钥并储到目标服务器上。两种认证方式的登录流程不同,使用的密钥算法也不同,用户名密码登录使用的是Diffie-Hellman算法,密钥登录使用的是RSA算法,从算法的攻击强度上讲RSA比Diffie-Hellman的安全性高,一般密码登录适用人员或者程序登录,密钥登录则适用服务器之间的跳转登录。
Linux/unix作为整个信息系统的基础支撑组件,其安全运行与否对于整个信息系统有着举足轻重的意义,一旦主机设备的安全受到威胁,将会影响整个系统的正常运行,因此对于主机设备必须重点保护。由于主机系统相对来说千差万别,但归根结底容易被利用的仍然是远程登录,故使用安全的身份认证必不可少。然而,虽然使用密码认证或密钥认证在身份安全认证上能起到一定的效果,但由于技术本身应用范围的局限性,仍然存在以下方面的不足:
其一,对于一个有着上百台、甚至更多各种型号主机系统的机构来说,采用分散的口令管理会带来巨大的管理开销和安全隐患;
其二,现有的应用程序都是将主机账号和密码写在程序或者配置文件中的,每次修改密码时程序侧必须配合同步修改,否则会导致程序调用异常,这样容易造成密码泄露和无法定期重置密码;而且,因程序的提供商差异,版本老旧、人员更新等导致每次修改程序账号的密码时均存在风险高、工作量大等问题;
其三,现有的认证方式中,认证的强度太低,主机被攻击的概率较高。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的统一安全管理系统及身份认证方法。
根据本发明的一个方面,提供了一种统一安全管理系统,包括:安全管理门户以及安全管理中心;所述安全管理中心进一步包括:集中认证服务、远程用户拨号认证服务、程序账号接口以及一次性密码服务;
其中,所述远程用户拨号认证服务用于将主机的认证请求转发给集中认证服务进行集中认证;
以及,所述程序账号接口和一次性密码服务用于在应用程序登录主机时为应用程序分配一次性访问密码,并且所述一次性密码服务还用于提供该一次性访问密码给集中认证服务进行身份认证。
根据本发明的另一方面,提供了一种身份认证方法,所述方法基于统一安全管理系统实现,包括:
安全管理门户接收用户的主账号登录请求,根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机,其中,所述主机已启用可插入式授权管理机制;
远程用户拨号认证服务接收主机转发的携带所述从账号以及密码的认证请求,并将所述认证请求转发至集中认证服务;
集中认证服务根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。
根据本发明的又一个方面,提供了一种身份认证装置,包括:
安全管理门户,适于接收用户的主账号登录请求,根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机,其中,所述主机已启用可插入式授权管理机制;
远程用户拨号认证服务,适于接收主机转发的携带所述从账号以及密码的认证请求,并将所述认证请求转发至集中认证服务;
集中认证服务,适于根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。
根据本发明的再一个方面,提供了一种身份认证方法,所述方法基于统一安全管理系统实现,包括:
集中认证服务接收主机根据应用程序的登录请求而发起的认证申请,所述认证申请中携带主机账号和访问密码;其中,所述主机已启用可插入式授权管理机制;
集中认证服务向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码,将查询到的一次性访问密码和认证申请中携带的访问密码进行比较并根据比较结果向主机返回认证结果。
根据本发明的还一个方面,提供了一种身份认证装置,包括:
集中认证服务,适于接收主机根据应用程序的登录请求而发起的认证申请,所述认证申请中携带主机账号和访问密码;其中,所述主机已启用可插入式授权管理机制;以及,适于向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码,将查询到的一次性访问密码和认证申请中携带的访问密码进行比较并根据比较结果向主机返回认证结果;
一次性密码服务,适于向集中认证服务返回生成的所述主机账号的的一次性访问密码。
根据本发明的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述身份认证方法对应的操作。
根据本发明的再一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述身份认证方法对应的操作。
根据本发明的统一安全管理系统及身份认证方法,新增远程用户拨号认证服务,可以对启用PAM机制的主机实现集中认证,并以4A主账号的强认证方式进行结合,可以提高linux/unix主机的认证强度,同时,进行集中认证,可利于的账号的统一管理,降低安全隐患。以及,新增一次性密码服务和程序账号接口,通过提供程序账号接口可实现向一次性密码服务申请一次性访问密码,则可以在应用程序每次登陆主机前根据应用程序的申请分配一个一次性口令,并在集中认证中心完成认证后登录主机,有效减少主机被攻击的概率,提高了安全性,同时相较于当前很多应用程序都是将主机账号和密码写在程序中或者配置文件中的方式,可以减少密码泄露和实现密码随时更改。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了两种常用的linux认证方式的认证过程示意图;
图2示出了主机本地认证方式的认证过程示意图;
图3示出了主机采用PAM机制的认证方式的认证过程示意图;
图4示出了现有的4A系统架构以及管理方式的示意图;
图5示出了本发明提供的统一安全管理系统的结构示意图;
图6示出了本发明身份认证方法实施例的流程图;
图7示出了本发明一个具体实施例中在用户登录主机过程中利用统一安全管理系统进行身份认证的通用流程示意图;
图8示出了本发明身份认证方法另一个实施例的流程图;
图9示出了通过OTP服务提供主机的一次性口令认证功能的示例图;
图10示出了本发明一个具体实施例中在应用程序登录主机过程中利用统一安全管理系统进行身份认证的通用流程示意图;
图11示出了本发明身份认证装置实施例的结构图;
图12示出了本发明身份认证装置另一个实施例的结构图;
图13示出了本发明计算设备实施例的结构示意图;
图14示出了本发明计算设备另一个实施例的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明提供的身份认证方案,基于linux下的PAM机制和改造的4A系统来实现,为便于对本发明实施例的理解,在实施下文的实施例之前,先在此对PAM机制和现有的4A系统进行简要介绍:
其一,PAM(Pluggable Authentication Module for linux,简称可插入式授权管理模块)机制:PAM通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。下面对主机现有的认证方式(即本地认证方式)和Linux-PAM认证方式(即采用PAM机制的认证方式)分别进行介绍:
方式一,本地认证方式。图2示出了主机采用本地认证方式的认证过程示意图。如图2所示,当主机采用系统自身默认认证方式时,用户登录不同主机都采用每台主机独立认证,认证通过后,才能登录到主机,进行相关业务操作。
方式二,采用PAM机制的认证方式。图3示出了主机采用PAM机制的认证方式的认证过程示意图。如图3所示,通过编写PAM运行脚本,在被管主机上运行;运行PAM脚本后,用户访问主机时,先通过PAM机制进行认证,认证通过后,才能登录主机;在启用PAM机制后,用户访问主机将不通过本地认证系统进行认证,而采用第三方认证服务进行主机的认证,实现对主机的访问。
其二,4A架构:4A是指对IT系统的帐号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)进行统一、集中的安全管理的平台,为企业提供统一安全框架,整合企业应用系统、网络设备、主机系统。4A的帐号管理分为主帐号和从帐号,主帐号是用户登录4A的唯一帐号,从帐号包括所有资源、业务系统和主机、数据库、网络安全设备的从帐号。通过主帐号成功登录4A的用户可以通过从帐号单点登录到被管资源。
图4示出了现有的4A系统架构以及管理方式的示意图。如图4所示,主账号登录采用强认证方式,即讲台密码+动态口令方式;单点登录由系统完成,自然人无需知道各个系统的账号密码。登录授权由4A系统集中控制;针对应用系统4A采用票据方式进行点单登录;针对主机、数据库、网络设备4A采用密码待填方式进行单点登录。4A单点登录主机流程如下:
a、运维人员输入主账号、密码,4A验证成功后给用户手机发送短信验证码;
b、用户输入短信验证码,4A集中认证服务对用户短信验证码的合法性进行校验,校验通过,用户登录门户;
c、用户点击单点登录Linux/unix主机,4A通过主机从账号、密码代填后登录主机;
d、主机接受到用户登录请求后对用户输入的账号密码进行本地认证;
e、认证成功后用户登录主机。
图5示出了本发明提供的统一安全管理系统的结构示意图。该统一安全管理系统是指对现有的4A系统进行改造后的系统。如图5所示,统一安全管理系统包括:4A门户(即安全管理门户,下文中相同)以及4A管理中心(即安全管理中心,下文中相同),其中,安全管理门户用于用户利用主账号登录,该主账号是统一安全管理系统的账号,而下文中的从账号则是指主机账号。
以及,安全管理中心进一步包括:集中认证服务、radius服务(即远程用户拨号认证服务,下文中相同)、程序账号接口以及OTP服务(即一次性密码服务,下文中相同)。该安全管理中心中包括的远程用户拨号认证服务、程序账号接口以及一次性密码服务是与现有的4A系统最大的不同之处,其具体包括:
其一,修改4A系统中的安全管理中心的认证(Authentication)功能模块使其支持远程用户拨号认证服务(Remote Authentication Dial In User Service,简称radius服务),该远程用户拨号认证服务用于将主机的认证请求转发给集中认证服务进行集中认证,则可以使启用PAM机制的主机的认证请求与4A认证服务的适配,进而有利于实现集中认证;
其二,在安全管理中心中增加一次性密码(One Time Password,简称OTP)服务以及程序账号接口,程序账号接口和一次性密码服务用于在应用程序登录主机时为应用程序分配一次性访问密码,并且该一次性密码服务还用于提供一次性访问密码给集中认证服务进行身份认证,进而使安全管理中心具有了接收密码申请并生成一次性访问密码的能力,则可以实现在应用程序每次登陆主机时为其分配一个一次性访问密码,以提供给应用程序进行登陆,并提供给集中认证服务进行认证。
在一些可选的实施方式中,安全管理中心进一步包括:集中授权服务、账号管理服务以及审计管理服务。
上述对现有的4A系统改进得到的统一安全管理系统,新增远程用户拨号认证服务,可以对启用PAM机制的主机实现集中认证,并以4A主账号的强认证方式进行结合,可以提高linux/unix主机的认证强度,同时,进行集中认证,可利于的账号的统一管理,降低安全隐患。以及,新增一次性密码服务和程序账号接口,通过提供程序账号接口可实现向一次性密码服务申请一次性访问密码,则可以在应用程序每次登陆主机前根据应用程序的申请分配一个一次性口令,并在集中认证中心完成认证后登录主机,有效减少主机被攻击的概率,提高了安全性,同时相较于当前很多应用程序都是将主机账号和密码写在程序中或者配置文件中的方式,可以减少密码泄露和实现密码随时更改。
下文中将分别基于统一安全管理系统包括的其一、其二两点改进来说明本发明的身份认证方案。
图6示出了本发明身份认证方法实施例的流程图。该方法基于图5中的统一安全管理系统来实现,尤其是基于新增的远程用户拨号认证服务来实现,并且,该身份认证方案主要适用于人工登录主机时的认证。如图6所示,该方法包括以下步骤:
步骤S610:安全管理门户接收用户的主账号登录请求,根据该主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机,其中,该主机已启用可插入式授权管理机制。
具体地,用户通过主账号及其密码登录安全管理门户,主账号是登录统一安全管理系统的账号,安全管理门户在接收到主账号登录请求后,通过查询统一安全管理系统存储的与该主账号关联的主机的从账号以及该从账号的密码,并通过堡垒机代填从账号和密码单点登录到主机,其中,该从账号即为登录主机的账号。其中,统一安全管理系统中集中关联存储有主账号和相应主机的从账号及密码的对应关系。例如,主账号11和主机2的从账号22及密码222对应存储,则当主账号11登录安全管理门户时,可查询到从账号22以及密码222,进而可以利用从账号22和密码222登录到主机2。并且,在本实施例的身份认证方案中,主机为已启用PAM机制的主机,这样才能使主机通过PAM机制进行认证,即采用第三方认证服务进行认证,而不是使用本地认证系统进行认证。
步骤S620:远程用户拨号认证服务接收主机转发的携带该从账号以及密码的认证请求,并将该认证请求转发至集中认证服务。
具体地,主机将带有从账号及密码的认证请求转发给radius服务,然后经由该radius服务将认证请求转发给集中认证服务,使得认证请求在主机和集中认证服务之间的有效适配,进而可以通过集中认证服务来处理该认证请求。
步骤S630:集中认证服务根据该认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。
具体地,集中认证服务将认证请求中的从账号及密码和从账号库中的账号密码进行匹配,进而可完成主机认证。若认证成功,则可允许用户登录主机;反之,则不能。
根据本实施例提供的身份认证方法,对于启用PAM机制的linux主机,则不再启用本地认证方式,而利用改造后的4A系统进行集中认证;主机在认证时会自动将认证请求转发给改造后的4A系统中的radius服务上,然后再跳转到集中认证服务上,进行集中认证。由此可见,本实施例方案,利用改造后的4A系统中的radius服务,可将主机的认证请求适配至集中认证服务,进而可完成linux主机的集中认证,相较于分散的账号认证机制,可以降低账号管理的复杂性,方便的进行统一管理。
在一些可选的实施方式中,集中认证服务进行认证处理的过程如下:集中认证服务将该从账号以及密码与从账号库中的账号密码进行匹配,其中,主机若要从统一安全管理系统登录,那么必定会纳入统一安全管理系统,统一安全管理系统的账号称为主账号,纳入统一安全管理系统的主机账号就称为从账号,主机纳入统一安全管理系统后,统一安全管理系统的账号数据库中就记录有从账号及其密码。若匹配一致则向远程用户拨号认证服务反馈认证成功结果,若从账号库中有认证请求中的从账号及密码,则确定认证成功;远程用户拨号认证服务将该认证成功结果转发至发起认证请求的主机以供该主机允许用户登录。通过这种方式,利用从账号库中的账号密码与认证请求中的账号密码进行匹配,可以准确的进行主机身份的认证。
在一些可选的实施方式中,在利用从账号和密码登录到主机之后,远程用户拨号服务将该主机的登录源地址转发至集中认证服务,其中,登录源地址可反映出主机从哪里登录,若没有堡垒机,那么主机登陆的方式就是客户端直接登录,则记录的登录源地址就是为客户端IP地址,若经过堡垒机,那登陆方式就为客户端-堡垒机-主机,此时登录源地址就为堡垒机的IP地址。集中认证服务判断该登录源地址是否为堡垒机地址,其中,若不是堡垒机地址,则表明是此次登录行为极有可能是非法用户的绕行行为,非法用户通过绕过安全管理门户而直接登录主机,则可躲避统一安全管理系统的监控、审计,进而可能窃取主机上的敏感数据,导致数据丢失。相应的,在向主机返回认证结果时,在对从账号及密码进行匹配的同时,若该登录源地址不是堡垒机地址,则反馈认证失败结果。通过这种认证方式,用户登录主机进行认证的时候,可以把登录源地址带上,集中认证服务进行判断后,如果源地址不是堡垒机的地址就阻止认证,而现有的主机黑白名单配置方式,必须在每台主机上单独配置,而且不同主机的配置有差异,也有可能出现配置丢失的情况,不利于对主机进行配置修改和管理,而启用PAM机制后结合统一安全管理系统,则可以集中实现防止绕行事件的发生。
在一些可选的实施方式中,设置可插入式授权管理机制的认证失败次数上限;针对任一主机,当认证处理的结果为认证失败结果时,判断认证失败的次数是否超过所述认证失败次数上限,若是,则将所述主机的认证模式切换为本地认证方式。通过这种方式,将PAM机制的认证失败次数设置为N次,如果统一安全管理系统出现故障,则通过统一安全管理系统认证失败N次以上,主机将自动转换为传统认证模式,即可直接通过帐号密码登录主机,进而可以避免因统一安全管理系统故障而影响用户登录主机。
在一些可选的实施方式中,通过以下方式启用PAM机制:提前编写好PAM配置文件,并通过主机管理员在每台主机上运行该配置文件脚本,使PAM生效,PAM认证机制生效后,用户只能通过安全管理门户登录主机,并实现对主机的集中认证。管理员需要提前为不同操作系统及不同厂商的主机配置好认证脚本及其它需要修改的黑白名单、帐号权限的配置命令、帐号口令等脚本,并可实现通过配置可视化界面对不同的主机进行配置,方便管理主机。PAM模块和应用程序是相分离的,通过PAM接口库交互,管理员通过配置PAM数据去配置PAM接口库,达到管理的目的。
图7示出了本发明一个具体实施例中在用户登录主机过程中利用统一安全管理系统进行身份认证的通用流程示意图。如图7所示,通用流程包括:
①用户通过主帐号登录4A门户;
②通过从帐号及密码单点登录到主机;
③主机将带有从帐号及密码的数据包转发至radius服务进行认证请求;
④Radius直接转发认证请求到4A的集中认证服务;
⑤集中认证服务将认证数据包中的从帐号及密码跟4A中的从帐号库进行比对,如帐号,密码相同,则反馈结果给radius服务器;
⑥Radius服务器再将认证结果转发给主机,认证通过,允许用户登录主机。
图8示出了本发明身份认证方法另一个实施例的流程图。该方法基于图5中的统一安全管理系统来实现,尤其是基于新增的程序账号接口和一次性密码服务来实现,并且,该身份认证方案主要适用于应用程序登录主机时的认证。如图8所示,该方法包括以下步骤:
步骤S810:集中认证服务接收主机根据应用程序的登录请求而发起的认证申请,所述认证申请中携带主机账号和访问密码;其中,主机已启用可插入式授权管理机制。
应用程序利用主机账号和密码可向主机发起登录请求,主机在接收到登录请求后,为避免恶意应用程序登录,而向集中认证服务发起认证申请,以供集中认证服务对应用程序的身份进行认证。其中,若应用程序为非恶意应用程序,则其登录请求中携带的密码应为向一次性密码服务申请得到实时访问密码,若应用程序为恶意应用程序,则其登录请求中携带的访问密码则不是通过向一次性密码服务申请而得到的实时访问密码。
步骤S820:集中认证服务向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码,将查询到的一次性访问密码和认证申请中携带的访问密码进行比较并根据比较结果向主机返回认证结果。
集中认证服务携带认证申请中的主机账号向一次性密码服务查询该一次性密码服务生成的对应该主机账号的一次性访问密码,集中认证服务在查询到一次性访问密码后,将该一次性访问密码和认证申请中的访问密码进行比较,若两者一致,则表明该访问密码是通过向一次性密码服务申请而得到的,该应用程序为非恶意应用程序,则认证成功;反之,若两者不一致,则表明该访问密码不是通过向一次性密码服务申请而得到的,该应用程序为恶意应用程序,则认证失败。
根据本实施例提供的身份认证方法,采用PAM机制和OTP服务结合的方式,在应用程序登录主机时,集中认证服务可以通过向OTP服务查询一次性访问密码来对应用程序的身份进行认证,实现主机账号的一次性口令认证,避免恶意应用程序登录主机,这就有效减少主机被攻击的概率,提高了安全性。
在一些可选的实施方式中,主机发起的认证请求中还携带有应用程序的服务器地址,以便集中认证服务在向一次性密码服务查询一次性访问密码时,可以使一次性访问密码准确的区分不同的应用程序,避免在有多个应用程序请求登录同一主机时,造成返回的一次性密码发生混乱的问题,进而可以针对不同的应用程序返回对应该应用程序以及主机账号的一次性访问密码。例如,A应用程序和B应用程序均申请登录主机1,则主机1在向集中认证服务分别发起认证申请时,需要分别携带该应用程序A和应用程序B的服务器地址,进而使一次性密码服务不仅可以区分出主机,还可以区分出应用程序,则可以返回对应应用程序A的一次性访问密码和应用程序B的一次性访问密码。
在一种可选的实施方式中,应用程序正常获取主机账号的密码并向主机发起登录请求的过程如下:程序账号接口接收应用程序发起的主机账号的密码申请,将所述密码申请发送给一次性密码服务;一次性密码服务根据所述密码申请生成所述主机账号的实时访问密码,并经由程序账号接口将所述实时访问密码返回给应用程序,以供所述应用程序使用所述主机账号和实时访问密码向主机发起登录请求。
在这些可选的实施例中,利用新增的程序账号接口和一次性密码服务来实现主机密码一次申请一次验证。图9示出了通过OTP服务提供主机的一次性口令认证功能的示例图。如图9所示,通过引入OTP服务,实现主机密码的一次申请一次验证,OTP服务增加基于时间属性的检查,提高linux/unix账号口令的安全性;为了解决同时登录相同主机造成的冲突问题,OTP服务引入sessionID参数,给此登录口令请求分配唯一ID,这样保证验证的准确性。如图中,不同主机的不同请求(主机A、主机B)或者相同主机的不同次请求(主机A或B的第一次登录请求、主机A或B的第一次登录请求)均分配不同的登录密码。应用程序通过统一安全管理系统的程序账号接口申请访问主机的密码,其中,在应用程序中记录有主机账号,而并未记录该主机账号的密码,程序账号接口在接收该密码申请后,将密码申请转发给一次性密码服务。针对每一次密码申请,一次性密码服务分配一个实时访问密码,并经由程序账号接口返回给应用程序,同时,在一次性密码服务中,将该实时访问密码与主机账号和/或发起密码申请的应用程序的服务器建立关联,以供集中认证服务进行查询。应用程序在接收到该实时访问密码后,可利用该实时访问密码和主机账号登录到主机。同图6对应的实施例,该主机已启用PAM机制,具体的启用方式参见上文中相应部分的说明,此处不再赘述。
相应的,在这些可选的实施例中,集中认证服务接收主机根据应用程序的登录请求而发起的认证申请,认证申请中携带主机账号和访问密码具体为:集中认证服务接收主机根据应用程序的登录请求而发起的认证申请,所述认证申请中携带主机账号和实时访问密码;以及,所述集中认证服务向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码,将查询到的一次性访问密码和认证申请中携带的访问密码进行比较并根据比较结果向主机返回认证结果具体为:集中认证服务向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码,将查询到的一次性访问密码和认证申请中携带的实时访问密码进行比较并根据比较结果向主机返回认证结果。并且,由于应用程序是通过OTP服务申请得到的实时访问密码服务并登录主机的,则集中认证服务从OTP服务中查询得到的一次性访问密码即为该实时访问密码,即两者一致,则认证通过。
可见,在这些可选的实施例中,对于正常通过程序账号接口和OTP服务申请得到实时访问密码的应用程序的登录请求,则可在集中认证服务进行认证时,从OTP服务中查询到与实时访问密码相同的一次性访问密码,进而可使得合法的应用程序认证通过。换言之,统一安全管理系统将会在主机的每一次认证时分配一个实时访问密码,然后再到集中认证服务中进行集中认证,并登录主机,这就有效减少主机被攻击的概率,提高了安全性;同时,相较于当前很多应用程序都是将主机账号和密码写在程序中或者配置文件中的方式,可以减少密码泄露和随时重置密码。
在一些可选的实施方式中,在集中认证服务将认证结果返回给主机之后,若主机接收到集中认证服务返回的认证成功结果,该主机向应用程序返回登录成功的消息。
图10示出了本发明一个具体实施例中在正常的应用程序登录主机过程中利用统一安全管理系统进行身份认证的通用流程示意图。如图10所示,通用流程包括:
a.应用程序通过4A的程序账号接口服务申请访问主机的程序账号密码;
b.程序账号接口服务通过OTP生成一次性访问密码;
c.OTP返回程序账号密码给程序账号接口服务;
d.程序账号接口服务返回程序账号密码给应用程序;
e.应用程序带着程序账号和口令访问主机;
f.主机发送认证请求给集中认证服务;
g.集中认证服务从OTP服务申请生成的一次性密码;
h.OTP服务返回一次性密码给集中认证服务;
i.集中认证服务对比密码的一致性;
j.集中认证服务返回认证结果给主机。
通过上述利用统一安全管理系统来实现的人工和/或应用程序登录主机时的身份认证方法,在主机上启用PAM认证机制,并配合4A系统的同步改造,可提高主机的安全性、减小软件复杂度、有效防止了用户信息泄漏、杜绝了密码被破解的可能性,同时,还可以实现如下技术效果:
其一,可以防止绕行事件发生:用户通过统一安全管理系统登录主机进行认证的时候,可以把登录源地址带上,集中认证服务进行判断后,如果登录源地址不是堡垒机的地址就阻止认证。现有的主机黑白名单配置方式,必须在每台主机上单独配置,而且不同主机的配置有差异;也有可能出现配置丢失的情况,不利于对主机进行配置修改和管理,而启用PAM机制后,将实现集中管理。
其二,可以方便进行从账号密码修改,满足90天修改一次密码的要求,只要用4A系统上随机生成的密码进行认证登录,无需在主机上进行密码修改。现有从帐号密码是通过4A模拟代填的方式实现,当主机修改密码后,需要同步给4A,然后再对从帐号密码进行修改,在修改过程中,可能因为网络故障或者人为因素多次修改主机密码的情况而造成从帐号密码修改失败。采用PAM机制后,将实现集中修改,集中认证,减少工作量,提高工作效率。
其三,对程序帐号的有效管理:采用现有认证机制对程序帐号进行管理认证时,4A需要对每个应用程序逐一进行密码修改,涉及到程序帐号的密码修改时,容易出现修改不成功,影响正常的业务操作。而采用PAM机制后,通过PAM机制进行程序帐号的认证时,4A将提供服务端接口,应用程序访问主机的时候,向4A申请访问程序帐号的密码,主机接受到应用程序的访问请求后把认证密码转给4A,4A根据颁发的密码和接收的密码进行对比,判断用户的合法性。并不需要对程序帐号的密码进行修改,不会对应用程序的的政策访问使用造成影响,可有效管理程序帐号。
其四,主机安全性提升:传统主机认证方式中密码的配置非常烦琐,需要在每一台网络设备或主机系统上进行配置;由于采用了记忆口令的方式,为了保证口令的安全性,必须经常更改口令,每次口令的更改又要耗费大量的人力和时间;同时由于记忆口令不可能频繁更改,那么口令就存在着被窃听、盗用、滥用的危险,给网络的安全带来巨大的威胁。采用PAM机制认证后,主机上不用修改密码,而直接采用集中认证服务进行认证,避免主机密码更改失败,出现认证不成功的情况。
其五,PAM和OTP(一次性口令)结合:现有主机的认证以及应用程序的认证都是采用静态密码实现在一定期限内的有效访问,在这个有效期内,可采用固定密码进行登录,同时,也会出现安全隐患,当有密码破解等攻击时,可能导致密码被破解、敏感数据丢失。对于主机或程序帐号,4A可以提供接口实现OTP密码的申请,实现会话从账号的一次性口令认证,4A系统将会在主机的每一次认证时分配一个一次性口令,然后再到4A进行集中认证,并登录主机,这就有效减少主机被攻击的概率,提高了安全性。
图11示出了本发明身份认证装置实施例的结构图。该装置用于人工登录主机。如图11所示,该装置包括:
安全管理门户111,适于接收用户的主账号登录请求,根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机,其中,所述主机已启用可插入式授权管理机制;
远程用户拨号认证服务112,适于接收主机转发的携带所述从账号以及密码的认证请求,并将所述认证请求转发至集中认证服务;
集中认证服务113,适于根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。
在一种可选的实施方式中,所述集中认证服务进一步适于:
将所述从账号以及密码与从账号库中的账号密码进行匹配,若匹配一致则向远程用户拨号认证服务反馈认证成功结果;
所述远程用户拨号认证服务进一步适于:将所述认证成功结果转发至发起认证请求的主机以供所述主机允许用户登录。
在一种可选的实施方式中,所述远程用户拨号服务进一步适于:将所述主机的登录源地址转发至集中认证服务;
所述集中认证服务进一步适于:判断所述登录源地址是否为堡垒机地址;若所述登录源地址不是堡垒机地址,则反馈认证失败结果。
在一种可选的实施方式中,所述装置还包括:设置模块,适于设置可插入式授权管理机制的失败次数上限;
切换模块,适于针对任一主机,当认证处理的结果为认证失败结果时,判断认证失败的次数是否超过所述失败次数上限,若是,则将所述主机的认证模式切换为本地认证方式。
图12示出了本发明身份认证装置另一个实施例的结构图。该装置用于应用程序登录主机。如图12所示,该装置包括:
集中认证服务121,适于接收主机根据应用程序的登录请求而发起的认证申请,所述认证申请中携带主机账号和访问密码;其中,所述主机已启用可插入式授权管理机制;以及,向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码,将查询到的一次性访问密码和认证申请中携带的访问密码进行比较并根据比较结果向主机返回认证结果;
一次性密码服务122,适于向集中认证服务返回生成的所述主机账号的的一次性访问密码。
在一种可选的实施方式中,所述装置还包括:程序账号接口123,适于接收应用程序发起的主机账号的密码申请,将所述密码申请发送给一次性密码服务;
所述一次性密码服务进一步适于:根据所述密码申请生成所述主机账号的实时访问密码,并经由程序账号接口将所述实时访问密码返回给应用程序,以供所述应用程序使用所述主机账号和实时访问密码向主机发起登录请求;
所述集中认证服务进一步适于:接收主机根据应用程序的登录请求而发起的认证申请,所述认证申请中携带主机账号和实时访问密码;以及向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码,将查询到的一次性访问密码和认证申请中携带的实时访问密码进行比较并根据比较结果向主机返回认证结果。
本发明实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的身份认证方法。
图13示出了本发明计算设备实施例的结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图13所示,该计算设备可以包括:处理器(processor)131、通信接口(Communications Interface)132、存储器(memory)133、以及通信总线134。
其中:处理器131、通信接口132、以及存储器133通过通信总线134完成相互间的通信。通信接口135,用于与其它设备比如客户端或其它计算设备等的网元通信。处理器131,用于执行程序135,具体可以执行上述用于计算设备的身份认证方法实施例中的相关步骤。
具体地,程序135可以包括程序代码,该程序代码包括计算机操作指令。
处理器131可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器133,用于存放程序135。存储器133可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序135具体可以用于使得处理器131执行以下操作:
安全管理门户接收用户的主账号登录请求,根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机,其中,所述主机已启用可插入式授权管理机制;
远程用户拨号认证服务接收主机转发的携带所述从账号以及密码的认证请求,并将所述认证请求转发至集中认证服务;
集中认证服务根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。
在一种可选的方式中,所述程序135使所述处理器执行以下操作:
集中认证服务将所述从账号以及密码与从账号库中的账号密码进行匹配,若匹配一致则向远程用户拨号认证服务反馈认证成功结果;
远程用户拨号认证服务将所述认证成功结果转发至发起认证请求的主机以供所述主机允许用户登录。
在一种可选的方式中,所述程序135使所述处理器执行以下操作:
远程用户拨号服务将所述主机的登录源地址转发至集中认证服务;集中认证服务判断所述登录源地址是否为堡垒机地址;
所述向主机返回认证结果进一步包括:若所述登录源地址不是堡垒机地址,则反馈认证失败结果。
在一种可选的方式中,所述程序135使所述处理器执行以下操作:
设置可插入式授权管理机制的失败次数上限;
针对任一主机,当认证处理的结果为认证失败结果时,判断认证失败的次数是否超过所述失败次数上限,若是,则将所述主机的认证模式切换为本地认证方式。
图14示出了本发明计算设备另一个实施例的结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图14所示,该计算设备可以包括:处理器(processor)141、通信接口(Communications Interface)142、存储器(memory)143、以及通信总线144。
其中:处理器141、通信接口142、以及存储器143通过通信总线144完成相互间的通信。通信接口145,用于与其它设备比如客户端或其它计算设备等的网元通信。处理器141,用于执行程序145,具体可以执行上述用于计算设备的身份认证方法实施例中的相关步骤。
具体地,程序145可以包括程序代码,该程序代码包括计算机操作指令。
处理器141可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器143,用于存放程序145。存储器143可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序145具体可以用于使得处理器141执行以下操作:
集中认证服务接收主机根据应用程序的登录请求而发起的认证申请,所述认证申请中携带主机账号和访问密码;其中,所述主机已启用可插入式授权管理机制;
集中认证服务向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码,将查询到的一次性访问密码和认证申请中携带的访问密码进行比较并根据比较结果向主机返回认证结果。
在一种可选的方式中,程序145具体可以用于使得处理器141执行以下操作:
程序账号接口接收应用程序发起的主机账号的密码申请,将所述密码申请发送给一次性密码服务;
一次性密码服务根据所述密码申请生成所述主机账号的实时访问密码,并经由程序账号接口将所述实时访问密码返回给应用程序,以供所述应用程序使用所述主机账号和实时访问密码向主机发起登录请求;
集中认证服务接收主机根据应用程序的登录请求而发起的认证申请,所述认证申请中携带主机账号和实时访问密码;
集中认证服务向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码,将查询到的一次性访问密码和认证申请中携带的实时访问密码进行比较并根据比较结果向主机返回认证结果。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。

Claims (9)

1.一种统一安全管理系统,基于linux下的PAM机制和4A系统实现,其特征在于,包括:安全管理门户以及安全管理中心;所述安全管理中心进一步包括:集中认证服务、远程用户拨号认证服务、程序账号接口以及一次性密码服务;其中,所述安全管理门户为所述4A系统中的4A门户,所述安全管理中心为所述4A系统中的4A安全管理中心;
其中,所述安全管理门户,用于根据主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机,所述主账号是统一安全管理系统的账号,所述从账号则是指主机账号;
其中,所述远程用户拨号认证服务通过修改所述4A安全管理中心的认证功能模块实现,用于将主机的认证请求转发给集中认证服务进行集中认证,以使所述主机的认证请求与4A认证服务的适配;所述主机已启用可插入式授权管理PAM机制;
以及,所述程序账号接口和一次性密码服务为在所述4A安全管理中心新增加的功能模块,用于在应用程序登录主机时为应用程序分配一次性访问密码,并且所述一次性密码服务还用于提供该一次性访问密码给集中认证服务进行身份认证。
2.根据权利要求1所述的系统,其特征在于,所述安全管理中心进一步包括:集中授权服务、账号管理服务以及审计管理服务。
3.一种身份认证方法,所述方法基于权利要求1或2任一项所述的统一安全管理系统实现,包括:
安全管理门户接收用户的主账号登录请求,根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机,其中,所述主账号是统一安全管理系统的账号,所述从账号则是指主机账号,所述主机已启用PAM机制;
远程用户拨号认证服务接收主机转发的携带所述从账号以及密码的认证请求,并将所述认证请求转发至集中认证服务,以使所述主机的认证请求与4A认证服务的适配;
集中认证服务根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。
4.根据权利要求3所述的方法,其中,所述集中认证服务根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果进一步包括:
集中认证服务将所述从账号以及密码与从账号库中的账号密码进行匹配,若匹配一致则向远程用户拨号认证服务反馈认证成功结果;
远程用户拨号认证服务将所述认证成功结果转发至发起认证请求的主机以供所述主机允许用户登录。
5.根据权利要求3或4所述的方法,其中,在所述根据所述主账号登录请求利用从账号和密码登录到主机之后,所述方法还包括:
远程用户拨号服务将所述主机的登录源地址转发至集中认证服务;集中认证服务判断所述登录源地址是否为堡垒机地址;
所述向主机返回认证结果进一步包括:若所述登录源地址不是堡垒机地址,则反馈认证失败结果。
6.根据权利要求3所述的方法,其中,所述方法还包括:设置可插入式授权管理机制的失败次数上限;
针对任一主机,当认证处理的结果为认证失败结果时,判断认证失败的次数是否超过所述失败次数上限,若是,则将所述主机的认证模式切换为本地认证方式。
7.一种身份认证装置,基于linux下的PAM机制和4A系统实现,其特征在于,包括:
安全管理门户为所述4A系统中的4A门户,适于接收用户的主账号登录请求,根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机,其中,所述主账号是统一安全管理系统的账号,所述从账号则是指主机账号,所述主机已启用PAM机制;
远程用户拨号认证服务通过修改所述4A系统中的4A安全管理中心的认证功能模块实现,适于接收主机转发的携带所述从账号以及密码的认证请求,并将所述认证请求转发至集中认证服务,以使所述主机的认证请求与4A认证服务的适配;
集中认证服务,适于根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。
8.一种服务器,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求3-6中任一项所述的身份认证方法对应的操作。
9.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求3-6中任一项所述的身份认证方法对应的操作。
CN202010033881.2A 2020-01-13 2020-01-13 统一安全管理系统及身份认证方法 Active CN113114464B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010033881.2A CN113114464B (zh) 2020-01-13 2020-01-13 统一安全管理系统及身份认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010033881.2A CN113114464B (zh) 2020-01-13 2020-01-13 统一安全管理系统及身份认证方法

Publications (2)

Publication Number Publication Date
CN113114464A CN113114464A (zh) 2021-07-13
CN113114464B true CN113114464B (zh) 2023-10-27

Family

ID=76709239

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010033881.2A Active CN113114464B (zh) 2020-01-13 2020-01-13 统一安全管理系统及身份认证方法

Country Status (1)

Country Link
CN (1) CN113114464B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114844714B (zh) * 2022-05-24 2024-09-24 中国民生银行股份有限公司 用户身份认证的方法和基于ldap协议的代理服务端
CN116842490A (zh) * 2023-07-04 2023-10-03 广州启睿信息科技有限公司 一种统一用户账户密码的管理方法、装置及系统

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101179382A (zh) * 2006-12-20 2008-05-14 腾讯科技(深圳)有限公司 一种登录方法及系统
CN201194396Y (zh) * 2008-05-08 2009-02-11 天津市国瑞数码安全系统有限公司 基于透明代理网关的安全网关平台
CN101453328A (zh) * 2007-12-06 2009-06-10 中国移动通信集团公司 身份管理系统及身份认证系统
CN102307114A (zh) * 2011-09-21 2012-01-04 北京神州绿盟信息安全科技股份有限公司 一种网络的管理方法
CN102307097A (zh) * 2011-09-02 2012-01-04 深圳中兴网信科技有限公司 一种用户身份认证方法及系统
CN102624720A (zh) * 2012-03-02 2012-08-01 华为技术有限公司 一种身份认证的方法、装置和系统
CN103326883A (zh) * 2013-05-27 2013-09-25 杭州帕拉迪网络科技有限公司 一种统一安全管理与综合审计系统
CN104468119A (zh) * 2014-11-21 2015-03-25 上海瀚之友信息技术服务有限公司 一种一次性密码认证系统及认证方法
CN105282166A (zh) * 2015-11-04 2016-01-27 浪潮(北京)电子信息产业有限公司 一种linux操作系统的身份认证方法及系统
CN105991709A (zh) * 2015-02-11 2016-10-05 中国移动通信集团河南有限公司 一种云桌面帐号管理方法及装置
CN106534219A (zh) * 2016-12-31 2017-03-22 中国移动通信集团江苏有限公司 用于桌面云门户的安全认证方法和装置
CN106936772A (zh) * 2015-12-29 2017-07-07 中国移动通信集团湖南有限公司 一种云平台资源的访问方法、装置及系统
CN108092983A (zh) * 2017-12-25 2018-05-29 杭州恩牛网络技术有限公司 统一内控安全管理方法和系统
CN108111518A (zh) * 2017-12-28 2018-06-01 北京天诚安信科技股份有限公司 一种基于安全密码代理服务器的单点登录方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040019786A1 (en) * 2001-12-14 2004-01-29 Zorn Glen W. Lightweight extensible authentication protocol password preprocessing
KR100670791B1 (ko) * 2004-12-07 2007-01-17 한국전자통신연구원 Aaa 서버에서의 확장형 권한 검증 방법

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101179382A (zh) * 2006-12-20 2008-05-14 腾讯科技(深圳)有限公司 一种登录方法及系统
CN101453328A (zh) * 2007-12-06 2009-06-10 中国移动通信集团公司 身份管理系统及身份认证系统
CN201194396Y (zh) * 2008-05-08 2009-02-11 天津市国瑞数码安全系统有限公司 基于透明代理网关的安全网关平台
CN102307097A (zh) * 2011-09-02 2012-01-04 深圳中兴网信科技有限公司 一种用户身份认证方法及系统
CN102307114A (zh) * 2011-09-21 2012-01-04 北京神州绿盟信息安全科技股份有限公司 一种网络的管理方法
CN102624720A (zh) * 2012-03-02 2012-08-01 华为技术有限公司 一种身份认证的方法、装置和系统
CN103326883A (zh) * 2013-05-27 2013-09-25 杭州帕拉迪网络科技有限公司 一种统一安全管理与综合审计系统
CN104468119A (zh) * 2014-11-21 2015-03-25 上海瀚之友信息技术服务有限公司 一种一次性密码认证系统及认证方法
CN105991709A (zh) * 2015-02-11 2016-10-05 中国移动通信集团河南有限公司 一种云桌面帐号管理方法及装置
CN105282166A (zh) * 2015-11-04 2016-01-27 浪潮(北京)电子信息产业有限公司 一种linux操作系统的身份认证方法及系统
CN106936772A (zh) * 2015-12-29 2017-07-07 中国移动通信集团湖南有限公司 一种云平台资源的访问方法、装置及系统
CN106534219A (zh) * 2016-12-31 2017-03-22 中国移动通信集团江苏有限公司 用于桌面云门户的安全认证方法和装置
CN108092983A (zh) * 2017-12-25 2018-05-29 杭州恩牛网络技术有限公司 统一内控安全管理方法和系统
CN108111518A (zh) * 2017-12-28 2018-06-01 北京天诚安信科技股份有限公司 一种基于安全密码代理服务器的单点登录方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
海南电网4A平台关键技术和建设经验分析;高鹏;曾智翔;李伟宁;;华电技术(第08期);全文 *

Also Published As

Publication number Publication date
CN113114464A (zh) 2021-07-13

Similar Documents

Publication Publication Date Title
US11641361B2 (en) Dynamic access control to network resources using federated full domain logon
US8863257B2 (en) Securely connecting virtual machines in a public cloud to corporate resource
JP6720211B2 (ja) 仮想ネットワーク機能の安全なブートストラップ技術
US11444925B1 (en) Secure access to a corporate application in an SSH session using a transparent SSH proxy
US12184652B2 (en) Identity defined secure connect
US10021088B2 (en) Fast smart card logon
JP6349579B2 (ja) 条件付きログインプロモーション
EP1914658B1 (en) Identity controlled data center
KR101556069B1 (ko) 대역외 원격 인증
CA2689847C (en) Network transaction verification and authentication
CN108964885B (zh) 鉴权方法、装置、系统和存储介质
CN109981561A (zh) 单体架构系统迁移到微服务架构的用户认证方法
US8359464B2 (en) Quarantine method and system
KR20100029098A (ko) 비보안 네트워크들을 통한 장치 프로비저닝 및 도메인 조인 에뮬레이션
JP2019526993A (ja) ネットワーク機能仮想化システム及び検証方法
US10257171B2 (en) Server public key pinning by URL
CN113614691A (zh) 供传统虚拟交付器件使用的连接租用系统和相关方法
CN104796432A (zh) 一种数据保护方法及安全堡垒机
CN112929388B (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
CN111241523A (zh) 认证处理方法、装置、设备和存储介质
CN113114464B (zh) 统一安全管理系统及身份认证方法
US11451517B2 (en) Secure and auditable proxy technology using trusted execution environments
TW201430608A (zh) 單點登入系統及方法
US11177958B2 (en) Protection of authentication tokens
CN116996305A (zh) 一种多层次安全认证方法、系统、设备、存储介质及入口网关

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant