本发明专利技术公开了一种网络安全管理方法及服务器,所述方法包括:检测到使用认证处理文件执行认证操作的请求时,获取所述认证处理文件;将所述认证处理文件发送至可信加密硬件模块;以使所述可信加密硬件模块对所述认证处理文件进行解密操作;利用解密后的认证处理文件进行认证操作,本发明专利技术实施例的技术方案通过对认证处理文件进行认证时,采用可信加密硬件模块进行加密解密操作,从而提高了网络的安全性。
Network security management method and server
The invention discloses a network safety management method and server, the method comprises the following steps: detected using the authentication processing file execution authentication operation request, obtaining the certification document processing; the authentication processing documents sent to the trusted hardware encryption module; the trusted encryption hardware module to the authentication processing file decryption operation; authentication authentication processing operation using the decrypted files, the technical scheme of the embodiment of the authentication processing document authentication, using trusted encryption hardware module for encryption and decryption operation, so as to improve the security of network.
【技术实现步骤摘要】
网络安全管理方法及服务器
本专利技术涉及身份认证协议
,特别涉及一种网络安全管理方法及服务器。
技术介绍
Kerberos是允许在非安全网络上通信的实体以安全方式证明对于彼此身份的认证协议。Kerberos通常用作企业环境中的认证机制,并且正部署在支持新服务的提供商网络中。Kerberos建立在对称密钥密码方法上,并且典型地需要信任的第三方。Kerberos作为目前主流的大数据集群采用的认证协议,其在认证过程中会生成用于存储用网络上的每个主体(例如客户端和服务器)的账号和对应的密钥的Keytab文件。而对Keytab文件的管理是通过大集数集群平台,例如unix,的文件系统(包括用户、组和其它)来实现的。也就是说,如果非法用户通过unix的文件系统获得Keytab文件的访问权限,则可以通冒充集群中的任一主体完成认证。
技术实现思路
有鉴于此,本专利技术实施例的目的是提供一种对Keytab文件在本地进行加密、解密,从而来保证非法用户无法进行认证的网络安全管理方法及服务器。为了实现上述目的,本专利技术实施例提供了一种网络安全管理方法,包括:检测到使用认证处理文件执行认证操作的请求时,获取所述认证处理文件;将所述认证处理文件发送至可信加密硬件模块;以使所述可信加密硬件模块对所述认证处理文件进行解密操作;利用解密后的认证处理文件进行认证操作。作为优选,所述方法还包括:在生成所述认证处理文件时,调用所述可信加密硬件模块对所述认证处理文件进行加密操作。作为优选,在所述可信加密硬件模块对所述认证处理文件进行解密操作之前,包括:验证所述请求的处理权限,获得第一判断结果;在所述第一判断结果表明所述请求具备执行认证操作的权项时,所述可信加密硬件模块对所述认证处理文件进行解密操作。作为优选,所述方法包括:判断发送所述请求的用户的访问权项,获得第二判断结果;在所述第二判断结果表明所述用户具备对所述认证处理文件的访问权项时,所述可信加密硬件模块对所述认证处理文件进行解密操作。作为优选,所述认证处理文件包括所述认证操作的规则信息和/或密钥信息。本专利技术实施例还提供一种网络安全管理方法,所述方法包括:接收集群中一主体发送的请求,根据所述请求的内容,向所述主体发送经过可信加密硬件模块加密后的认证处理文件。作为优选,所述方法包括所述认证处理文件包括所述认证操作的规则信息和/或密钥信息。本专利技术实施例还提供一种服务器,包括:处理器,配置为检测使用认证处理文件执行认证操作的请求时,获取所述认证处理文件,并将所述认证处理文件发送至可信加密硬件模块;可信加密硬件模块,配置来对所述认证处理文件进行解密操作;其中,所述处理器还配置为利用解密后的认证处理文件进行认证操作。作为优选,所述服务器包括:所述处理器还配置为在生成所述认证处理文件时,调用所述可信加密硬件模块对所述认证处理文件进行加密操作。作为优选,所述服务器包括:所述处理器还配置为在所述可信加密硬件模块对所述认证处理文件进行解密操作之前,验证所述请求的处理权限,获得第一判断结果,并在所述第一判断结果表明所述请求具备执行认证操作的权项时,所述可信加密硬件模块对所述认证处理文件进行解密操作。根据以上实施例,本专利技术能够实现以下有益效果:本专利技术实施例的技术方案通过对认证处理文件进行认证时,采用可信加密硬件模块进行加密解密操作,从而提高了网络的安全性。附图说明图1为本专利技术的网络安全管理方法的实施例一的流程图;图2为本专利技术的网络安全管理方法的一种场景示意图;图3为本专利技术的网络安全管理方法的实施例三的流程图;图4为本专利技术的服务器的实施例一的示意图。具体实施方式此处参考附图描述本公开的各种方案以及特征。应理解的是,可以对此处公开的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本专利技术的这些和其它特性将会变得显而易见。还应当理解,尽管已经参照一些具体实例对本专利技术进行了描述,但本领域技术人员能够确定地实现本专利技术的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。本说明书可使用词组“在一种实施例中”、“在另一种实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。目前的大数据集群都具有权限管理模块,并且这些权限管理模块都使用了主流的数据库来存储集群中的主体的权限处理文件。这样,存储集群中的主体的权限处理文件的数据安全就变得十分重要。若存在主体想登录数据库的可以通过用户名和密码的方式进行身份验证,用户名和密码通常以明文的形式存储在权限处理文件中,如果被第三方读取该权限处理文件,进而引发非法的数据访问,则给网络安全带来了危险。因此,为解决上述问题本专利技术实施例提供了一种网络安全管理方法及装置;进一步地,为了能够更加详尽地了解本专利技术的特点与
技术实现思路
,下面结合附图对本专利技术的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本专利技术。实施例一本实施例提供了一种网络安全管理方法,具体地,所述方法应用于大数据集群,集群中有多个主体(principle),其中主体可以是服务器,并且各主体之间可以互相通信。当前集群的各主体在使用通信协议通信时,为保证安全,所使用的通信协议服务器会向主体颁发一个认证处理文件,以对主体的身份做出认证,保证网络的安全性。本实施例的服备品在检测到使用认证处理文件执行认证操作的请求时,获取所述认证处理文件;然后将所述认证处理文件发送至可信加密硬件模块;以使所述可信加密硬件模块对所述认证处理文件进行解密操作;利用解密后的认证处理文件进行认证操作。由于可信加密硬件模块设置于本地,因此,即使非法用户获得了权限处理文件,仍无法对其解密,无法利用权限处理文件进行其他操作。这样,主体不仅需要需要具有登录数据库的权限,还需要有对权限处理文件进行操作的权限,提高了网络的安全性。图1为本专利技术的网络安全管理方法的一种实施例的流程图,如图1所示,本实施例的网络安全管理方法,具体可以包括如下步骤:S101,检测到使用认证处理文件执行认证操作的请求时,获取所述认证处理文件。具体地,为保证集群中各主体(principals)间通信的安全性,在主体间相互通信时需要通过认证协议进行认证。本实施例的执行主体可以为集群中的任一主体。其中,所述认证处理文件包括所述认证操作的规则信息和/或密钥信息。S102,将所述认证处理文件发送至可信加密硬本文档来自技高网...
【技术保护点】
一种网络安全管理方法,包括:检测到使用认证处理文件执行认证操作的请求时,获取所述认证处理文件;将所述认证处理文件发送至可信加密硬件模块;以使所述可信加密硬件模块对所述认证处理文件进行解密操作;利用解密后的认证处理文件进行认证操作。
【技术特征摘要】
1.一种网络安全管理方法,包括:检测到使用认证处理文件执行认证操作的请求时,获取所述认证处理文件;将所述认证处理文件发送至可信加密硬件模块;以使所述可信加密硬件模块对所述认证处理文件进行解密操作;利用解密后的认证处理文件进行认证操作。2.根据权利要求1所述的方法,所述方法还包括:在生成所述认证处理文件时,调用所述可信加密硬件模块对所述认证处理文件进行加密操作。3.根据权利要求1所述的方法,在所述可信加密硬件模块对所述认证处理文件进行解密操作之前,包括:验证所述请求的处理权限,获得第一判断结果;在所述第一判断结果表明所述请求具备执行认证操作的权项时,所述可信加密硬件模块对所述认证处理文件进行解密操作。4.根据权利要求3所述的方法,所述方法包括:判断发送所述请求的用户的访问权项,获得第二判断结果;在所述第二判断结果表明所述用户具备对所述认证处理文件的访问权项时,所述可信加密硬件模块对所述认证处理文件进行解密操作。5.根据权利要求1所述的方法,所述认证处理文件包括所述认证操作的规则信息和/或密钥信息。6.一种...
【专利技术属性】
技术研发人员:张奇伟,
申请(专利权)人:联想北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。