一种堡垒机私钥管理方法及装置制造方法及图纸
【技术实现步骤摘要】
一种堡垒机私钥管理方法及装置
本专利技术涉及计算机
,特别是涉及一种堡垒机私钥管理方法及装置。
技术介绍
堡垒机为经过一定安全加固,可抵御一定攻击的安全审计系统。堡垒机的主要功能是对登录生产环境服务器的终端操作进行审计与权限控制并提供给终端单点登录功能。终端通过堡垒机,使用SSH(SecureShell,安全外壳)协议登录到生产环境服务器。堡垒机使用密钥登录形式,禁用密码登录。堡垒机存在一个公钥与一个私钥,公钥发布到各个生产环境服务器中,私钥存储在堡垒机本地,由于堡垒机私钥是登录到生产环境服务器的唯一凭证,因此一旦遭窃,就有可能造成持有堡垒机私钥的用户可以绕过堡垒机直接登录到生产环境。目前主要通过以下两种方式保存堡垒机私钥:第一种,堡垒机私钥直接存储在堡垒机所在物理设备的硬盘中;第二种,堡垒机私钥使用明文存储在堡垒机中。现有的堡垒机私钥存储方式存在以下弊端:第一、由于堡垒机所在的物理设备大都托管在数据中心,有可能发生设备丢失或者被冗余,也有可能设备报废回收时,堡垒机私钥被回收方直接获取,引起堡垒机私钥失窃。第二、由于堡垒机私钥使用明文存储,运维人员可以直接看...
【技术保护点】
一种堡垒机私钥管理方法,其特征在于,所述方法包括:堡垒机启动时,调用所述堡垒机所在应用容器引擎Docker中预设的密文私钥获取进程;通过所述进程从私钥管理平台中获取所述堡垒机对应的密文私钥,其中,所述密文私钥为加密后的堡垒机私钥;获取所述Docker传入的解密密钥;依据所述解密密钥对所述密文私钥进行解密,得到堡垒机私钥。
【技术特征摘要】
1.一种堡垒机私钥管理方法,其特征在于,所述方法包括:堡垒机启动时,调用所述堡垒机所在应用容器引擎Docker中预设的密文私钥获取进程;通过所述进程从私钥管理平台中获取所述堡垒机对应的密文私钥,其中,所述密文私钥为加密后的堡垒机私钥;获取所述Docker传入的解密密钥;依据所述解密密钥对所述密文私钥进行解密,得到堡垒机私钥。2.根据权利要求1所述的方法,其特征在于,所述获取所述Docker传入的解密密钥的步骤,包括:接收所述Docker变量传入的密钥,其中,所述密钥包括解密密钥以及干扰解密密钥;确定接收到的密钥中的解密密钥。3.根据权利要求1所述的方法,其特征在于,在所述堡垒机启动时,调用所述堡垒机所在应用容器引擎Docker中预设的密文私钥获取进程的步骤之前,所述方法还包括:在所述堡垒机所在物理机上设置多操作系统启动程序密码以及基本输入输出系统密码;和/或,更改所述堡垒机的超级用户root密码;和/或,更改所述堡垒机所在物理机上设置的远程控制卡密码;和/或,在所述堡垒机所在的物理机上增加访问控制列表,其中,所述访问控制列表中设置有可访问所述堡垒机的互联网协议地址。4.根据权利要求1所述的方法,其特征在于,在所述依据所述解密密钥对所述密文私钥进行解密,得到堡垒机私钥的步骤之后,所述方法还包括:将所述堡垒机私钥存储至所述堡垒机的内存中;当接收到终端发送的登录生产环境服务器请求时,从所述内存中提取所述堡垒机私钥,将所述堡垒机私钥添加至堡垒机登录进程所管理的终端会话控制进程中。5.根据权利要求4所述的方法,其特征在于,所述将所述堡垒机私钥添加至堡垒机登录进程所管理的终端会话控制进程中的步骤,包括:堡垒机登录进程将终端发送的登录生产环境服务器的请求转发至对应的生产环境服务器;堡垒机登录进程接收生产环境服务器发送的加密随机数,其中,所述生产环境服务器接收到登录请求后,生成一个随机数通过公钥对所述随机数进行加密生成加密随机数;堡垒机登录进程通过所述堡垒机私钥对所述加密随机数进行解密,得到随机数并将所述随机数返回至所述生产环境服务器,以使所述生产环境服务器对接收到的所述随机数进行验证,若验证通过则响应所述登录请求。6.一种堡垒机私钥管理装置,其中,所述装置包...
【专利技术属性】
技术研发人员:吴岩,
申请(专利权)人:北京奇艺世纪科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。