一种SSH秘钥管理的方法,包括以下步骤:1)经由SSH远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息,并将其上报给SSH秘钥管理中心进行公示;2)经由SSH秘钥管理中心的公证及预警模块根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的SSH远程主机的主机公钥指纹;3)若主机公钥指纹通过验证,则经由公证及预警模块根据公示来进一步验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的客户端公钥信息与IP信息,若主机公钥指纹未通过验证,则向客户端发出警告并拒绝访问;和4)若客户端公钥信息与IP信息通过进一步验证则容许访问,若未通过,则拒绝访问。通过使用该方法能够有效的提高SSH远程连接的安全性。
【技术实现步骤摘要】
一种SSH秘钥管理的方法和系统
本专利技术涉及通信领域,并且更具体地涉及一种SSH秘钥管理的方法和系统。
技术介绍
SSH协议为SecureShell(安全外壳程序)的缩写,由IETF的网络工作小组(NetworkWorkingGroup)所定制,SSH为建立在应用层和传输层基础上的安全协议是目前可靠的、专为远程登录会话和其他网络服务提供安全性的协议。传统的网络服务程序在传输机制和实现原理上没有考虑安全机制,只是使用简单的安全验证方式,因此用户和服务器间传输的数据很容易受到网络黑客的攻击。为了保证数据的安全性,SSH以其更安全的特性渐渐替代了传统的网络服务程序。SSH用于安全认证的方式,目前来说有两种,第一种是基于口令的安全验证,通过账号和口令,就可以远程登陆到SSH远程主机,所有的传输数据都会被加密,但是不能保证所连接的服务器就是目标服务器,可能会受到“中间人”攻击。第二种是基于秘钥的安全验证,客户端生成秘钥对,将公钥存放于SSH远程主机。客户端链接SSH远程主机时,SSH远程主机会将一段随机字符串发送给客户端,客户端根据自己的私钥将随机字符串加密后,再发送给SSH远程主机,SSH远程主机接收到后,使用公钥解密,如果正确解密,则允许登陆,否则拒绝链接。但是,这两种安全认证方式不能有效的防备“中间人”攻击,并且不能合理对秘钥进行管理,不能有效的及时更换秘钥,保证秘钥的安全性。
技术实现思路
有鉴于此,本专利技术实施例的目的在于提出了一种SSH秘钥管理的方法和系统,能够实现保管SSH远程主机以及客户端的秘钥信息,并对SSH远程主机公钥指纹进行公证,从而建立秘钥数据管理及客户端与SSH主机之间的访问网络信息,并强制周期性更换秘钥,针对客户端公钥与IP不匹配进行秘钥丢失预警,能够有效的提高SSH远程连接的安全性。基于上述目的,本专利技术的实施例的一个方面提供了一种SSH秘钥管理的方法,包括以下步骤:1)经由SSH远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息,并将其上报给SSH秘钥管理中心进行公示;2)经由SSH秘钥管理中心的公证及预警模块根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的SSH远程主机的主机公钥指纹;3)若主机公钥指纹通过验证,则经由公证及预警模块根据公示来进一步验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的客户端公钥信息与IP信息,若主机公钥指纹未通过验证,则向客户端发出警告并拒绝访问;和4)若客户端公钥信息与IP信息通过该进一步验证则容许访问,若未通过,则拒绝访问。根据本专利技术的一个实施例,经由远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息包括:监控模块通过对SSH远程主机的~/.ssh/id_rsa.pub文件进行监控,收集主机公钥信息并记录生效时间,并对SSH远程主机秘钥的使用时间进行监控。根据本专利技术的一个实施例,当SSH远程主机秘钥的使用时间超过预定值时,监控模块提出使用时间超长告警。根据本专利技术的一个实施例,经由远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息包括:监控模块通过对SSH远程主机的~/.ssh/authorized_keys文件进行监控,收集客户端公钥信息与IP信息,记录客户端公钥信息的生效时间,并对客户端秘钥的使用时间进行监控。根据本专利技术的一个实施例,当客户端秘钥的使用时间超过预定值时,监控模块通知删除客户端秘钥。根据本专利技术的一个实施例,SSH秘钥管理中心设置在设置在另一个主机中,公证及预警模块设置在SSH秘钥管理中心内。根据本专利技术的一个实施例,根据所述公示来验证客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述SSH远程主机的主机公钥指纹包括:将客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的主机公钥指纹与公示的SSH远程主机的主机公钥指纹进行匹配。根据本专利技术的一个实施例,经由所述公证及预警模块根据所述公示来进一步验证所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的客户端公钥信息与IP信息包括:将客户端访问SSH远程主机时上传到SSH秘钥管理中心的客户端公钥信息和IP信息与公示的客户端公钥信息与IP信息进行匹配。。本专利技术的实施例的另一个方面还提供了一种实现如上方法的系统,包括:监控模块,监控模块位于SSH远程主机上并且用于收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息,并将其上报给SSH秘钥管理中心公示;和SSH秘钥管理中心,SSH秘钥管理中心包括:公证及预警模块,公证及预警模块用于根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的SSH远程主机的主机公钥指纹,并且根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的客户端公钥信息与IP信息。根据本专利技术的一个实施例,根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的SSH远程主机的主机公钥指纹包括:将所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的主机公钥指纹与公示的SSH远程主机的主机公钥指纹进行匹配;根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的客户端公钥信息与IP信息包括:将客户端访问SSH远程主机时上传到SSH秘钥管理中心的客户端公钥信息和IP信息与公示的客户端公钥信息和IP信息进行匹配。本专利技术具有以下有益技术效果:本专利技术实施例提供的SSH秘钥管理的方法和系统,通过经由SSH远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息,并将其上报给SSH秘钥管理中心进行公示;经由SSH秘钥管理中心的公证及预警模块根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的SSH远程主机的主机公钥指纹;若主机公钥指纹通过验证,则经由公证及预警模块根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的客户端公钥信息与IP信息,若主机公钥指纹未通过验证,则向客户端发出警告并拒绝访问;和,若客户端公钥信息与IP信息通过验证则容许访问,若未通过,则拒绝访问的技术方案,能够实现保管SSH远程主机以及客户端的秘钥信息,并对SSH远程主机公钥指纹进行公证,从而建立秘钥数据管理及客户端与SSH主机之间的访问网络信息,并强制周期性更换秘钥,针对客户端公钥与IP不匹配进行秘钥丢失预警,能够有效的提高SSH远程连接的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为根据本专利技术一个实施例的SSH秘钥管理的方法的示意性流程图;图2为根据本专利技术一个实施例的实现SSH秘钥管理的方法的系统的示意性框图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术实施例进一步详细说明。基于上述目的,本专利技术的实施例的第一个方面,提出了一种SSH秘钥管理的方法一个实施例。图1示出的是该方法的示意性流本文档来自技高网...
【技术保护点】
1.一种SSH秘钥管理的方法,其特征在于,包括以下步骤:1)经由SSH远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息,并将其上报给SSH秘钥管理中心进行公示;2)经由所述SSH秘钥管理中心的公证及预警模块根据所述公示来验证客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述SSH远程主机的主机公钥指纹;3)若所述主机公钥指纹通过所述验证,则经由所述公证及预警模块根据所述公示来进一步验证所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的客户端公钥信息与IP信息,若所述主机公钥指纹未通过所述验证,则向客户端发出警告并拒绝访问;和4)若所述客户端公钥信息与IP信息通过所述进一步验证则容许访问,若未通过,则拒绝访问。
【技术特征摘要】
1.一种SSH秘钥管理的方法,其特征在于,包括以下步骤:1)经由SSH远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息,并将其上报给SSH秘钥管理中心进行公示;2)经由所述SSH秘钥管理中心的公证及预警模块根据所述公示来验证客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述SSH远程主机的主机公钥指纹;3)若所述主机公钥指纹通过所述验证,则经由所述公证及预警模块根据所述公示来进一步验证所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的客户端公钥信息与IP信息,若所述主机公钥指纹未通过所述验证,则向客户端发出警告并拒绝访问;和4)若所述客户端公钥信息与IP信息通过所述进一步验证则容许访问,若未通过,则拒绝访问。2.根据权利要求1所述的方法,其特征在于,经由远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息包括:所述监控模块通过对所述SSH远程主机的~/.ssh/id_rsa.pub文件进行监控,收集所述主机公钥信息并记录生效时间,并对SSH远程主机秘钥的使用时间进行监控。3.根据权利要求2所述的方法,其特征在于,当所述SSH远程主机秘钥的所述使用时间超过预定值时,所述监控模块提出所述使用时间超长告警。4.根据权利要求1所述的方法,其特征在于,经由远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息包括:所述监控模块通过对所述SSH远程主机的~/.ssh/authorized_keys文件进行监控,收集所述客户端公钥信息与IP信息,记录客户端公钥信息的生效时间,并对客户端秘钥的使用时间进行监控。5.根据权利要求4所述的方法,其特征在于,当所述客户端秘钥的所述使用时间超过预定值时,所述监控模块通知删除所述客户端的秘钥。6.根据权利要求1所述的方法,其特征在于,所述SSH秘钥管理中心设置在另一个主机中,所述公证及预警模块设置在所述SSH秘钥管理中心内...
【专利技术属性】
技术研发人员:朱英澍,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。