一种用于运维审计系统的资产密码导出方法技术方案

本发明专利技术公开了一种用于运维审计系统的资产密码导出方法，密码共享模块将分割后的子密文与明文部分的信息相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件；对生成的文件附加用户名取哈希值，为每个用户生成的密钥对进行数字签名；根据预先设定的权限分割，为每个用户分配文件，并将用户的文件用该用户的登陆密码进行可逆的文件加密；使用加密信道将文件传输到用户主机上。本发明专利技术实现了对导出文件的安全保护。本发明专利技术对导出文件进行分发管理，实现了资产信息导出的权限分割。通过数字签名机制，实现了可追溯来源和防篡改。保障资产信息备份时的安全，并有效地抵抗了内网中可能存在的攻击者。

【技术实现步骤摘要】
一种用于运维审计系统的资产密码导出方法
本专利技术属于信息安全的
，具体涉及一种用于运维审计系统的资产密码导出方法。
技术介绍
秘密共享技术是密码学和信息安全的一个重要研究内容，被广泛应用于密钥管理及数字签名领域，他最早由Shaimir和Blackly在1979年分别基于Lagrance插值多项式和矢量方法提出。其基本思想是分发者通过秘密多项式将秘密s分为n个影子秘密并分发给持有者，其中任意不少于t个影子秘密的任何信息。他的出现解决了密钥安全报告的基本问题，既能保证秘密的安全性、完整性，又能防止秘密过于集中而带来的风险(荣辉桂,莫进侠,常炳国,等.基于Shamir秘密共享的密钥分发与恢复算法[J].通信学报,2015(3):60-69)。在运维审计系统中常常需要对密码进行导出和导入，然而密码导出的过程中安全性是重中之重，是系统安全的关键之处，同时密码的责任分摊管理至关重要，是防止内部被盗的关键环节。
技术实现思路
本专利技术的目的在于提供一种用于运维审计系统的资产密码导出方法，解决了导出过程中资产密码安全性的问题，本专利技术实现了对导出文件的安全保护。本专利技术对导出文件进行分发管理，实现了资产信息导出的权限分割。通过身份认证实现用户可信。通过数字签名机制，实现了可追溯来源和防篡改。对导出文件可以导入系统中实现资产信息恢复的功能。保障资产信息备份时的安全，并有效地抵抗了内网中可能存在的攻击者，通过权限分割明确运维人员责任，方便管理。本专利技术主要通过以下技术方案实现：一种用于运维审计系统的资产密码导出方法，主要包括以下步骤：步骤S102：密码共享模块将分割后的子密文与明文部分的信息根据资产相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件；步骤S103：对生成的文件附加用户名取哈希值，为每个用户生成的密钥对进行数字签名；根据预先设定的权限分割，为每个用户分配文件，并将用户的文件用该用户的登陆密码进行可逆的文件加密；使用加密信道将文件传输到用户主机上。为了更好的实现本专利技术，进一步的，所述步骤S103中首先通过身份验证系统保证部门管理员和密码管理员的合法身份；在运维审计系统内部，为每个管理密码的用户采用公钥加密体系生成一对公钥私钥密钥对，存储在系统内部，用于对导出文件进行数字签名。为了更好的实现本专利技术，进一步的，所述步骤S103中对生成的文件使用密码管理者登陆运维审计系统的密码进行可逆的文件加密；使用sftp协议将文件发送到密码管理者进行备份的机器上，采用加密信道避免中间人攻击。为了更好的实现本专利技术，进一步的，还包括密码导入的步骤：步骤S201：将持有的文件通过加密信道上传到运维审计系统中；对文件使用用户登陆运维审计系统的密码进行解密，得到文件和数字签名；对数字签名进行验证，如果错误，则结束操作，并进行记录，反馈到运维审计系统中；步骤S202：将用户的文件使用该用户的登陆密码进行文件解密后，文件解析模块将文件中的记录逐条读出为数据，将导入的文件中对应资产的子密文部分读出，共同传递给密文恢复模块；密文恢复模块取到子密文，通过shamir秘密共享算法，计算并还原得到完整的原始密文，并将该密文传递给数据库解析模块；步骤S203：数据库解析模块将资产的明文传递信息和密文对应组合成数据库记录，并写入到运维审计系统的资产数据库中，资产密码完成导入恢复过程。为了更好的实现本专利技术，进一步的，还包括步骤S101：数据库解析模块读取资产信息数据库中的记录，将非敏感信息以原数据格式进行读取，并读取对应的加密存储的资产密码的密文，并将密文传输到密文分拆模块中，采用Shamir秘密共享算法，对密文分割得到n份子密文。为了更好的实现本专利技术，进一步的，所述非敏感信息包括资产名称、资产IP地址、备注信息的明文存储的信息；所述步骤S102中的密码导出文件的格式可以为txt纯文本文件或者excel表格文件或者数据库记录。为了更好的实现本专利技术，进一步的，所述步骤S103中用户包括部门管理员和若干个密码管理员，部门管理员与一个密码管理员的总的文件或者所有密码管理员的总的文件可以完成密码导入恢复。为了更好的实现本专利技术，进一步的，所述密码导出文件n为5，部门管理员为1个，密码管理员为3个；部门管理员持有2份子密码，密码管理员各持有1份子密码；导入密码时需要3份子密码。权限分割设置如下：1.密码导出功能设计到运维审计系统中的角色为：系统管理员、部门管理员和密码管理员。系统管理员是运维审计系统的管理员，具有运维审计系统的最高权限。部门管理员为分管理员，负责管理部分资产的运维审计人员。密码管理员负责管理维护运维审计系统中的资产密码。2.密码导出功能的权限分割是由系统管理员来设定的，但该角色不负责密码的导入导出和密码文件的保存。部门管理员要持有比重较大的导出密码，密码管理员各自持有相同比重的密码。部门管理员需要配合一位密码管理员完成密码导入恢复的过程；全部密码管理员共同配合才能完成密码导入恢复的过程。3.默认配置中，一个部门具有1个部门管理员，3个密码管理员。共有5份子密码，部门管理员持有2份子密码，密码管理员分别持有1份子密码。导入密码时，需要3份子密码，可以由部门管理员配合1位密码管理员完成该操作；或者由3位密码管理员共同完成该操作。4.密码划分方案支持自定义，可以由系统管理员在页面上进行配置，并存储在运维审计系统内部，采用公开Shamir秘密共享算法进行加密，分割子密码。5.可以手动由部门管理员点击按钮发起密码导出，或者根据配置按照一定时间周期自动导出备份资产密码。资产密码导出过程如下：第一步：发起密码导出操作后，数据库解析模块读取存储在运维审计系统中的资产信息数据库中的记录，将非敏感信息如资产名称，资产IP地址，备注信息等明文存储的信息以原数据格式读取，并读取对应的加密存储的资产密码密文，将密文传输到密文拆分模块中。第二步：密文拆分模块采用Shamir秘密共享算法，根据系统管理员设定的参数，对密文进行分割，产生n份子密文。默认产生5份子密文。第三步：密码共享模块将分割后的子密文与明文部分的信息根据资产相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件，文件格式如常见的txt纯文本文件，excel表格文件，数据库记录等。第四步：对生成的文件附加用户名取哈希值，使用运维设计系统为每个用户生成的密钥对进行数字签名。第五步：根据预先设定的权限分割，为每个用户分配文件，并将该用户的文件用该用户的登陆密码进行可逆的文件加密。第六步：使用加密信道将文件传输到用户主机上。发起密码导入恢复操作后，需要找到系统管理员和1个密码管理员，或者全部密码管理员，将他们各自持有的文件通过加密信道上传到运维审计系统中。对文件使用用户登陆运维审计系统的密码进行解密，得到文件和数字签名。对数字签名进行验证，如果错误，则不可进行下一步操作，并进行记录，反馈到运维审计系统中。将用户的文件使用该用户的登陆密码进行文件解密后，文件解析模块将文件中的记录逐条读出为数据，将导入的文件中对应资产的子密文部分读出，共同传递给密文恢复模块。密文恢复模块取到子密文，通过shamir秘密共享算法，计算并还原得到完整的原始密本文档来自技高网...

【技术保护点】
1.一种用于运维审计系统的资产密码导出方法，其特征在于，主要包括以下步骤：步骤S102：密码共享模块将分割后的子密文与明文部分的信息根据资产相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件；步骤S103：对生成的文件附加用户名取哈希值，为每个用户生成的密钥对进行数字签名；根据预先设定的权限分割，为每个用户分配文件，并将用户的文件用该用户的登陆密码进行可逆的文件加密；使用加密信道将文件传输到用户主机上。

【技术特征摘要】
1.一种用于运维审计系统的资产密码导出方法，其特征在于，主要包括以下步骤：步骤S102：密码共享模块将分割后的子密文与明文部分的信息根据资产相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件；步骤S103：对生成的文件附加用户名取哈希值，为每个用户生成的密钥对进行数字签名；根据预先设定的权限分割，为每个用户分配文件，并将用户的文件用该用户的登陆密码进行可逆的文件加密；使用加密信道将文件传输到用户主机上。2.根据权利要求1所述的一种用于运维审计系统的资产密码导出方法，其特征在于，所述步骤S103中首先通过身份验证系统保证部门管理员和密码管理员的合法身份；在运维审计系统内部，为每个管理密码的用户采用公钥加密体系生成一对公钥私钥密钥对，存储在系统内部，用于对导出文件进行数字签名。3.根据权利要求2所述的一种用于运维审计系统的资产密码导出方法，其特征在于，所述步骤S103中对生成的文件使用密码管理者登陆运维审计系统的密码进行可逆的文件加密；使用sftp协议将文件发送到密码管理者进行备份的机器上，采用加密信道避免中间人攻击。4.根据权利要求1所述的一种用于运维审计系统的资产密码导出方法，其特征在于，所述步骤S103中用户包括部门管理员和若干个密码管理员，部门管理员与一个密码管理员的总的文件或者所有密码管理员的总的文件可以完成密码导入恢复。5.根据权利要求4所述的一种用于运维审计系统的资产密码导出方法，其特征在于，所述密码导出文件n为5，部门管理员为1个，密码管理员为3个；部门管理员持...

【专利技术属性】
技术研发人员：郭嘉仪，范渊，吴永越，郑学新，刘韬，
申请(专利权)人：成都安恒信息技术有限公司，
类型：发明
国别省市：四川,51