一种考虑运行维护的安全性检测方法技术

一种考虑运行维护的安全性检测方法，涉及一种弱口令检测方法。本发明专利技术为了解决现有的弱口令检测存在不能为运行维护提供支持的问题和存在耗费时间较长的问题。本发明专利技术按照资源对象类型分类，从采集对象数据中采集资源帐号及口令数据；针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测，并将对应的密码复杂度检测结果发送给用于运行维护的数据库；同时将需要解析、比对的数据分发到相应的计算引擎，计算引擎为GPU的运算单元；GPU结合hashcat工具并调用弱口令字典实现弱口令分布式碰撞与分析作业，实现弱口令检测；通过密码复杂度检测结果和弱口令检测结果实现资源对象类型的安全性检测。本发明专利技术适用于弱口令检测。

【技术实现步骤摘要】
一种考虑运行维护的安全性检测方法
本专利技术涉及一种弱口令检测方法。
技术介绍
弱口令是指容易被猜测到或被破解工具破解的口令，一般为仅包含简单数字和字母的口令，例如"123"、"abc"等。这样的口令很容易被别人破解，从而使用户的计算机等面临严重风险，包括数据库、操作系统、网络设备以及中间件等，一旦这些设备或者系统的被破解则会面临严重的损失，针对于涉密单位、涉密部门等则会遭受巨大的经济损失、甚至影响企业的安全；即使针对普通单位或者部门，设备或者系统一旦被破解也会面临泄露客户资源或者商业秘密的危险，将会使企业遭受巨大的经济损失。所以，一般的企业会要求内部使用的系统或者软件等设置密码，且要求其具有足够的安全性，即不能是弱口令。但是，员工或者用户往往基于方便好记等原因，经常将密码设置为弱口令。为了保证企业内部的安全性或者由于安全性的要求，企业会对员工进行宣传和督导，甚至进行检查。由于目前的弱口令检测技术往往仅仅是简单的进行弱口令检查而已，不能为运行维护提供数据支持或者服务支持。同时现有的弱口令检测往往是基于系统或者软件进行逐条碰撞，整个过程都是交给CPU进行的，这样需要花费很长的时间进行弱口令检测，浪费了大量的时间。
技术实现思路
本专利技术为了解决现有的弱口令检测存在不能为运行维护提供支持的问题和存在耗费时间较长的问题。一种考虑运行维护的安全性检测方法，包括以下步骤：按照资源对象类型分类，从采集对象数据中采集资源帐号及口令数据；针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测，并将资源对象类型对应的密码复杂度检测结果发送给用于运行维护的数据库；同时，将需要解析、比对的数据分发到相应的计算引擎，所述的计算引擎为GPU的运算单元；所述GPU结合hashcat工具并调用弱口令字典实现弱口令分布式碰撞与分析作业，实现弱口令检测；通过密码复杂度检测结果和弱口令检测结果实现资源对象类型的安全性检测。进一步地，所述针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测的过程，包括针对于数据库的密码复杂度检测，过程如下：通过JDBC协议访问数据库，执行查询SQL语句，获取帐号权限策略的信息；所述SQL语句用于检查：(a)数据库是否配置密码策略，(b)密码策略中是否配置密码词典校验，(c)密码词典是否设置常用密码；所以，检查返回结果，如果返回结果判断为正常，则数据库的密码复杂度满足要求；如果返回结果判断为未配置或者配置但配置不完整，则数据库的密码复杂度不满足要求。所述针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测的过程包括针对中间件的密码复杂度检测，过程如下：Weblogic中间件帐号口令策略配置是保存在特定的配置文件中的，通过配置检查脚本检查配置文件，实现密码复杂度检测。所述针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测的过程包括不同系统的用户主机的密码复杂度检测，过程如下：Windows下的检测：通过WMI远程登录主机，执行命令：secedit/export/cfgC:\passwd_policy.cfg1>nul2>nul&&moreC:\passwd_policy.cfg|findstr"^PasswordComplexity"，获取复杂度是否启用信息；执行命令：secedit/export/cfgC:\passwd_policy.cfg1>nul2>nul&&moreC:\passwd_policy.cfg|findstr"^MaximumPasswordAge"，获取默认密码有效期信息；执行命令：secedit/export/cfgC:\passwd_policy.cfg1>nul2>nul&&moreC:\passwd_policy.cfg|findstr"^MinimumPasswordLength"，获取密码最少位数信息；Linux下的检测：针对RHEL/CentOS/OEL：通过SSH远程登录主机，执行命令：cat/etc/pam.d/system-auth|grep-Ev^#|grep"pam_cracklib"，获取密码复杂度信息；执行命令：cat/etc/login.defs|grep-Ev^#|grepPASS_MAX_DAYS，获取默认密码有效期信息；针对SUSELinux：通过SSH远程登录主机，执行命令：cat/etc/pam.d/passwd|grep-Ev^#|grep"pam_cracklib"，获取密码复杂度信息；执行命令：cat/etc/login.defs|grep-Ev^#|grepPASS_MAX_DAYS，获取默认密码有效期信息；针对HPUX：通过SSH远程登录主机，执行命令：cat/etc/default/security|grep-Ev^#|grep-Ev^$，获取密码复杂度信息和默认密码有效期信息；针对AIX：通过SSH远程登录主机，执行命令：/usr/bin/lssec-f/etc/security/user-sdefault-amaxage/usr/bin/lssec-f/etc/security/user-sdefault-aminlen/usr/bin/lssec-f/etc/security/user-sdefault-aminalpha/usr/bin/lssec-f/etc/security/user-sdefault-aminother获取密码复杂度信息和默认密码有效期信息；针对Solaris：通过SSH远程登录主机，执行命令：cat/etc/default/passwd|egrep-v^#|egrep-v^$，获取密码复杂度信息和默认密码有效期信息。所述针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测的过程包括针对于网络设备的密码复杂度检测；通过SSH协议执行查询命令，然后解析命令的返回值，获取网络设备的口令策略信息；包括针对以下网络设备的检测：针对华为路由器或华为交换机，通过查询命令“displaycurrent-configuration|includeuser-security-policyenable”查询密码复杂度检测被禁用信息；然后通过查询命令“displaycurrent-configuration|includeuser-password”查询密码复杂度检测开启信息、密码过期时间信息和密码长度信息；针对H3C路由器或交换机，通过查询命令“displaypassword-control”查询密码复杂度检测被禁用信息、查询密码复杂度检测开启信息、密码过期时间信息和密码长度信息等；针对烽火交换机，通过查询命令“showuserconfig”查询密码长度、密码复杂度信息；针对中兴交换机，通过查询命令“showrunning-config|includestrong-password”查询开启密码复杂度检测信息。进一步地，所述GPU结合hashcat工具并调用弱口令字典实现弱口令分布式碰撞与分析作业的过程是通过4块NvidiaTeslaP40实现的。本专利技术具有以下有益效果：本专利技术能够根据资源本文档来自技高网...

【技术保护点】
1.一种考虑运行维护的安全性检测方法，其特征在于，包括以下步骤：按照资源对象类型分类，从采集对象数据中采集资源帐号及口令数据；针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测，并将资源对象类型对应的密码复杂度检测结果发送给用于运行维护的数据库；同时，将需要解析、比对的数据分发到相应的计算引擎，所述的计算引擎为GPU的运算单元；所述GPU结合hashcat工具并调用弱口令字典实现弱口令分布式碰撞与分析作业，实现弱口令检测；通过密码复杂度检测结果和弱口令检测结果实现资源对象类型的安全性检测。

【技术特征摘要】
1.一种考虑运行维护的安全性检测方法，其特征在于，包括以下步骤：按照资源对象类型分类，从采集对象数据中采集资源帐号及口令数据；针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测，并将资源对象类型对应的密码复杂度检测结果发送给用于运行维护的数据库；同时，将需要解析、比对的数据分发到相应的计算引擎，所述的计算引擎为GPU的运算单元；所述GPU结合hashcat工具并调用弱口令字典实现弱口令分布式碰撞与分析作业，实现弱口令检测；通过密码复杂度检测结果和弱口令检测结果实现资源对象类型的安全性检测。2.根据权利要求1所述的一种考虑运行维护的安全性检测方法，其特征在于，所述针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测的过程包括针对于数据库的密码复杂度检测，过程如下：通过JDBC协议访问数据库，执行查询SQL语句，获取帐号权限策略的信息；所述SQL语句用于检查：(a)数据库是否配置密码策略，(b)密码策略中是否配置密码词典校验，(c)密码词典是否设置常用密码；所以，检查返回结果，如果返回结果判断为正常，则数据库的密码复杂度满足要求；如果返回结果判断为未配置或者配置但配置不完整，则数据库的密码复杂度不满足要求。3.根据权利要求1所述的一种考虑运行维护的安全性检测方法，其特征在于，所述针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测的过程包括针对中间件的密码复杂度检测，过程如下：Weblogic中间件帐号口令策略配置是保存在特定的配置文件中的，通过配置检查脚本检查配置文件，实现密码复杂度检测。4.根据权利要求1所述的一种考虑运行维护的安全性检测方法，其特征在于，所述针对资源对象类型分类，根据资源帐号及口令数据进行密码复杂度检测的过程包括不同系统的用户主机的密码复杂度检测，过程如下：Windows下的检测：通过WMI远程登录主机，执行命令：secedit/export/cfgC:\passwd_policy.cfg1>nul2>nul&&moreC:\passwd_policy.cfg|findstr"^PasswordComplexity"，获取复杂度是否启用信息；执行命令：secedit/export/cfgC:\passwd_policy.cfg1>nul2>nul&&moreC:\passwd_policy.cfg|findstr"^MaximumPasswordAge"，获取默认密码有效期信息；执行命令：secedit/export/cfgC:\passwd_policy.cfg1>nul2>nul&&moreC:\passwd_policy.cfg|findstr"^MinimumPasswordLength"，获取密码最少位数信息；Linux下的检测：针对RHEL/CentOS/OEL：通过SSH远程登录主机，执行命令：cat/etc/pam.d/system-auth|grep-Ev^#|grep"pam_cracklib"...

【专利技术属性】
技术研发人员：杨波，赵博，张磊，卫祥，党倩，魏军，冯丽丽，
申请(专利权)人：国网甘肃省电力公司信息通信公司，国家电网有限公司，
类型：发明
国别省市：甘肃,62