本发明专利技术公开了一种特权账号分布式存储方法,包括如下步骤:对特权账号进行多级存储;当前任一级、任意一节点上存储的特权账号待变更;判断是否符合变更条件,如是,特权账号更新成功并同步到上一级、同级和下一级可连通的两个节点;查找同级节点信息表;判断是否还有其他同级节点未被更新,如是,获取未改密节点当前特权账号控制权;判断是否获得特权账号控制权,如是,执行下一步骤;判断获取的节点是否更新版本,如是,更新节点信息表。本发明专利技术还涉及一种实现上述特权账号分布式存储方法的装置。本发明专利技术能大大提高特权账号的存储安全性,同时还能实现数据就近改密和查询的需求,提高系统的吞吐能力。
Distributed storage method and device of privileged account
【技术实现步骤摘要】
特权账号分布式存储方法及装置
本专利技术涉及特权账号安全管理领域,特别涉及一种特权账号分布式存储方法及装置。
技术介绍
目前IT安全领域发展日新月异,不断变化。信息化安全防护手段越来越多,也越来越高级。但数据信息的最后一道防线,特权账号密码始终得不到有效保护与管理,攻击者依然能够通过合法的技术途径,进入企业内部网络,窃取有价值的数据。他们所用到的技巧,就是获知了被泄露的特权账号密码。这些高权限的账号,除了员工的个人账号之外,也包括企业或组织整个IT基础架构的底层系统账号以及应用内嵌账号。这些特权账号往往被人们所忽略,从而不受监控,最终成为了大多数攻击的突破口。但管理者也是无可奈何,因为没有很好的自动化、可扩展、高可靠技术平台,能让他们从万级数量的账号管理工作中解放出来。导致总有高权限的账号密码被泄露,最终发生数据泄露事件。特权账号是指具有高风险的账号(如可以启停设备的管理员账号)或具有高价值的账号(如可以读取业务敏感数据的应用账号),现有的特权账号存储采用数据库存储,一般会采用双节点的高可靠设计,这样的方式属于集中式存储;现代大型分布式的企业信息系统架构,特权账号数量很大,分布在多个地域、网段,并且都是关键的生产系统的核心要素,要求大并发的实时响应,目前的存储结构难以同时满足这些苛刻的要求。
技术实现思路
本专利技术要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能大大提高特权账号的存储安全性,同时还能实现数据就近改密和查询的需求,提高系统的吞吐能力的特权账号分布式存储方法及装置。<br>本专利技术解决其技术问题所采用的技术方案是:构造一种特权账号分布式存储方法,包括如下步骤:A)对特权账号进行多级存储,每一级的节点能按需和横向扩展进行部署;B)当前任一级、任意一节点上存储的特权账号准备进行变更;C)判断是否符合变更条件,如是,执行步骤E);否则,执行步骤D);D)退出特权账号变更流程;E)特权账号更新成功并同步到上一级、同级和下一级可连通的两个节点,执行步骤F)、步骤F')或步骤F");F)查找同级节点信息表;G)判断是否还有其他同级节点未被更新,如是,执行步骤I);否则,执行步骤H);H)退出同级节点更新流程;I)获取未改密节点当前特权账号控制权;J)判断是否获得特权账号控制权,如是,执行步骤K);否则,执行步骤M);K)判断获取的节点是否已经更新版本,如是,执行步骤O);否则,执行步骤L);L)更新未改密节点的特权账号,执行步骤O)或步骤F");M)判断获取的节点是否是已经更新的版本,如是,执行步骤O);否则,执行步骤N);N)等待设定时间,执行步骤I);F')触发被更新的节点查找下一级或上一级节点表,执行步骤G');G')判断是否找到上一级或下一级节点,如是,执行步骤H);否则,执行步骤H');H')退出被触发上级或下级同步流程;F")触发更新的节点查找同级节点表,执行步骤F);O)更新节点信息表,返回步骤F)。在本专利技术所述的特权账号分布式存储方法中,所述变更条件为特权账号与当前同级、上一级和下一级中每层的连通性数量≥2。在本专利技术所述的特权账号分布式存储方法中,所述步骤F')中被更新的节点根据层级更新的方向寻找下一级或上一级节点表。在本专利技术所述的特权账号分布式存储方法中,所述层级更新的方向为从下级往上级,或者从上级往下级。本专利技术还涉及一种实现上述特权账号分布式存储方法的装置,包括:多级存储单元:用于对特权账号进行多级存储,每一级的节点能按需和横向扩展进行部署;待变更单元:用于当前任一级、任意一节点上存储的特权账号准备进行变更;变更条件判断单元:用于判断是否符合变更条件;变更流程退出单元:用于退出特权账号变更流程;变更同步单元:用于特权账号更新成功并同步到上一级、同级和下一级可连通的两个节点;节点信息表查找单元:用于查找同级节点信息表;未被更新判断单元:用于判断是否还有其他同级节点未被更新;节点更新流程退出单元:用于退出同级节点更新流程;特权账号控制权获取单元:用于获取未改密节点当前特权账号控制权;控制权判断单元:用于判断是否获得特权账号控制权;版本更新判断单元:用于判断获取的节点是否已经更新版本;特权账号更新单元:用于更新未改密节点的特权账号;更新判断单元:用于判断获取的节点是否是已经更新的版本;等待单元:用于等待设定时间;触发查找单元:用于触发被更新的节点查找下一级或上一级节点表;找到判断单元:用于判断是否找到上一级或下一级节点;同步流程退出单元:用于退出被触发上级或下级同步流程;同级节点表触发单元:用于触发更新的节点查找同级节点表;节点信息表更新单元:用于更新节点信息表。在本专利技术所述的装置中,所述变更条件为特权账号与当前同级、上一级和下一级中每层的连通性数量≥2。在本专利技术所述的装置中,所述触发查找单元中被更新的节点根据层级更新的方向寻找下一级或上一级节点表。在本专利技术所述的装置中,所述层级更新的方向为从下级往上级,或者从上级往下级。实施本专利技术的特权账号分布式存储方法及装置,具有以下有益效果:在特权账号存储技术方面,对比传统高可靠双节点存储方式,本专利技术采用了分布式、分层级存储,这样可以很好的解决多数据副本存储、分布式、多冗余的存储要求,本专利技术能大大提高特权账号的存储安全性,同时还能实现数据就近改密和查询的需求,提高系统的吞吐能力。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术特权账号分布式存储方法及装置一个实施例中方法的流程图;图2为所述实施例中对于特权账号进行多级存储的示意图;图3为所述实施例中装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。在本专利技术特权账号分布式存储方法及装置实施例中,其特权账号分布式存储方法的流程图如图1所示。图1中,该特权账号分布式存储方法包括如下步骤:步骤S01对特权账号进行多级存储,每一级的节点能按需和横向扩展进行部署:本步骤中,对特权账号进行多级存储,每一级的节点能按需和横向扩展进行部署,具体而言,图2为本实施例中对于特权账号进行多级存储的示意图,如图2所示,对于特权账号的存储可本文档来自技高网...
【技术保护点】
1.一种特权账号分布式存储方法,其特征在于,包括如下步骤:/nA)对特权账号进行多级存储,每一级的节点能按需和横向扩展进行部署;/nB)当前任一级、任意一节点上存储的特权账号准备进行变更;/nC)判断是否符合变更条件,如是,执行步骤E);否则,执行步骤D);/nD)退出特权账号变更流程;/nE)特权账号更新成功并同步到上一级、同级和下一级可连通的两个节点,执行步骤F)、步骤F')或步骤F");/nF)查找同级节点信息表;/nG)判断是否还有其他同级节点未被更新,如是,执行步骤I);否则,执行步骤H);/nH)退出同级节点更新流程;/nI)获取未改密节点当前特权账号控制权;/nJ)判断是否获得特权账号控制权,如是,执行步骤K);否则,执行步骤M);/nK)判断获取的节点是否已经更新版本,如是,执行步骤O);否则,执行步骤L);/nL)更新未改密节点的特权账号,执行步骤O)或步骤F");/nM)判断获取的节点是否是已经更新的版本,如是,执行步骤O);否则,执行步骤N);/nN)等待设定时间,执行步骤I);/nF')触发被更新的节点查找下一级或上一级节点表,执行步骤G');/nG')判断是否找到上一级或下一级节点,如是,执行步骤H);否则,执行步骤H');/nH')退出被触发上级或下级同步流程;/nF")触发更新的节点查找同级节点表,执行步骤F);/nO)更新节点信息表,返回步骤F)。/n...
【技术特征摘要】
1.一种特权账号分布式存储方法,其特征在于,包括如下步骤:
A)对特权账号进行多级存储,每一级的节点能按需和横向扩展进行部署;
B)当前任一级、任意一节点上存储的特权账号准备进行变更;
C)判断是否符合变更条件,如是,执行步骤E);否则,执行步骤D);
D)退出特权账号变更流程;
E)特权账号更新成功并同步到上一级、同级和下一级可连通的两个节点,执行步骤F)、步骤F')或步骤F");
F)查找同级节点信息表;
G)判断是否还有其他同级节点未被更新,如是,执行步骤I);否则,执行步骤H);
H)退出同级节点更新流程;
I)获取未改密节点当前特权账号控制权;
J)判断是否获得特权账号控制权,如是,执行步骤K);否则,执行步骤M);
K)判断获取的节点是否已经更新版本,如是,执行步骤O);否则,执行步骤L);
L)更新未改密节点的特权账号,执行步骤O)或步骤F");
M)判断获取的节点是否是已经更新的版本,如是,执行步骤O);否则,执行步骤N);
N)等待设定时间,执行步骤I);
F')触发被更新的节点查找下一级或上一级节点表,执行步骤G');
G')判断是否找到上一级或下一级节点,如是,执行步骤H);否则,执行步骤H');
H')退出被触发上级或下级同步流程;
F")触发更新的节点查找同级节点表,执行步骤F);
O)更新节点信息表,返回步骤F)。
2.根据权利要求1所述的特权账号分布式存储方法,其特征在于,所述变更条件为特权账号与当前同级、上一级和下一级中每层的连通性数量≥2。
3.根据权利要求1所述的特权账号分布式存储方法,其特征在于,所述步骤F')中被更新的节点根据层级更新的方向寻找下一级或上一级节点表。
4.根据权利要求1至3任意一项所述的特权账号分布式存储方法,其特征在于,所述层级更新的方向为从...
【专利技术属性】
技术研发人员:邓帧恒,董明,潘明政,
申请(专利权)人:广州海颐信息安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。