基于缓存密码的网络设备安全访问的系统及其工作方法技术方案

一种基于缓存密码的网络设备安全访问的系统和方法，系统设有：分别改进结构的堡垒机服务器和AAA服务器、日志分析服务器、客户端和被管理的网络设备。本发明专利技术系统创新特点是由堡垒机服务器缓存客户端用户的账号及密码并转发给AAA服务器用于鉴权认证；取代传统的网络设备账号密码和权限设置的本地存储和本地认证模式。且该缓存密码加密传输。被管理的网络设备只有通过该缓存密码的鉴权认证后，才允许用户访问，能增强和确保网络设备登录账号密码的安全可靠性能。AAA服务器将分散于众多网络设备的本地认证信息实现集中化管理。还精细划分用户管理权限，将用户行为限制于其合法的管理控制范围内，以确实保障网络设备安全。

Security access system of network equipment based on cache password and its working method

【技术实现步骤摘要】
基于缓存密码的网络设备安全访问的系统及其工作方法
本专利技术涉及一种基于缓存密码的网络设备安全访问的系统及其工作方法，用于解决现有IP网络中，现有技术的网络设备账号密码采用本地存储及本地认证的传统机制，造成密码泄露风险大、不可控和难追责的缺陷；而采用堡垒机管理方式时，同样有密码不可控、不同步及可逆的多种缺点。本专利技术采用AAA身份认证模式取代传统的本地认证模式，且以缓存密码替代传统的用户账号密码，还在AAA服务器中设置用户管理权限，使得用户管理权限的划分更方便，网络设备更安全。属于网络数据通信的

技术介绍
目前的通信系统中，对于网络设备的管理方法通常有两种：一种为管理员使用各个网络设备的账号密码直接登录相应的网络设备，并执行管理操作。另一种为管理员使用堡垒机的账号密码先登录堡垒机，再通过堡垒机对网络设备进行管理。所述堡垒机是当前在IT网络中使用比较广泛的、基于B/S架构的一种运维操作行为安全审计设备，具备对核心系统中的主机、服务器、网络设备、安全设备等的管理运行维护进行安全、有效、直观的操作审计功能，能够将运维审计由事件审计提升为内本文档来自技高网...

【技术保护点】
1.一种基于缓存密码的网络设备安全访问的系统，包括客户端和被管理的网络设备；其特征在于：所述系统是由分别改进结构的堡垒机服务器和AAA服务器，以及日志分析服务器所组成；其中：/n堡垒机服务器，用作为客户端提供单点登录其管控的网络设备、且不再存储任何网络设备账号密码、仅用于缓存登录该系统的用户账号及密码的服务器，还连接用于存储工作日志的日志分析服务器；该堡垒机服务器的组成结构除了包括原来分别连接客户端的虚拟终端模块和连接被管控的网络设备、创建在应用层和传输层的基础上、专为远程登录会话和其他网络服务提供安全通信的协议SSH(Secure Shell)/远程终端协议Telnet(Internet)连...

【技术特征摘要】
1.一种基于缓存密码的网络设备安全访问的系统，包括客户端和被管理的网络设备；其特征在于：所述系统是由分别改进结构的堡垒机服务器和AAA服务器，以及日志分析服务器所组成；其中：
堡垒机服务器，用作为客户端提供单点登录其管控的网络设备、且不再存储任何网络设备账号密码、仅用于缓存登录该系统的用户账号及密码的服务器，还连接用于存储工作日志的日志分析服务器；该堡垒机服务器的组成结构除了包括原来分别连接客户端的虚拟终端模块和连接被管控的网络设备、创建在应用层和传输层的基础上、专为远程登录会话和其他网络服务提供安全通信的协议SSH(SecureShell)/远程终端协议Telnet(Internet)连接模块以外，还增设有：与AAA服务器进行数据交互的AAA通信接口；
AAA服务器，作为该系统的控制中心，分别连接堡垒机服务器、日志分析服务器和网络设备，负责设置用户的不同管理权限，并根据客户端发起的用户登录连接请求和被该用户申请管控的网络设备发起的操作连接认证请求分别进行鉴权确认，并负责将该鉴权验证结果返回对应的客户端或网络设备；该AAA服务器设有：认证协议模块、用户数据库以及与堡垒机服务器交互数据的堡垒机通信接口；
日志分析服务器，分别连接堡垒机服务器和AAA服务器，获取该两个服务器的用户系统登录连接请求的认证、用户发起的、对网络设备进行管控的操作连接请求、被管控的该网络设备的操作连接请求的认证请求与用户对该网络设备连接操作的全部工作日志，并进行统计分析与安全审计；
客户端，用于连接堡垒机服务器，以便访问其所需连接的网络设备，并对该网络设备进行管理控制的用户终端计算机。


2.根据权利要求1所述的系统，其特征在于：所述缓存密码是堡垒机服务器接收到客户端的用户登录系统连接请求时，缓存的该用户的账号及密码；该缓存密码在用户发起对网络设备进行管控的操作连接请求时，由堡垒机服务器一并发送至被管控的网络设备，再由该网络设备将包括用户账号及密码的缓存密码与其IP地址一起发送给AAA服务器进行鉴权。


3.根据权利要求1所述的系统，其特征在于：所述堡垒机服务器的各个组成部件的功能分别是：
虚拟终端模块，负责接收来自客户端的用户登录连接请求及其管控网络设备的操作连接请求；对该系统登录连接请求进行转换分析后，将得到的登录连接请求中的用户账号及密码进行缓存，再将该包含该用户账号及密码的登录连接请求转发到AAA通信接口，用于给AAA服务器结合该用户的手机动态口令对该用户进行多因子鉴权认证时的备用选择；负责接收来自AAA通信接口的针对该用户的拒绝登录连接信息或可选连接的网络设备列表，以供客户端能够通过该列表直接选择、或者手动输入所需管控的网络设备IP地址对该网络设备发起操作连接请求；在接收到客户端用户对所需管控的网络设备操作连接请求时，该虚拟终端模块将包含缓存密码、以及操作连接请求转换分析后的结果：请求连接的该网络设备IP地址和缓存的用户账号及密码经由SSH/Telnet连接模块发送至对应的该网络设备；
SSH/Telnet连接模块，负责接收来自客户端、经由虚拟终端模块转发的、包含该待连接的网络设备IP地址、缓存的用户账号及密码的管理网络设备的操作连接请求，再转发至该待连接的对应网络设备，并根据SSH/Telnet协议连接用户选择的该待连接的网络设备，以便执行管控操作；
AAA通信接口，用于分别接收来自虚拟终端模块完成转换分析后的用户系统登录连接请求，再转发至AAA服务器的堡垒机...

【专利技术属性】
技术研发人员：翁源，郭思琦，丛群，
申请(专利权)人：北京网瑞达科技有限公司，
类型：发明
国别省市：北京;11