【技术实现步骤摘要】
基于一次性访问凭据的网络设备安全访问的系统和方法
本专利技术涉及一种基于一次性访问凭据的网络设备安全访问的系统及其工作方法,用于解决现有IP网络中,现有技术的网络设备账号密码采用本地存储及本地认证的传统机制,造成密码泄露风险大、不可控和难追责的缺陷;而采用堡垒机管理方式时,同样有密码不可控、不同步及可逆的多种缺点。本专利技术采用AAA身份认证模式取代传统的本地认证模式,且以一次性访问凭据替代传统的用户账号密码,还在AAA服务器中设置用户管理权限,使得用户管理权限的划分更方便,网络设备更安全。属于网络数据通信的
技术介绍
目前的通信系统中,对于网络设备的管理方法通常有两种:一种为管理员使用各个网络设备的账号密码直接登录相应的网络设备,并执行管理操作。另一种为管理员使用堡垒机的账号密码先登录堡垒机,再通过堡垒机对网络设备进行管理。所述堡垒机是当前在IT网络中使用比较广泛的、基于B/S架构的一种运维操作行为安全审计设备,具备对核心系统中的主机、服务器、网络设备、安全设备等的管理运行维护进行安全、有效、直观的操作审计功能,...
【技术保护点】
1.一种基于一次性访问凭据的网络设备安全访问的系统,包括客户端和被管理的网络设备;其特征在于:所述系统是由分别改进结构的堡垒机服务器和AAA服务器,以及日志分析服务器所组成;其中:/n堡垒机服务器,用作为客户端提供单点登录其管控的网络设备、且不再存储任何网络设备账号密码的服务器,还连接日志分析服务器,以便存储工作日志;该堡垒机服务器的组成结构除了包括原来分别连接客户端的虚拟终端模块和连接被管控的网络设备、创建在应用层和传输层的基础上、专为远程登录会话和其他网络服务提供安全通信的协议SSH(Secure Shell)/远程终端协议Telnet(Internet)连接模块以外,...
【技术特征摘要】
1.一种基于一次性访问凭据的网络设备安全访问的系统,包括客户端和被管理的网络设备;其特征在于:所述系统是由分别改进结构的堡垒机服务器和AAA服务器,以及日志分析服务器所组成;其中:
堡垒机服务器,用作为客户端提供单点登录其管控的网络设备、且不再存储任何网络设备账号密码的服务器,还连接日志分析服务器,以便存储工作日志;该堡垒机服务器的组成结构除了包括原来分别连接客户端的虚拟终端模块和连接被管控的网络设备、创建在应用层和传输层的基础上、专为远程登录会话和其他网络服务提供安全通信的协议SSH(SecureShell)/远程终端协议Telnet(Internet)连接模块以外,还增设有:与AAA服务器交互数据的AAA通信接口;
AAA服务器,分别连接堡垒机服务器、日志分析服务器和网络设备,该AAA服务器负责设置用户的不同管理权限,并根据客户端发起的用户登录该系统管控网络设备的系统登录连接请求及其管控网络设备的操作连接请求、以及对应网络设备返回的操作连接认证分别进行鉴权确认;负责根据客户端发起的管控网络设备的操作连接请求生成对应网络设备的一次性访问凭据OTP(One-timePassword)、即动态密码,还负责将鉴权验证结果返回对应的客户端或网络设备;该AAA服务器设有:认证协议模块、用户数据库、OTP缓存数据库,以及与堡垒机服务器交互数据的堡垒机通信接口;
日志分析服务器,分别连接堡垒机服务器和AAA服务器,获取该两个服务器的用户系统登录连接请求的认证、用户发起的网络设备操作连接的请求、被管控的网络设备发送的操作连接认证的结果与用户对该网络设备连接操作的全部工作日志,并进行统计分析与安全审计;
客户端,用于连接堡垒机服务器,以便访问其所需连接的网络设备,并对该网络设备进行管理控制的用户终端计算机。
2.根据权利要求1所述的系统,其特征在于:所述一次性访问凭据OTP、即动态密码是由AAA服务器根据设定算法针对每个用户的每次管理网络设备的操作连接请求生成的、一个不能预测的字符和/或数字的随机组合,每个动态密码的使用寿命只有一次,用后即失效;该动态密码用于替代连接被管理的网络设备时,传统的客户端用户的原账号密码。
3.根据权利要求1所述的系统,其特征在于:所述堡垒机服务器的各个组成部件的功能分别是:
虚拟终端模块,负责接收来自客户端的用户系统登录连接请求及其管控网络设备的操作连接请求,并对该系统登录连接请求和网络设备的操作连接请求分别进行转换分析,再将对系统登录连接请求的分析结果发送到AAA通信接口,对该网络设备的操作连接请求的分析结果发送到AAA通信接口和SSH/Telnet连接模块,并在AAA服务器对该系统登录连接请求和网络设备的操作连接请求都鉴权认证通过,SSH/Telnet连接模块与网络设备成功建立连接后,该虚拟终端模块为SSH/Telnet连接模块提供前端展示;所述用户的系统登录连接请求中包含该用户的账号密码信息,用于给AAA服务器结合该用户的手机动态密码对该用户进行多因子鉴权认证时的备用选择;该虚拟终端模块还负责接收来自AAA通信接口的、包含为该用户提供的可选连接的网络设备列表的信息,以供用户在客户端直接选择连接,或者由客户端用户自行输入待连接的、准备管控的网络设备IP地址,再由AAA服务器对该网络设备IP地址执行操作连接请求的鉴权认证;
SSH/Telnet连接模块,负责接收来自客户端、经由虚拟终端模块的管理网络设备的操作连接请求,并同时将来自AAA通信接口的一次性访问凭据转发至该待连接的网络设备,该待连接的网络设备向AAA服务器的认证协议模块发送操作连接认证请求;且在对该操作连接认证请求鉴权通过后,该SSH/Telnet连接模块根据SSH/Telnet协议连接用户所选择的该待连接的网络设备,以便执行管控操作;
AAA通信接口,用于分别接收来自虚拟终端模块完成转换分析后的用户系统登录连接请求和网络设备操作连接请求,再转发至AAA服务器的堡垒机通信接口;接收来自AAA服务器的堡垒机通信接口的拒绝连接信息或可选连接的网络设备列表,再经由虚拟终端模块将该列表转发至客户端,供用户选择连接;以及接收AAA服务器生成的一次性访问凭据,并经由SSH/Telnet连接模块转发至待连接的网络设备,该待连接的网络设备向AAA服务器的认证协议模块发送操作连接认证请求进行认证鉴权。
4.根据权利要求1所述的系统,其特征在于:所述AAA服务器的各个组成部件的功能分别是:
堡垒机通信接口,负责接收由堡垒机服务器转发的用户登录系统的连接请求及其对所需管理的网络设备的操作连接请求,并转发至认证协议模块进行鉴权认证处理,并根据不同鉴权结果执行相应处理:
针对用户登录系统的连接请求时,若鉴权失败,则该堡垒机通信接口接收来自认证协议模块的拒绝登录信息,并转发给堡垒机服...
【专利技术属性】
技术研发人员:王道佳,翁源,丛群,
申请(专利权)人:北京网瑞达科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。