统一安全管理系统及身份认证方法技术方案

本发明专利技术公开了一种统一安全管理系统及身份认证方法，该系统包括：安全管理门户以及安全管理中心；所述安全管理中心进一步包括：集中认证服务、远程用户拨号认证服务、程序账号接口以及一次性密码服务；其中，所述远程用户拨号认证服务用于将主机的认证请求转发给集中认证服务进行集中认证；以及，所述程序账号接口和一次性密码服务用于在应用程序登录主机时为应用程序分配一次性访问密码，并且所述一次性密码服务还用于提供该一次性访问密码给集中认证服务进行身份认证。由此可见，本发明专利技术方案，基于改造后的4A系统，可提高主机的安全性、减小软件复杂度、有效防止了用户信息泄漏、杜绝了密码被破解的可能性。

【技术实现步骤摘要】
统一安全管理系统及身份认证方法
本专利技术涉及身份认证
，具体涉及一种统一安全管理系统及身份认证方法。
技术介绍
在Linux系统下，目前远程登录系统有两种认证方式：密码认证和密钥认证。图1示出了两种常用的linux认证方式的认证过程示意图。如图1所示，其中，密码认证方式是一种传统的安全策略，通过设置一个相对复杂的密码，对系统安全能起到一定的防护作用，但是也面临一些其他问题，例如密码暴力破解、密码泄露、密码丢失等，同时过于复杂的密码也会对运维工作造成一定的负担。以及，密钥认证则是一种新型的认证方式，公用密钥存储在远程服务器上，私钥保存在本地，当需要登录系统时，通过本地私钥和远程服务器的公用密钥进行配对认证，如果认证成功，就可以成功登录系统，这种认证方式避免了被暴力破解的危险，同时只要保存在本地的私钥不被黑客盗用，攻击者一般无法通过密钥认证的方式进入系统。密码认证和密钥认证都采用的密码学中的非对称密钥算法，密码认证方式在用户第一次登录服务器时系统提示保存服务器公钥到客户端本地，方便用户下次登录服务器时进行密码加密；密钥认证需要管理员手动生成登录服务器的公钥并储到目标服务器上。两种认证方式的登录流程不同，使用的密钥算法也不同，用户名密码登录使用的是Diffie-Hellman算法，密钥登录使用的是RSA算法，从算法的攻击强度上讲RSA比Diffie-Hellman的安全性高，一般密码登录适用人员或者程序登录，密钥登录则适用服务器之间的跳转登录。Linux/unix作为整个信息系统的基础支撑组件，其安全运行与否对于整个信息系统有着举足轻重的意义，一旦主机设备的安全受到威胁，将会影响整个系统的正常运行，因此对于主机设备必须重点保护。由于主机系统相对来说千差万别，但归根结底容易被利用的仍然是远程登录，故使用安全的身份认证必不可少。然而，虽然使用密码认证或密钥认证在身份安全认证上能起到一定的效果，但由于技术本身应用范围的局限性，仍然存在以下方面的不足：其一，对于一个有着上百台、甚至更多各种型号主机系统的机构来说，采用分散的口令管理会带来巨大的管理开销和安全隐患；其二，现有的应用程序都是将主机账号和密码写在程序或者配置文件中的，每次修改密码时程序侧必须配合同步修改，否则会导致程序调用异常，这样容易造成密码泄露和无法定期重置密码；而且，因程序的提供商差异，版本老旧、人员更新等导致每次修改程序账号的密码时均存在风险高、工作量大等问题；其三，现有的认证方式中，认证的强度太低，主机被攻击的概率较高。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的统一安全管理系统及身份认证方法。根据本专利技术的一个方面，提供了一种统一安全管理系统，包括：安全管理门户以及安全管理中心；所述安全管理中心进一步包括：集中认证服务、远程用户拨号认证服务、程序账号接口以及一次性密码服务；其中，所述远程用户拨号认证服务用于将主机的认证请求转发给集中认证服务进行集中认证；以及，所述程序账号接口和一次性密码服务用于在应用程序登录主机时为应用程序分配一次性访问密码，并且所述一次性密码服务还用于提供该一次性访问密码给集中认证服务进行身份认证。根据本专利技术的另一方面，提供了一种身份认证方法，所述方法基于统一安全管理系统实现，包括：安全管理门户接收用户的主账号登录请求，根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机，其中，所述主机已启用可插入式授权管理机制；远程用户拨号认证服务接收主机转发的携带所述从账号以及密码的认证请求，并将所述认证请求转发至集中认证服务；集中认证服务根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。根据本专利技术的又一个方面，提供了一种身份认证装置，包括：安全管理门户，适于接收用户的主账号登录请求，根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机，其中，所述主机已启用可插入式授权管理机制；远程用户拨号认证服务，适于接收主机转发的携带所述从账号以及密码的认证请求，并将所述认证请求转发至集中认证服务；集中认证服务，适于根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。根据本专利技术的再一个方面，提供了一种身份认证方法，所述方法基于统一安全管理系统实现，包括：集中认证服务接收主机根据应用程序的登录请求而发起的认证申请，所述认证申请中携带主机账号和访问密码；其中，所述主机已启用可插入式授权管理机制；集中认证服务向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码，将查询到的一次性访问密码和认证申请中携带的访问密码进行比较并根据比较结果向主机返回认证结果。根据本专利技术的还一个方面，提供了一种身份认证装置，包括：集中认证服务，适于接收主机根据应用程序的登录请求而发起的认证申请，所述认证申请中携带主机账号和访问密码；其中，所述主机已启用可插入式授权管理机制；以及，适于向一次性密码服务查询一次性密码服务生成的所述主机账号的一次性访问密码，将查询到的一次性访问密码和认证申请中携带的访问密码进行比较并根据比较结果向主机返回认证结果；一次性密码服务，适于向集中认证服务返回生成的所述主机账号的的一次性访问密码。根据本专利技术的又一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述身份认证方法对应的操作。根据本专利技术的再一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如上述身份认证方法对应的操作。根据本专利技术的统一安全管理系统及身份认证方法，新增远程用户拨号认证服务，可以对启用PAM机制的主机实现集中认证，并以4A主账号的强认证方式进行结合，可以提高linux/unix主机的认证强度，同时，进行集中认证，可利于的账号的统一管理，降低安全隐患。以及，新增一次性密码服务和程序账号接口，通过提供程序账号接口可实现向一次性密码服务申请一次性访问密码，则可以在应用程序每次登陆主机前根据应用程序的申请分配一个一次性口令，并在集中认证中心完成认证后登录主机，有效减少主机被攻击的概率，提高了安全性，同时相较于当前很多应用程序都是将主机账号和密码写在程序中或者配置文件中的方式，可以减少密码泄露和实现密码随时更改。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而本文档来自技高网...

【技术保护点】
1.一种统一安全管理系统，包括：安全管理门户以及安全管理中心；所述安全管理中心进一步包括：集中认证服务、远程用户拨号认证服务、程序账号接口以及一次性密码服务；/n其中，所述远程用户拨号认证服务用于将主机的认证请求转发给集中认证服务进行集中认证；/n以及，所述程序账号接口和一次性密码服务用于在应用程序登录主机时为应用程序分配一次性访问密码，并且所述一次性密码服务还用于提供该一次性访问密码给集中认证服务进行身份认证。/n

【技术特征摘要】
1.一种统一安全管理系统，包括：安全管理门户以及安全管理中心；所述安全管理中心进一步包括：集中认证服务、远程用户拨号认证服务、程序账号接口以及一次性密码服务；
其中，所述远程用户拨号认证服务用于将主机的认证请求转发给集中认证服务进行集中认证；
以及，所述程序账号接口和一次性密码服务用于在应用程序登录主机时为应用程序分配一次性访问密码，并且所述一次性密码服务还用于提供该一次性访问密码给集中认证服务进行身份认证。


2.根据权利要求1所述的系统，其特征在于，所述安全管理中心进一步包括：集中授权服务、账号管理服务以及审计管理服务。


3.一种身份认证方法，所述方法基于权利要求1或2任一项所述的统一安全管理系统实现，包括：
安全管理门户接收用户的主账号登录请求，根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机，其中，所述主机已启用可插入式授权管理机制；
远程用户拨号认证服务接收主机转发的携带所述从账号以及密码的认证请求，并将所述认证请求转发至集中认证服务；
集中认证服务根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果。


4.根据权利要求3所述的方法，其中，所述集中认证服务根据所述认证请求中的从账号以及密码进行认证处理并向主机返回认证结果进一步包括：
集中认证服务将所述从账号以及密码与从账号库中的账号密码进行匹配，若匹配一致则向远程用户拨号认证服务反馈认证成功结果；
远程用户拨号认证服务将所述认证成功结果转发至发起认证请求的主机以供所述主机允许用户登录。


5.根据权利要求3或4所述的方法，其中，在所述根据所述主账号登录请求利用从账号和密码登录到主机之后，所述方法还包括：
远程用户拨号服务将所述主机的登录源地址转发至集中认证服务；集中认证服务判断所述登录源地址是否为堡垒机地址；
所述向主机返回认证结果进一步包括：若所述登录源地址不是堡垒机地址，则反馈认证失败结果。


6.根据权利要求3所述的方法，其中，所述方法还包括：设置可插入式授权管理机制的失败次数上限；
针对任一主机，当认证处理的结果为认证失败结果时，判断认证失败的次数是否超过所述失败次数上限，若是，则将所述主机的认证模式切换为本地认证方式。


7.一种身份认证装置，包括：
安全管理门户，适于接收用户的主账号登录请求，根据所述主账号登录请求利用与主账号关联的从账号以及所述从账号的密码登录到主机，其中，所述主机已启用可插入式授权管理机制；
远程用户拨号认证服务，适于接收主机转发的携带所述从账号以及密码的认证请求，并将所述认证请求转发至集中认证服务；
集中认证...

【专利技术属性】
技术研发人员：邓秘密，杨翔，赵立农，
申请(专利权)人：中国移动通信集团重庆有限公司，中国移动通信集团有限公司，
类型：发明
国别省市：重庆;50