面向云主机和云堡垒机实现含容错机制的自动改密的方法技术

本发明专利技术涉及云计算及信息安全技术领域，具体涉及一种面向云主机和云堡垒机实现含容错机制的自动改密的方法。本发明专利技术利用云计算服务编排部署和融合开源堡垒机，实现了云计算平台与云堡垒机对接，完成云计算平台云资产信息自动同步，通过加入容错机制及云计算平台下发密码策略，实现云计算平台云资产信息定时自动改密。通过采用：部署及融合开源堡垒机，开发云堡垒机校验模块；建立容错机制响应规则；实时同步云计算平台中云资产信息规响应则；获取改密策略；执行自动改密。本发明专利技术实现了面向云主机和云堡垒机的自动改密，完成对所有云资源账号随机改密的同时，并与云堡垒机同步，并使得在自动改密后云租户直接通过云平台登入云堡垒机。机。

【技术实现步骤摘要】
面向云主机和云堡垒机实现含容错机制的自动改密的方法


[0001]本专利技术涉及云计算以及信息安全
，具体涉及一种面向云主机和云堡垒机实现含容错机制的自动改密的方法。

技术介绍

[0002]云主机是云计算在基础设施应用上的重要组成部分，位于云计算产业链金字塔底层，产品源自云计算平台。该平台整合了互联网应用三大核心要素：计算、存储、网络，面向用户提供公用化的互联网基础设施服务。云主机是一种类似VPS主机的虚拟化技术，VPS是采用虚拟软件，VZ或VM在一台主机上虚拟出多个类似独立主机的部分，能够实现单机多用户，每个部分都可以做单独的操作系统，管理方法同主机一样。而随着云主机云计算的发展的网络安全问题也不容忽视。
[0003]堡垒机作为云计算平台安全体系重要部件，堡垒机承担着在混合云环境下进行安全合规审计的关键作用，同时也面临许多问题：基础设施高度异构化、分布范围广；混合云中的云资源规模持续增长，需要堡垒机具备充分的可扩展性；云动态资源交付和弹性伸缩情况下的云资源管理及自动改密。
[0004]由于企业内部的传统物理设备、虚拟化平台、私有云，以及公有云，导致云计算平台的建设引入了大量不同类型的IT基础设施，而为了降低平台资源管理的难度，很好的适配云计算平台的API接口，又要求堡垒机能够在资产接入和管理上有较好的适配性和灵活性；另外，由于目前云计算平台拥有多企业、多组织、多租户，导致IT资产分布范围广，管理也相对分散。基于堡垒机构建的运维安全审计系统需要提供多级授权管理体系，以适配当前的IT管理模式
>[0005]基础设施高度异构化、分布范围广，密码等信息维护人工成本高。云计算平台的建设引入了大量不同类型的IT基础设施，包括企业内部的传统物理裸金属设备、云计算虚拟化资源等。传统堡垒机在资产接入和管理上未有较好的适配性和灵活性，而传统模式下，云主机的账户新增、删除、修改等都需要人工在云资源和堡垒机两边先后完成配置，人工维护成本高，准确性和实时性都不够。
[0006]云计算平台与传统堡垒机的孤立性，难以实现实时联动自动改密。云计算平台与传统堡垒机相对孤立，云计算平台租户与堡垒机用户难以联动，往往需要手工同步维护云计算平台资源与堡垒机资源，由于传统堡垒机和云计算平台的孤立性，云计算平台难以通过云计算平台策略化的进行定期自动改密。
[0007]云动态资源交付和弹性伸缩情况下的云资源管理难度大，自动改密不稳定。由于云资源的动态交付和弹性伸缩的灵活性，资源的变化以及信息维护往往需要人工手动进行维护，时效性很差，往往会遇到堡垒机因信息维护不及时和信息维护错误等问题导致使用异常，自动改密存在不稳定因素。
[0008]因此，如何解决云计算平台的基础设施高度异构化、分布散乱、云计算平台与传统堡垒机的孤立性导致的难以实现自动改密及即便实现了也存在自动改密不稳定等问题，是
目前亟待解决的技术问题。

技术实现思路

[0009]为解决云计算平台的基础设施高度异构化、分布散乱、云计算平台与传统堡垒机的孤立性导致的难以实现自动改密及实现后的自动改密不稳定等问题，本专利技术开发了一种面向云主机和云堡垒机实现含容错机制的自动改密的方法，可完成云计算平台与堡垒机的云计算平台中云资产信息自动同步，可通过云计算平台下发密码策略，实现云计算平台中云资产信息自动改密；实现了在云平台的统一管理下，完成对所有云计算平台中云资产信息随机改密的同时将这些信息与云堡垒机的同步，并实现在自动改密后，云租户直接通过云平台，登入云堡垒机。
[0010]本专利技术请求保护以下技术方案：
[0011]云计算平台通过与开源堡垒机的api接口的对接和功能开发，完成了云计算平台和云堡垒机的关于云计算平台中云资产信息的自动同步，实现云计算平台与堡垒机的无缝衔接，不再需要人工进行两套系统信息维护，云计算平台中云资产信息只需在云计算平台上维护即可。
[0012]云计算平台通过自主研发的堡垒机校验模块，利用云计算服务编排技术，研发了云资源自动改密技术，可直接在云计算平台设置云计算平台中云资产信息改密计划，通过云计算平台与开源堡垒机的对接，完成自动改密与信息同步。
[0013]云计算平台加入自动改密容错机制，提升自动改密稳定性，支持策略化的定期批量改密，增加不同系统之间密码差异化，提升复杂度以满足管理需求，以满足不同业务场景对云资源安全合规性的需求。
[0014]具体的：
[0015]本专利技术提供一种面向云主机和云堡垒机实现含容错机制的自动改密的方法，其特征在于，具体包括以下步骤：
[0016]S1部署并融合开源堡垒机，通过开源堡垒机自身的开放的api接口在云计算平台上构建了适合云业务场景的云堡垒机，实现云计算平台与云堡垒机的对接，及实现所述云计算平台的云资产信息与所述云堡垒机的云资产信息在云计算平台上进行统一管理和维护；同时在对接后的云计算平台上建立云堡垒机校验模块，用于确保在多云异构环境下，以验证和确保云计算平台与云堡垒机之间同步的所述云计算平台中云资产信息的准确性，保证自动改密计划能正常执行；
[0017]S2建立容错机制响应规则，建立在云计算平台中加入的容错机制响应规则，用于增加不同系统之间密码差异化，提升自动改密稳定性；其中，所述容错机制是指在云计算平台建立云堡垒机校验模块时，加入的自动改密容错机制；
[0018]S3建立实时同步云计算平台中云资产信息的响应规则，建立在云计算平台中云资产信息动态交付和弹性伸缩等业务场景下的云计算平台中云资产信息的实时响应规则，实现所述云堡垒机和云计算平台的关于云计算平台中云资产信息实时自动同步；
[0019]S4获取改密策略，获取云计算平台对自动改密自定义的计划任务，根据所述计划任务确定改密策略；
[0020]S5执行自动改密，在获取自动改密策略后，云计算平台中自动调用步骤S1所对接
的云计算平台与云堡垒机，完成所述云计算平台中云资产信息的自动改密策略的编排；自动响应步骤S2中的容错机制及所述云堡垒机校验模块并通过所述云堡垒机按照所述自动改密策略进行的定期自动校验及执行批量改密；并通过步骤S3将自动执行的结果由所述云堡垒机同步至所述云计算平台，并在对应的所述云主机中生效。
[0021]进一步的，在所述步骤S1中，所述云堡垒机采用分布式架构，支持多机房跨区域部署，支持横向扩展，无云计算平台中云资产信息数量及并发限制；
[0022]所述云计算平台中云资产信息包含：云主机的ip及端口等基础信息、云租户的操作权限信息、云主机资源中管理员用户/非管理员用户的用户名和密码信息等多个账户的云资源账户信息；
[0023]所述云堡垒机作为云计算平台提供的服务之一提供给云租户，云租户通过云计算平台可直接跳转使用云堡垒机。
[0024]进一步的，在所述步骤S1中，所述云堡垒机校验模块是，用于云计算平台定期自动或/和云租户手动完成校验功能，在云计算平台中通过自动化技术完成对相关云主机云资产信息校验，通过自动远程登入的方式验证其正确性，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.面向云主机和云堡垒机实现含容错机制的自动改密的方法，其特征在于，具体包括以下步骤：S1部署并融合开源堡垒机，通过开源堡垒机自身的开放的api接口在云计算平台上构建了适合云业务场景的云堡垒机，实现云计算平台与云堡垒机的对接，及实现所述云计算平台的云资产信息与所述云堡垒机的云资产信息在云计算平台上进行统一管理和维护；同时在对接后的云计算平台上建立云堡垒机校验模块，用于确保在多云异构环境下，以验证和确保云计算平台与云堡垒机之间同步的所述云计算平台中云资产信息的准确性，保证自动改密计划能正常执行；S2建立容错机制响应规则，建立在云计算平台中加入的容错机制响应规则，用于增加不同系统之间密码差异化，提升自动改密稳定性；其中，所述容错机制是指在云计算平台建立云堡垒机校验模块时，加入的自动改密容错机制；S3建立实时同步云计算平台中云资产信息的响应规则，建立在云计算平台中云资产信息动态交付和弹性伸缩等业务场景下的云计算平台中云资产信息的实时响应规则，实现所述云堡垒机和云计算平台的关于云计算平台中云资产信息实时自动同步；S4获取改密策略，获取云计算平台对自动改密自定义的计划任务，根据所述计划任务确定改密策略；S5执行自动改密，在获取自动改密策略后，云计算平台中自动调用步骤S1所对接的云计算平台与云堡垒机，完成所述云计算平台中云资产信息的自动改密策略的编排；自动响应步骤S2中的容错机制及所述云堡垒机校验模块并通过所述云堡垒机按照所述自动改密策略进行的定期自动校验及执行批量改密；并通过步骤S3将自动执行的结果由所述云堡垒机同步至所述云计算平台，并在对应的所述云主机中生效。2.根据权利要求1所述的自动改密技术的方法，其特征还在于，在所述步骤S1中，所述云堡垒机采用分布式架构，支持多机房跨区域部署，支持横向扩展，无云计算平台中云资产信息数量及并发限制；所述云计算平台中云资产信息包含：云主机的ip及端口等基础信息、云租户的操作权限信息、云主机资源中管理员用户/非管理员用户的用户名和密码信息等多个账户的云资源账户信息；所述云堡垒机作为云计算平台提供的服务之一提供给云租户，云租户通过云计算平台可直接跳转使用云堡垒机。3.根据权利要求1或2所述的自动改密技术的方法，其特征还在于，在所述步骤S1中，所述云堡垒机校验模块是，用于云计算平台定期自动或/和云租户手动完成校验功能，在云计算平台中通过自动化技术完成对相关云主机云资产信息校验，通过自动远程登入的方式验证其正确性，同时再与云堡垒机进行校验，保证云平台中云资产信息与云堡垒中一致，当验证结果一致时，发起验证。4.根据权利要求1
‑
3任一项所述的自动改密技术的方法，其特征还在于，在所述步骤S2中，所述自动改密容错机制包括：控制在自动改密任务执行的时候，同步逐条进行密码校验功能，在自动完成密码修改后，会记录之前的密码，再将新修改的密码一并记录；然后进行尝试自动的云主机新密码校验，若校验失败，则此条云主机任务回退，确保老密码可以登入；所有自动改密任务终止，需要人工介入，选择跳过或继续；若校验正确，
则继续下一条任务。5.根据权利要求1的自动改密技术的方法，其特征还在于，在所述步骤S3中，...

【专利技术属性】
技术研发人员：吴中岱，王骏翔，郭磊，胡蓉，韩冰，刘晋，
申请(专利权)人：中远海运科技股份有限公司，
类型：发明
国别省市：