本申请实施例提供一种远程登录方法、设备、系统及存储介质。在远程登录系统中,存在签名验证的需求时,堡垒机可将签名挑战发送至密钥管理服务器。签名所需的私钥由密钥管理服务器进行管理,并且签名过程在密钥管理服务器中实现。在签名的过程中,私钥无需从密钥管理服务器传输到堡垒机中。一方面,使得敏感的私钥数据无需经过传输,避免了私钥在传输过程中可能导致泄漏的风险,另一方面,私钥数据无需保存在堡垒机的内存中,即使堡垒机出现安全问题,也不会导致私钥被泄露,极大提升了私钥的安全性。安全性。安全性。
【技术实现步骤摘要】
远程登录方法、设备、系统及存储介质
[0001]本申请涉及计算机
,尤其涉及一种远程登录方法、设备、系统及存储介质。
技术介绍
[0002]在机器运维的场景下,运维人员需远程登录服务器。在传统的登录方式中,由运维人员持有登录凭证进行登录。这种登录方式存在密码强度弱,易破解的缺陷,且登录凭证由运维员持有,不易管理。
[0003]在一种解决方案中,采用线下或者云上的堡垒机对服务器的登录凭证进行托管。登录凭证托管在堡垒机中,运维用户在登录服务器时,堡垒机可将被托管的登录凭证拉取到内存中供运维用户使用。
[0004]但是,在这种托管登录凭证的方案中,堡垒机需将明文的登录凭证加载到内存中,从而极大增加了登录凭证被泄露的风险,降低了被托管的登录凭证的安全性。因此,有待提出一种解决方案。
技术实现思路
[0005]本申请的多个方面提供一种远程登录方法、设备、系统及存储介质,用以有利于有效提升被托管的登录凭证的安全性。
[0006]本申请实施例提供一种远程登录系统,包括:用户终端,用于确定待登录的目标服务器;堡垒机,用于获取所述用户终端选择的目标服务器,并接收所述目标服务器发送的签名挑战;将待使用的目标公钥以及所述签名挑战发送至密钥管理服务器,以使所述密钥管理服务器根据所述目标公钥对应的私钥,对所述签名挑战进行签名,接收所述密钥管理服务器对所述签名挑战返回的签名结果,并将所述签名结果发送至所述目标服务器进行签名验证;密钥管理服务器,存储有所述目标服务器的密钥对,用于根据所述堡垒机发送的所述目标公钥对应的私钥,对所述签名挑战进行签名,并将得到的签名结果返回至所述堡垒机;所述目标服务器用于:向所述堡垒机发送签名挑战,接收所述堡垒机返回的所述签名结果,并根据所述目标公钥对所述签名结果进行验证。
[0007]本申请实施例还提供一种远程登录方法,适用于堡垒机,包括:确定用户终端选择登录的目标服务器;与所述目标服务器建立连接,并接收所述目标服务器发送的签名挑战;将待使用的目标公钥以及所述签名挑战发送至密钥管理服务器,以使所述密钥管理服务器根据所述目标公钥对应的私钥,对所述签名挑战进行签名;接收所述密钥管理服务器对所述签名挑战返回的签名结果;将所述签名结果发送至所述目标服务器进行签名验证。
[0008]本申请实施例还提供一种远程登录方法,适用于密钥管理服务器,包括:接收堡垒机发送的签名挑战以及待使用的目标公钥;所述签名挑战由待登录的目标服务器发送;从保存的所述目标服务器的密钥对中,确定所述目标公钥对应的私钥;采用所述私钥对所述签名挑战进行签名,得到签名结果;将所述签名结果返回至所述堡垒机,以使所述堡垒机将
所述签名结果发送至所述目标服务器进行签名验证。
[0009]本申请实施例还提供一种服务器,包括:存储器、处理器以及通信组件;所述存储器用于存储一条或多条计算机指令;所述处理器用于执行所述一条或多条计算机指令以用于:执行本申请实施例提供的方法中的步骤。
[0010]本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被处理器执行时能够实现本申请实施例提供的方法中的步骤。
[0011]本申请实施例还提供一种计算机程序,包括计算机程序/指令,其中,当计算机程序被处理器执行时,致使处理器实现本申请实施例提供的方法中的步骤。
[0012]本申请实施例提供的远程登录系统中,存在签名验证的需求时,堡垒机可将签名挑战发送至密钥管理服务器。签名所需的私钥由密钥管理服务器进行管理,并且签名过程在密钥管理服务器中实现。在签名的过程中,私钥无需从密钥管理服务器传输到堡垒机中。一方面,使得敏感的私钥数据无需经过传输,避免了私钥在传输过程中可能导致泄漏的风险,另一方面,私钥数据无需保存在堡垒机的内存中,即使堡垒机出现安全问题,也不会导致私钥被泄露,极大提升了私钥的安全性。
附图说明
[0013]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0014]图1为本申请一示例性实施例提供的远程登录系统的结构示意图;
[0015]图2为本申请另一示例性实施例提供的远程登录系统的结构示意图;
[0016]图3为本申请一示例性实施例提供的远程登录系统在远程登录时的时序示意图;
[0017]图4为本申请一示例性实施例提供的远程登录方法的流程示意图;
[0018]图5为本申请另一示例性实施例提供的远程登录方法的流程示意图;
[0019]图6为本申请一示例性实施例提供的服务器的结构示意图。
具体实施方式
[0020]为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0021]在机器运维的场景下,运维人员需远程登录服务器。在传统的登录方式中,由运维人员持有登录凭证进行登录。其中,登录凭证指的是登录密码或者私钥。这种登录方式存在密码强度弱,易破解的缺陷,且登录凭证由运维员持有,不易管理。
[0022]在一种解决方案中,采用线下或者云上的堡垒机对服务器的登录凭证进行托管。登录凭证托管在堡垒机中,运维用户在登录服务器时,堡垒机可将被托管的登录凭证拉取到内存中供运维用户使用。
[0023]但是,在这种托管登录凭证的方案中,堡垒机需将明文的登录凭证加载到内存中。当堡垒机被攻击时,明文的登录凭证将面临泄露的风险。
[0024]针对上述技术问题,本申请实施例提供了一种解决方案,以下将结合附图,详细说
明本申请各实施例提供的技术方案。
[0025]图1为本申请一示例性实施例提供的远程登录系统的结构示意图,如图1所示,该远程登录系统100包括用户终端10、堡垒机20、密钥管理服务器30以及目标服务器40。
[0026]其中,其中,用户终端10可实现为向用户提供访问服务器的功能的终端设备,例如用户侧的计算机、平板电脑、手机等智能终端。在通过堡垒机20登录目标服务器40时,用户终端10需向云堡垒机20指定待登录的目标服务器40。
[0027]其中,堡垒机20,是一个核心系统运维和安全审计管控的平台,该平台由具备防御功能和安全审计功能的服务器实现。堡垒机20基于协议正向代理实现,可通过正向代理的方式实现对安全外壳协议(Secure Shell,简称SSH)、Windows远程桌面、及安全文件传送协议(Secure File Transfer Protocol,简称SFTP)等常见运维协议的数据流进行全程记录,并通过协议数据流重组的方式进行录像回放,达到运维审计的日的。不同的用户终端在向服务器发起请求时,其请求可经过堡垒机进行安全审计。在安全本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种远程登录系统,其特征在于,包括:用户终端,用于:确定待登录的目标服务器;堡垒机,用于:获取所述用户终端选择的目标服务器,并接收所述目标服务器发送的签名挑战;将待使用的目标公钥以及所述签名挑战发送至密钥管理服务器,以使所述密钥管理服务器根据所述目标公钥对应的私钥,对所述签名挑战进行签名,接收所述密钥管理服务器对所述签名挑战返回的签名结果,并将所述签名结果发送至所述目标服务器进行签名验证;密钥管理服务器,存储有所述目标服务器的密钥对,用于:根据所述堡垒机发送的所述目标公钥对应的私钥,对所述签名挑战进行签名,并将得到的签名结果返回至所述堡垒机;所述目标服务器,用于:向所述堡垒机发送签名挑战,接收所述堡垒机返回的所述签名结果,并根据所述目标公钥对所述签名结果进行验证。2.根据权利要求1所述的系统,其特征在于,所述堡垒机包括:SSH客户端以及SSH代理组件;所述堡垒机通过所述SSH客户端与所述用户终端和所述目标服务器连接,并通过所述代理组件与所述密钥管理服务器连接。3.根据权利要求1所述的系统,其特征在于,所述堡垒机,还用于:向所述密钥管理服务器发送公钥获取请求;接收所述密钥管理服务器根据所述目标公钥获取请求返回的公钥信息,并根据所述目标公钥信息确定待使用的所述目标公钥。4.根据权利要求3所述的系统,其特征在于,所述堡垒机,还用于:接收所述密钥管理服务器返回的所述目标公钥信息后,将所述目标公钥信息缓存在指定空间。5.一种远程登录方法,适用于堡垒机,其特征在于,包括:确定用户终端选择登录的目标服务器;与所述目标服务器建立连接,并接收所述目标服务器发送的签名挑战;将待使用的目标公钥以及所述签名挑战发送至密钥管理服务器,以使所述密钥...
【专利技术属性】
技术研发人员:姜熙哲,
申请(专利权)人:阿里巴巴新加坡控股有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。