[发明专利]基于代理的特权凭证认证保护方法及装置

说明书

本发明公开了一种基于代理的特权凭证认证保护方法，包括如下步骤：发起远程会话连接请求；在特权WEB门户上点击连接；调用特权会话管理器；特权会话管理器根据相应账号信息从密码保险库中调取密码；密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token；进行初始化；判断是否需要输入目标资源账号的凭证认证密码token，如是，手工输入；否则，密码自动代填；判断是否校验通过，如是，校验通过后，返回数据，成功登录目标系统；否则，返回错误信息。本发明还涉及一种实现上述基于代理的特权凭证认证保护方法的装置。本发明使得特权账号认证凭证安全，能更好地去保护、控制和监视对特权账号的访问。

技术领域

本发明涉及特权账号安全管理领域，特别涉及一种基于代理的特权凭证认证保护方法及装置。

背景技术

目前IT安全领域发展日新月异，不断变化。信息化安全防护手段越来越多，也越来越高级。但数据信息的最后一道防线，特权账号密码始终得不到有效保护与管理，攻击者依然能够通过合法的技术途径，进入企业内部网络，窃取有价值的数据。他们所用到的技巧，就是获知了被泄露的特权账号密码。这些高权限的账号，除了员工的个人账号之外，也包括企业或组织整个IT基础架构的底层系统账号以及应用内嵌账号。这些特权账号往往被人们所忽略，从而不受监控，最终成为了大多数攻击的突破口。但管理者也是无可奈何，因为没有很好的自动化、可扩展、高可靠技术平台，能让他们从万级数量的账号管理工作中解放出来。导致总有高权限的账号密码被泄露，最终发生数据泄露事件。

对特权账号的保护关键是对特权凭证的保护，传统特权凭证的保护的流程图如图1所示。图1中，在步骤A中，运维人员发起远程会话连接执行步骤B；在步骤B中，会话会去存储密码数据库请求密码和相关属性后返回；在步骤C中，客户端收到密码后会把它保存起来，比如放在Cookie里或者Local Storage里；在步骤D中，将返回的属性和密码做校验，校验通过后，返回数据，登录成功，不通过则会返回错误信息。

在传统方式中，即使在特权账号凭证上做了诸多的保护，如凭证加密、密码复杂度等措施，但它的认证token(令牌)会保存在本地，这会给特权账号的安全带来隐患，所以我们需要一种方法及装置，加强特权凭证的保护。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种使得特权账号认证凭证安全，能更好地去保护、控制和监视对特权账号的访问的基于代理的特权凭证认证保护方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种基于代理的特权凭证认证保护方法，包括如下步骤：

A)运维人员发起远程会话连接请求；

B)在特权WEB门户上找到相应账号点击连接；

C)调用特权会话管理器，执行步骤D)、步骤F)或步骤L)；

D)所述特权会话管理器根据相应账号信息从密码保险库中调取密码，执行步骤E)；

E)所述密码保险库根据远程会话连接请求的信息返回相应的凭证认证密码token，执行步骤F)；

F)进行初始化，执行步骤G)；

G)判断是否需要输入目标资源账号的凭证认证密码token，如是，执行步骤H)；否则，执行步骤I)；

H)手工输入目标资源账号的凭证认证密码token，执行步骤J)；

I)自动代填目标资源账号的凭证认证密码token，执行步骤J)；

J)判断是否校验通过，如是，执行步骤M)；否则，执行步骤K)；

K)返回错误信息；

L)所述特权会话管理器对用户的行为进行监控和审计，执行步骤M)；