[发明专利]特权集中管理并实现动态主机互信认证的方法及装置

权利要求书

1.一种特权集中管理并实现动态主机互信认证的方法，其特征在于，包括如下步骤：

A)将公钥和私钥托管到特权账号安全管理系统；

B)安装所述特权账号安全管理系统的SSH KEY主机互信模块；

C)发起SSH密钥登录，执行SSH KEY认证；

D)所述特权账号安全管理系统的密码保险库提供私钥给SSH客户端，执行步骤E)；

D')所述密码保险库提供公钥给SSH服务端，执行步骤E)；

E)进行身份匹配认证，判断是否匹配成功，如是，执行步骤F)；否则，执行步骤G)；

F)登录成功；

G)登录失败。

2.根据权利要求1所述的特权集中管理并实现动态主机互信认证的方法，其特征在于，所述步骤C)进一步包括：

C1)所述SSH客户端向所述SSH KEY主机互信模块发起从所述密码保险库中获取私钥的请求，或者所述SSH服务端向所述SSH KEY主机互信模块发起从所述密码保险库中获取公钥的请求；

C2)对SSH客户端或SSH服务端的身份进行验证，判断是否验证成功，如是，执行步骤C3)；否则，执行步骤C4)；

C3)执行步骤D)或D')；

C4)验证失败。

3.根据权利要求1或2所述的特权集中管理并实现动态主机互信认证的方法，其特征在于，所述特权账号安全管理系统包括：

节点管理单元：用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理；

账号管理单元：用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作；

访问控制单元：用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限；

会话监控单元：用于为用户对账号的单点登录过程实现录像、监控、拦截及审计；

审计管理单元：用于为审计部门提供日志查询，所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询；

审批管理单元：用于为用户提供一事一审的账号使用流程审批能力；

系统设置单元：用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数；

所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。

4.根据权利要求3所述的特权集中管理并实现动态主机互信认证的方法，其特征在于，所述账号管理单元进一步包括：

账号轮换模块：用于根据企业管理策略要求，对目标特权账号进行自动化的密码轮换管理；

内嵌依赖同步模块：用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码，不暴露密码，或者采取推送模式，定期推送新密码至硬编码配置上；

单点登录连接模块：用于为用户提供一键连接能力，且允许管理员为用户提供集中式发布的客户端工具，达到单点登录效果，最终让密码始终不落地用户端，实现持续性监控及审计能力；

细粒度分享模块：用于为用户提供基于账号级细粒度的分享能力；

所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。

5.一种实现如权利要求1所述的特权集中管理并实现动态主机互信认证的方法的装置，其特征在于，包括：

托管单元：用于将公钥和私钥托管到特权账号安全管理系统；

互信模块安装单元：用于安装所述特权账号安全管理系统的SSH KEY主机互信模块；

登录认证单元：用于发起SSH密钥登录，执行SSH KEY认证；

私钥提供单元：用于使所述特权账号安全管理系统的密码保险库提供私钥给SSH客户端；

公钥提供单元：用于使所述密码保险库提供公钥给SSH服务端；

匹配单元：用于进行身份匹配认证，判断是否匹配成功；

登录成功单元：用于登录成功；

登录失败单元：用于登录失败。

6.根据权利要求5所述的装置，其特征在于，所述登录认证单元进一步包括：

请求发送模块：用于使所述SSH客户端向所述SSH KEY主机互信模块发起从所述密码保险库中获取私钥的请求，或者所述SSH服务端向所述SSH KEY主机互信模块发起从所述密码保险库中获取公钥的请求；

身份验证模块：用于对SSH客户端或SSH服务端的身份进行验证，判断是否验证成功；

验证成功模块：用于转到私钥提供单元或公钥提供单元；

验证失败模块：用于验证失败。