[发明专利]特权集中管理并实现动态主机互信认证的方法及装置

说明书

本发明公开了一种特权集中管理并实现动态主机互信认证的方法，包括：A)将公钥和私钥托管到特权账号安全管理系统；B)安装特权账号安全管理系统的SSH KEY主机互信模块；C)发起SSH密钥登录，执行SSH KEY认证；D)特权账号安全管理系统的密码保险库提供私钥给SSH客户端，执行E)；D')密码保险库提供公钥给SSH服务端，执行E)；E)进行身份匹配认证，判断是否匹配成功，如是，执行F)；否则，执行G)；F)登录成功；G)登录失败。本发明还涉及一种实现上述特权集中管理并实现动态主机互信认证的方法的装置。本发明在保证密钥安全性的同时，统一集中并规范配置的管理，降低配置和管理的工作量，提高安全性。

技术领域

本发明涉及特权账号安全管理领域，特别涉及一种特权(SSH KEY)集中管理并实现动态主机互信认证的方法及装置。

背景技术

传统SSH KEY互信认证中使用的是root、应用OS账号的公私钥进行匹配认证，其私钥存放在SSH客户端服务器，公钥则写入SSH服务端服务器的authoriziedkeys文件里面，互信则指互相存放对方的公钥以及私钥以达到最快速的免密登录。因为SSH KEY也同样为特权账号(高价值、敏感的企业IT资产，骇客的目标对象)，对其最好的保护方法就是让其公私钥进行不断地轮换。

图1为传统技术中SSH KEY互信认证的流程图。具体而言，A、发起SSH登录，目标首先执行SSH KEY认证；B、查看是否本地配置专属私钥，若有则执行C；C、取配置的专属私钥去匹配对应的目标服务器的公钥；D、若B步骤无配置则执行D，取默认的私钥文件id_rsa匹配，若无或失败则执行password认证；E、目标服务器从/etc/authorizedkeys文件查找对应公钥；F、匹配认证成功，登录成功；G、匹配认证失败，登录失败。传统SSH KEY互信是静态配置好在服务器的对应目录以及文件上，虽然可实现密钥动态变动，但私钥存放在服务器上，存在被窃取的风险。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种在保证密钥安全性的同时，统一集中并规范配置的管理，降低配置和管理的工作量，提高安全性的特权集中管理并实现动态主机互信认证的方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种特权集中管理并实现动态主机互信认证的方法，包括如下步骤：

A)将公钥和私钥托管到特权账号安全管理系统；

B)安装所述特权账号安全管理系统的SSH KEY主机互信模块；

C)发起SSH密钥登录，执行SSH KEY认证；

D)所述特权账号安全管理系统的密码保险库提供私钥给SSH客户端，执行步骤E)；

D')所述密码保险库提供公钥给SSH服务端，执行步骤E)；

E)进行身份匹配认证，判断是否匹配成功，如是，执行步骤F)；否则，执行步骤G)；

F)登录成功；

G)登录失败。

在本发明所述的特权集中管理并实现动态主机互信认证的方法中，所述步骤C)进一步包括：

C1)所述SSH客户端向所述SSH KEY主机互信模块发起从所述密码保险库中获取私钥的请求，或者所述SSH服务端向所述SSH KEY主机互信模块发起从所述密码保险库中获取公钥的请求；

C2)对SSH客户端或SSH服务端的身份进行验证，判断是否验证成功，如是，执行步骤C3)；否则，执行步骤C4)；

C3)执行步骤D)或D')；

C4)验证失败。

在本发明所述的特权集中管理并实现动态主机互信认证的方法中，所述特权账号安全管理系统包括：