[发明专利]堡垒机的ukey映射方法

说明书

本发明公开一种堡垒机的ukey映射方法，通过ukey驱动替换，将ukey相关信息发送至堡垒机服务器，堡垒机进一步将ukey驱动及信息映射到windows虚拟主机，创建相应的虚拟ukey端，运维用户电脑的ukey端与堡垒机的虚拟ukey端进行ukey驱动数据的交互，从而堡垒机实现对远程运维用户ukey的认证；并且可以有效提高一个用户下多个ukey以及一个目标被多人运维场景下，ukey认证的效率和安全性，从而进一步提高运维效率。

技术领域

本发明属于计算机通信与网络安全技术领域，尤其是涉及堡垒机的UKEY代理实现方法。

背景技术

传统的运维模式中，运维用户直接通过本地设备连接到远程服务器，进行运维管理操作，整个操作过程不可控，存在较大的安全风险。安全运维系统（也称堡垒机）是一种面向运维用户的安全审计产品，运维用户通过堡垒机的集中管理和授权管理功能，完成对大量设备账号的运维管理操作。堡垒机实际上充当了中间代理的角色，运维用户在本地设备先通过与堡垒机连接，建立与远程服务器的间接连接，可以完全记录运维用户的完整运维过程。

而为了确保合法用户才能访问其拥有权限的资源，解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题，堡垒机需要具备身份管理和认证功能，以满足满足“谁能做”的授权需求和“谁做的”审计系统要求，USBKey（UKEY）就是一种较为可靠的认证方式。

实际应用中，随着企业系统、网络规模的扩大，设备及其管理人员也相应的增多，有的企业甚至会将运维工作交予外部人员；由于运维用户角色及设备功能的不同，会存在同一个运维用户同时管理多台设备，也会存在同一台设备被多个运维用户共同管理。因此，运维人员需要从其所拥有甚至其运维电脑上已插着的众多ukey中选择要运维设备的ukey，目前的堡垒机难以实现快速准确的识别和验证。

发明内容

有鉴于此，本发明旨在提供一种堡垒机的ukey映射方法，实现堡垒机快速获取运维用户电脑的usb设备，并且当运维用户选定运维目标后，高效的将ukey映射到堡垒机，实现高效的ukey认证。该方案的内容包括：

服务器向ukey端发送设备列表请求命令；

ukey端枚举当前usb大容量设备及ukey设备，将设备信息返回服务器；

服务器从设备列表选定待映射的ukey并向ukey端发请求命令；

ukey端加载ukey驱动，以替换原始usb驱动，并将ukey信息返回服务器，将ukey信息存入共享内存；

创建虚拟ukey端登录用户名，虚拟ukey端连接服务器并发送登录用户名存入共享内存；

虚拟ukey端收到服务器转发的ukey端挂载请求，加载所述ukey驱动并将所述登录用户名传入ukey驱动，向ukey端返回挂载成功消息。

作为优选的，ukey端电脑插入usb设备时，自动加载原始usb驱动。

进一步的，若插入的usb设备需要重启才能生效，则提示用户重启电脑，重启后自动加载驱动。

若ukey驱动替换原始usb驱动并加载成功，则连接服务器相应的驱动数据交换端口；若ukey驱动加载失败，则回滚原始usb驱动。

作为优选的，虚拟ukey端向ukey端返回挂载成功消息后，连接服务器相应的驱动数据交换端口，与ukey端建立驱动数据交换连接，开始进行数据交互。

优选的，ukey端，和/或虚拟ukey端收到服务器的卸载请求时，断开驱动数据交换连接，并卸载相应的ukey驱动。

进一步的，若驱动数据交换连接断开，ukey端提示是否卸载相应的ukey驱动，并设置电脑重启后自动卸载该ukey驱动。