[发明专利]面向云主机和云堡垒机实现含容错机制的自动改密的方法

说明书

本发明涉及云计算及信息安全技术领域，具体涉及一种面向云主机和云堡垒机实现含容错机制的自动改密的方法。本发明利用云计算服务编排部署和融合开源堡垒机，实现了云计算平台与云堡垒机对接，完成云计算平台云资产信息自动同步，通过加入容错机制及云计算平台下发密码策略，实现云计算平台云资产信息定时自动改密。通过采用：部署及融合开源堡垒机，开发云堡垒机校验模块；建立容错机制响应规则；实时同步云计算平台中云资产信息规响应则；获取改密策略；执行自动改密。本发明实现了面向云主机和云堡垒机的自动改密，完成对所有云资源账号随机改密的同时，并与云堡垒机同步，并使得在自动改密后云租户直接通过云平台登入云堡垒机。

技术领域

本发明涉及云计算以及信息安全技术领域，具体涉及一种面向云主机和云堡垒机实现含容错机制的自动改密的方法。

背景技术

云主机是云计算在基础设施应用上的重要组成部分，位于云计算产业链金字塔底层，产品源自云计算平台。该平台整合了互联网应用三大核心要素：计算、存储、网络，面向用户提供公用化的互联网基础设施服务。云主机是一种类似VPS主机的虚拟化技术，VPS是采用虚拟软件，VZ或VM在一台主机上虚拟出多个类似独立主机的部分，能够实现单机多用户，每个部分都可以做单独的操作系统，管理方法同主机一样。而随着云主机云计算的发展的网络安全问题也不容忽视。

堡垒机作为云计算平台安全体系重要部件，堡垒机承担着在混合云环境下进行安全合规审计的关键作用，同时也面临许多问题：基础设施高度异构化、分布范围广；混合云中的云资源规模持续增长，需要堡垒机具备充分的可扩展性；云动态资源交付和弹性伸缩情况下的云资源管理及自动改密。

由于企业内部的传统物理设备、虚拟化平台、私有云，以及公有云，导致云计算平台的建设引入了大量不同类型的IT基础设施，而为了降低平台资源管理的难度，很好的适配云计算平台的API接口，又要求堡垒机能够在资产接入和管理上有较好的适配性和灵活性；另外，由于目前云计算平台拥有多企业、多组织、多租户，导致IT资产分布范围广，管理也相对分散。基于堡垒机构建的运维安全审计系统需要提供多级授权管理体系，以适配当前的IT管理模式

基础设施高度异构化、分布范围广，密码等信息维护人工成本高。云计算平台的建设引入了大量不同类型的IT基础设施，包括企业内部的传统物理裸金属设备、云计算虚拟化资源等。传统堡垒机在资产接入和管理上未有较好的适配性和灵活性，而传统模式下，云主机的账户新增、删除、修改等都需要人工在云资源和堡垒机两边先后完成配置，人工维护成本高，准确性和实时性都不够。

云计算平台与传统堡垒机的孤立性，难以实现实时联动自动改密。云计算平台与传统堡垒机相对孤立，云计算平台租户与堡垒机用户难以联动，往往需要手工同步维护云计算平台资源与堡垒机资源，由于传统堡垒机和云计算平台的孤立性，云计算平台难以通过云计算平台策略化的进行定期自动改密。

云动态资源交付和弹性伸缩情况下的云资源管理难度大，自动改密不稳定。由于云资源的动态交付和弹性伸缩的灵活性，资源的变化以及信息维护往往需要人工手动进行维护，时效性很差，往往会遇到堡垒机因信息维护不及时和信息维护错误等问题导致使用异常，自动改密存在不稳定因素。

因此，如何解决云计算平台的基础设施高度异构化、分布散乱、云计算平台与传统堡垒机的孤立性导致的难以实现自动改密及即便实现了也存在自动改密不稳定等问题，是目前亟待解决的技术问题。

发明内容

为解决云计算平台的基础设施高度异构化、分布散乱、云计算平台与传统堡垒机的孤立性导致的难以实现自动改密及实现后的自动改密不稳定等问题，本发明开发了一种面向云主机和云堡垒机实现含容错机制的自动改密的方法，可完成云计算平台与堡垒机的云计算平台中云资产信息自动同步，可通过云计算平台下发密码策略，实现云计算平台中云资产信息自动改密；实现了在云平台的统一管理下，完成对所有云计算平台中云资产信息随机改密的同时将这些信息与云堡垒机的同步，并实现在自动改密后，云租户直接通过云平台，登入云堡垒机。

本发明请求保护以下技术方案：