本发明专利技术公开了一种特权账号凭证类型的分类方法,包括如下步骤:A)对特权账号凭证的组成内容提取出敏感信息和非敏感信息;所述敏感信息为用户所拥有的或所知道的,但不能公开的值,所述非敏感信息为用户所拥有的或所知道的,且能公开的值;B)将所述敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入。本发明专利技术还涉及一种实现上述方法的装置。实施本发明专利技术的特权账号凭证类型的分类方法及装置,具有以下有益效果:能对凭证进行系统化梳理、防止企业木桶短板现象发生。
Classification method and device of privilege account certificate type
【技术实现步骤摘要】
特权账号凭证类型的分类方法及装置
本专利技术涉及信息安全领域,特别涉及一种特权账号凭证类型的分类方法及装置。
技术介绍
随着网络信息技术的发展,越来越多重要业务数据所依赖的系统设计形态在自我优化,繁衍出各种各样的特权账号登录认证凭证形态,以保障自身业务数据安全,不被恶意访问窃取。但针对各式各样的凭证设计,目前并没有很好的技术研究可以对它们进行系统化梳理。例如新兴的云化平台访问密钥,与传统的SSHKEY凭证设计就有很大的不同,导致企业已有特权账号管理体系的木桶短板出现。
技术实现思路
本专利技术要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能对凭证进行系统化梳理、防止企业木桶短板现象发生的特权账号凭证类型的分类方法及装置。本专利技术解决其技术问题所采用的技术方案是:构造一种特权账号凭证类型的分类方法,包括如下步骤:A)对特权账号凭证的组成内容提取出敏感信息和非敏感信息;所述敏感信息为用户所拥有的或所知道的,但不能公开的值,所述非敏感信息为用户所拥有的或所知道的,且能公开的值;B)将所述敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入。在本专利技术所述的特权账号凭证类型的分类方法中,所述敏感信息的值类型不限,长度不限,数量不限,特权账号凭证间能重复且不互知,单字符替换意味着新的凭证。在本专利技术所述的特权账号凭证类型的分类方法中,所述非敏感信息的值类型不限,长度不限,数量不限,特权账号凭证间可重复且不互知,单字符替换后凭证版本不确定性。在本专利技术所述的特权账号凭证类型的分类方法中,所述非敏感信息包括地址、用户名、端口、域名、协议、服务名、角色、用户类型、SID、UID、集群名、后台号和实例中的任意一种或几种。本专利技术还涉及一种实现上述特权账号凭证类型的分类方法的装置,包括:信息提取单元:用于对特权账号凭证的组成内容提取出敏感信息和非敏感信息;所述敏感信息为用户所拥有的或所知道的,但不能公开的值,所述非敏感信息为用户所拥有的或所知道的,且能公开的值;产生源划分单元:用于将所述敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入。在本专利技术所述的装置中,所述敏感信息的值类型不限,长度不限,数量不限,特权账号凭证间能重复且不互知,单字符替换意味着新的凭证。在本专利技术所述的装置中,所述非敏感信息的值类型不限,长度不限,数量不限,特权账号凭证间可重复且不互知,单字符替换后凭证版本不确定性。在本专利技术所述的装置中,所述非敏感信息包括地址、用户名、端口、域名、协议、服务名、角色、用户类型、SID、UID、集群名、后台号和实例中的任意一种或几种。实施本专利技术的特权账号凭证类型的分类方法及装置,具有以下有益效果:由于对特权账号凭证的组成内容提取出敏感信息和非敏感信息;将敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入,本专利技术能对凭证进行系统化梳理、防止企业木桶短板现象发生。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术特权账号凭证类型的分类方法及装置一个实施例中方法的流程图;图2为所述实施例中对特权账号凭证的组成内容提取出敏感信息和非敏感信息的示意图;图3为所述实施例中特权账号凭证A的敏感信息示意图;图4为所述实施例中特权账号凭证B的敏感信息示意图;图5为所述实施例中特权账号凭证A的非敏感信息示意图;图6为所述实施例中特权账号凭证B的非敏感信息示意图;图7为所述实施例中将敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入的示意图;图8为所述实施例中Linux操作系统账号的敏感信息需要人为意志输入的示意图;图9为所述实施例中Cisco网络设备的本地账号的敏感信息需要人为意志输入的示意图;图10为所述实施例中Oracle数据库连接时,需要明确实例名XE的示意图;图11为云平台的访问密钥的示意图;图12为所述实施例通过外部手段输入的示意图;图13为所述实施例中装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。在本专利技术特权账号凭证类型的分类方法及装置实施例中,其特权账号凭证类型的分类方法的流程图如图1所示。图1中,该特权账号凭证类型的分类方法包括如下步骤:步骤S01对特权账号凭证的组成内容提取出敏感信息和非敏感信息:本专利技术研究归纳出若干种特权账号凭证的设计类型。特权凭证,俗称特权账号,意为拥有访问业务数据、系统数据、系统资源等的关键入口凭证。拥有该特权凭证即可拥有数据。实际上,对特权凭证的组成内容,可以提炼出两个概念:敏感信息与非敏感信息范畴。具体而言,本步骤中,对特权账号凭证的组成内容提取出敏感信息和非敏感信息,提取敏感信息和非敏感信息的示意图如图2所示。敏感信息字段常指密码字段。敏感信息的值类型不限,长度不限,数量不限,特权账号凭证间可重复且不互知,单字符替换意味着新的凭证。敏感信息可以是用户所拥有的或所知道的,但不能公开的值。图3为本实施例中特权账号凭证A的敏感信息示意图;图4为本实施例中特权账号凭证B的敏感信息示意图。非敏感信息字段指非密码且字段值可公开。非敏感信息的值类型不限,长度不限,数量不限,凭证间可重复且不互知,单字符替换后凭证版本不确定性。非敏感信息可以是用户所拥有的或所知道的,且可以公开的值。图5为本实施例中特权账号凭证A的非敏感信息示意图;图6为本实施例中特权账号凭证B的非敏感信息示意图。本实施例中,非敏感信息包括地址、用户名、端口、域名、协议、服务名、角色、用户类型、SID、UID、集群名、后台号和实例中的任意一种或几种。步骤S02将敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入:基于敏感信息和非敏感信息的范畴,又可以衍生出三种信息产生源(输入):人为意志输入、目标对象自输入、外部手段输入。具体而言,本步骤中,将敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入。图7为本实施例中将敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入的示意图。以上敏感信息及非敏感信息,他们的产生源(输入)可以是人为意志输入。例如改密码时目标屏显要求人为输入新密码值/其他值。例如Linux操作系统账号,敏感信息只有一段密码值,且其值的取决,需要人为意志输入。图8为本实施例中Linux操作系统账号的敏感信息需要人为意志输入的示意图。又例如Cisco网络设备的本地账号,敏感信息也只有一段密码值,且其值的取决,需要人为意志输入。图9为本实施例中Cisco网络设备的本地账号的敏感信息需要人为意志输入的示意图。非敏感信息也存在人为意志输入。例如数据库的登录账号,需要提供数据库实例名。图10为Oracle数据本文档来自技高网...
【技术保护点】
1.一种特权账号凭证类型的分类方法,其特征在于,包括如下步骤:A)对特权账号凭证的组成内容提取出敏感信息和非敏感信息;所述敏感信息为用户所拥有的或所知道的,但不能公开的值,所述非敏感信息为用户所拥有的或所知道的,且能公开的值;B)将所述敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入。
【技术特征摘要】
1.一种特权账号凭证类型的分类方法,其特征在于,包括如下步骤:A)对特权账号凭证的组成内容提取出敏感信息和非敏感信息;所述敏感信息为用户所拥有的或所知道的,但不能公开的值,所述非敏感信息为用户所拥有的或所知道的,且能公开的值;B)将所述敏感信息和非敏感信息的产生源划分为人为意志输入、目标对象自输入和外部手段输入。2.根据权利要求1所述的特权账号凭证类型的分类方法,其特征在于,所述敏感信息的值类型不限,长度不限,数量不限,特权账号凭证间能重复且不互知,单字符替换意味着新的凭证。3.根据权利要求2所述的特权账号凭证类型的分类方法,其特征在于,所述非敏感信息的值类型不限,长度不限,数量不限,特权账号凭证间可重复且不互知,单字符替换后凭证版本不确定性。4.根据权利要求1至3任意一项所述的特权账号凭证类型的分类方法,其特征在于,所述非敏感信息包括地址、用户名、端口、域名、协议、服务名、角色、用户类型、SID、UID、集群名、后台号和实例中的任意一种...
【专利技术属性】
技术研发人员:杨达盛,董明,邓祯恒,
申请(专利权)人:广州海颐信息安全技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。