本发明专利技术提供了一种适用于堡垒机的访问安全管理方法、系统、电子设备和可读存储介质。通过本申请提出的技术方案,采用采用两套秘钥的安全机制,废弃了传统的密码授权方案:本申请基于RSA可信认证,用户在访问网络节点中的某个特定部署设备时,需要先对网络节点的接入堡垒机进行登录访问,再经由接入堡垒机对部署设备进行访问,两次访问所需的验证秘钥相互独立且具有一定的时效性,大大提高访问过程的安全性。性。性。
【技术实现步骤摘要】
适用于堡垒机的访问安全管理方法、系统、电子设备和可读存储介质
[0001]本专利技术涉及通信
,具体地,公开了一种适用于堡垒机的访问安全管理方法、系统、电子设备和可读存储介质。
技术介绍
[0002]堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
[0003]现有技术中,单节点堡垒机通常采用账户密码的登录和验证方式,容易被外部介入暴力破解,存在一定的安全隐患,同时在现有技术中,堡垒机基于员工入职而授予的大量访问账户,并不会随着员工的流动而及时删除相应的访问权限,同样存在一定的安全隐患。
技术实现思路
[0004]针对现有技术中存在的上述缺陷,本专利技术提供一种适用于堡垒机的访问安全管理方法、系统、装置和可读存储介质。
[0005]具体地,在本申请的第一方面提供了一种适用于堡垒机的访问安全管理方法,具体包括:
[0006]在接收到用户端的访问请求的情况下,向用户端发送第一登录秘钥;
[0007]基于第一登录秘钥,向访问请求对应的网络节点的接入堡垒机进行一次登录访问;
[0008]在一次登录访问通过的情况下,向用户端发送第二登录秘钥;
[0009]基于第二登录秘钥,通过接入堡垒机向访问请求对应的部署设备进行二次登录访问。
[0010]在上述第一方面的一种可能的实现中,接入堡垒机基于RSA可信认证,对关联于第一登录秘钥和第二登录秘钥的访问请求进行鉴权。
[0011]在上述第一方面的一种可能的实现中,第一登录秘钥面向用户端对应的用户可见;
[0012]第二登录秘钥面向用户端对应的用户不可见。
[0013]在上述第一方面的一种可能的实现中,第一登录秘钥和第二登录秘钥通过总控堡垒机进行同一分配和管理。
[0014]在上述第一方面的一种可能的实现中,总控堡垒机连接每个接入堡垒机;
[0015]在一次登录访问通过的情况下,接入堡垒机向总控堡垒机反馈访问请求;
[0016]总控堡垒机根据访问请求,向用户端发送第二登录秘钥。
[0017]在上述第一方面的一种可能的实现中,在一次登录访问通过的情况下,接入堡垒机向用户端反馈通过结果;
[0018]基于通过结果,用户端自主向总控堡垒机发送访问请求
[0019]总控堡垒机根据访问请求,向用户端发送第二登录秘钥。
[0020]在上述第一方面的一种可能的实现中,第一登录秘钥具有第一时间期限,在第一时间期限的持续时间内用户端允许通过第一登录秘钥执行一次登录访问;
[0021]第二登录秘钥具有第二时间期限,在第二时间期限的持续时间内用户端允许通过第二登录秘钥执行二次登录访问。
[0022]本申请的第二方面提供了一种适用于堡垒机的访问安全管理系统,其特征在于,应用于前述第一方面提供的适用于堡垒机的访问安全管理方法中,具体包括:
[0023]总控堡垒机;
[0024]若干接入堡垒机,每个接入堡垒机对应一个网络节点并与总控堡垒机相连接;
[0025]其中:
[0026]在接收到用户端的访问请求的情况下,总控堡垒机向用户端发送第一登录秘钥;
[0027]基于第一登录秘钥,用户端向访问请求对应的网络节点的接入堡垒机进行一次登录访问;
[0028]在一次登录访问通过的情况下,总控堡垒机向用户端发送第二登录秘钥;
[0029]基于第二登录秘钥,用户端通过接入堡垒机向访问请求对应的部署设备进行二次登录访问。
[0030]本申请的第三方面提供了一种电子设备,包括:存储器,存储器用于存储处理程序;处理器,处理器执行处理程序时实现前述第一方面所提供的适用于堡垒机的访问安全管理方法。
[0031]本申请的第三方面提供了一种计算机可读存储介质,该种计算机可读存储介质上存储有处理程序,处理程序被处理器执行时实现前述第一方面所提供的适用于堡垒机的访问安全管理方法。
[0032]与现有技术相比,本申请具有如下的有益效果:
[0033]通过本申请提出的技术方案,采用两套秘钥的安全机制,废弃了传统的密码授权方案:本申请基于RSA可信认证,用户在访问网络节点中的某个特定部署设备时,需要先对网络节点的接入堡垒机进行登录访问,再经由接入堡垒机对部署设备进行访问,两次访问所需的验证秘钥相互独立且具有一定的时效性,大大提高访问过程的安全性。
附图说明
[0034]通过阅读参照以下附图对非限制性实施例所作的详细描述,本专利技术的其它特征、目的和优点将会变得更明显:
[0035]图1根据本申请实施例,示出了一种适用于堡垒机的访问安全管理方法的流程示意图。
[0036]图2根据本申请实施例,示出了一种适用于堡垒机的访问安全管理方法的结构示意图。
具体实施方式
[0037]下面结合具体实施例对本专利技术进行详细说明。以下实施例将有助于本领域的技术
人员进一步理解本专利技术,但不以任何形式限制本专利技术。应当指出的是,对本领域的普通技术人员来说,在不脱离本专利技术构思的前提下,还可以做出若干变化和改进。这些都属于本专利技术的保护范围。
[0038]为了解决现有技术中对于用户访问管理所存在的安全性问题,本申请提出了一种适用于堡垒机的访问安全管理方法、系统、装置和可读存储介质。通过该种适用于堡垒机的访问安全管理方法,采用两套秘钥的安全机制代替了传统的密码授权方案,大大提升了用户访问的安全性。
[0039]具体地,图1根据本申请的一些实施例,示出了在本申请的第一方面提供了一种适用于堡垒机的访问安全管理方法,该种适用于堡垒机的访问安全管理方法具体包括:
[0040]步骤100:在接收到用户端的访问请求的情况下,向用户端发送第一登录秘钥。
[0041]步骤200:基于第一登录秘钥,向访问请求对应的网络节点的接入堡垒机进行一次登录访问。
[0042]步骤300:在一次登录访问通过的情况下,向用户端发送第二登录秘钥。
[0043]步骤400:基于第二登录秘钥,通过接入堡垒机向访问请求对应的部署设备进行二次登录访问。
[0044]在本申请的一些具体实施场景中,上述步骤100中的第一登录秘钥可以对应员工在首次入职时自动生成和分配的具有基础权限的用户账户和密码。具体地,在新员工办理入职的过程中,技术人员可以通过本技术方案提出的访问安全管理办法及系统,使用公司分配的邮箱账号进行注册请求,系统会根据邮箱账号的前缀自动生成对应的用户名称作为登录账号。
[0045]于上述具体实施场景中,当需要申请网络节点中某台部署机器的相应权限时,可以由运维管理人员基于审批,并由本申请提供的访问安全管理系统自动给予下发创建该部署机器的账号密码信息,即前述步骤300至步骤400中所述的第二登录秘钥。
[0046本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种适用于堡垒机的访问安全管理方法,其特征在于,包括:在接收到用户端的访问请求的情况下,向所述用户端发送第一登录秘钥;基于所述第一登录秘钥,向所述访问请求对应的网络节点的接入堡垒机进行一次登录访问;在所述一次登录访问通过的情况下,向所述用户端发送第二登录秘钥;基于所述第二登录秘钥,通过所述接入堡垒机向所述访问请求对应的所述部署设备进行二次登录访问。2.如权利要求1所述的适用于堡垒机的访问安全管理方法,其特征在于,所述接入堡垒机基于RSA可信认证,对关联于所述第一登录秘钥和所述第二登录秘钥的所述访问请求进行鉴权。3.如权利要求1所述的适用于堡垒机的访问安全管理方法,其特征在于,所述第一登录秘钥面向所述用户端对应的用户可见;所述第二登录秘钥面向所述用户端对应的用户不可见。4.如权利要求1所述的适用于堡垒机的访问安全管理方法,其特征在于,所述第一登录秘钥和所述第二登录秘钥通过总控堡垒机进行统一分配和管理。5.如权利要求4所述的适用于堡垒机的访问安全管理方法,其特征在于,所述总控堡垒机连接每个所述接入堡垒机;在所述一次登录访问通过的情况下,所述接入堡垒机向所述总控堡垒机反馈所述访问请求;所述总控堡垒机根据所述访问请求,向所述用户端发送第二登录秘钥。6.如权利要求4所述的适用于堡垒机的访问安全管理方法,其特征在于,在所述一次登录访问通过的情况下,所述接入堡垒机向所述用户端反馈通过结果;基于所述通过结果,所述用户端自主向所述总控堡垒机发送所述访问请求所述总控堡垒机根据所...
【专利技术属性】
技术研发人员:贾晓辉,陈宇,汪宁,芦帅,陈鹏,
申请(专利权)人:杭州乒乓智能技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。