[发明专利]统一安全管理系统及身份认证方法

说明书

本发明公开了一种统一安全管理系统及身份认证方法，该系统包括：安全管理门户以及安全管理中心；所述安全管理中心进一步包括：集中认证服务、远程用户拨号认证服务、程序账号接口以及一次性密码服务；其中，所述远程用户拨号认证服务用于将主机的认证请求转发给集中认证服务进行集中认证；以及，所述程序账号接口和一次性密码服务用于在应用程序登录主机时为应用程序分配一次性访问密码，并且所述一次性密码服务还用于提供该一次性访问密码给集中认证服务进行身份认证。由此可见，本发明方案，基于改造后的4A系统，可提高主机的安全性、减小软件复杂度、有效防止了用户信息泄漏、杜绝了密码被破解的可能性。

技术领域

本发明涉及身份认证技术领域，具体涉及一种统一安全管理系统及身份认证方法。

背景技术

在Linux系统下，目前远程登录系统有两种认证方式：密码认证和密钥认证。图1示出了两种常用的linux认证方式的认证过程示意图。如图1所示，其中，密码认证方式是一种传统的安全策略，通过设置一个相对复杂的密码，对系统安全能起到一定的防护作用，但是也面临一些其他问题，例如密码暴力破解、密码泄露、密码丢失等，同时过于复杂的密码也会对运维工作造成一定的负担。

以及，密钥认证则是一种新型的认证方式，公用密钥存储在远程服务器上，私钥保存在本地，当需要登录系统时，通过本地私钥和远程服务器的公用密钥进行配对认证，如果认证成功，就可以成功登录系统，这种认证方式避免了被暴力破解的危险，同时只要保存在本地的私钥不被黑客盗用，攻击者一般无法通过密钥认证的方式进入系统。

密码认证和密钥认证都采用的密码学中的非对称密钥算法，密码认证方式在用户第一次登录服务器时系统提示保存服务器公钥到客户端本地，方便用户下次登录服务器时进行密码加密；密钥认证需要管理员手动生成登录服务器的公钥并储到目标服务器上。两种认证方式的登录流程不同，使用的密钥算法也不同，用户名密码登录使用的是Diffie-Hellman算法，密钥登录使用的是RSA算法，从算法的攻击强度上讲RSA比Diffie-Hellman的安全性高，一般密码登录适用人员或者程序登录，密钥登录则适用服务器之间的跳转登录。

Linux/unix作为整个信息系统的基础支撑组件，其安全运行与否对于整个信息系统有着举足轻重的意义，一旦主机设备的安全受到威胁，将会影响整个系统的正常运行，因此对于主机设备必须重点保护。由于主机系统相对来说千差万别，但归根结底容易被利用的仍然是远程登录，故使用安全的身份认证必不可少。然而，虽然使用密码认证或密钥认证在身份安全认证上能起到一定的效果，但由于技术本身应用范围的局限性，仍然存在以下方面的不足：

其一，对于一个有着上百台、甚至更多各种型号主机系统的机构来说，采用分散的口令管理会带来巨大的管理开销和安全隐患；

其二，现有的应用程序都是将主机账号和密码写在程序或者配置文件中的，每次修改密码时程序侧必须配合同步修改，否则会导致程序调用异常，这样容易造成密码泄露和无法定期重置密码；而且，因程序的提供商差异，版本老旧、人员更新等导致每次修改程序账号的密码时均存在风险高、工作量大等问题；

其三，现有的认证方式中，认证的强度太低，主机被攻击的概率较高。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的统一安全管理系统及身份认证方法。

根据本发明的一个方面，提供了一种统一安全管理系统，包括：安全管理门户以及安全管理中心；所述安全管理中心进一步包括：集中认证服务、远程用户拨号认证服务、程序账号接口以及一次性密码服务；

其中，所述远程用户拨号认证服务用于将主机的认证请求转发给集中认证服务进行集中认证；

以及，所述程序账号接口和一次性密码服务用于在应用程序登录主机时为应用程序分配一次性访问密码，并且所述一次性密码服务还用于提供该一次性访问密码给集中认证服务进行身份认证。