本發(fā)明公開(kāi)了一種統(tǒng)一安全管理系統(tǒng)及身份認(rèn)證方法，該系統(tǒng)包括：安全管理門戶以及安全管理中心；所述安全管理中心進(jìn)一步包括：集中認(rèn)證服務(wù)、遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)、程序賬號(hào)接口以及一次性密碼服務(wù)；其中，所述遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)用于將主機(jī)的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給集中認(rèn)證服務(wù)進(jìn)行集中認(rèn)證；以及，所述程序賬號(hào)接口和一次性密碼服務(wù)用于在應(yīng)用程序登錄主機(jī)時(shí)為應(yīng)用程序分配一次性訪問(wèn)密碼，并且所述一次性密碼服務(wù)還用于提供該一次性訪問(wèn)密碼給集中認(rèn)證服務(wù)進(jìn)行身份認(rèn)證。由此可見(jiàn)，本發(fā)明方案，基于改造后的4A系統(tǒng)，可提高主機(jī)的安全性、減小軟件復(fù)雜度、有效防止了用戶信息泄漏、杜絕了密碼被破解的可能性。

技術(shù)領(lǐng)域

本發(fā)明涉及身份認(rèn)證技術(shù)領(lǐng)域，具體涉及一種統(tǒng)一安全管理系統(tǒng)及身份認(rèn)證方法。

背景技術(shù)

在Linux系統(tǒng)下，目前遠(yuǎn)程登錄系統(tǒng)有兩種認(rèn)證方式：密碼認(rèn)證和密鑰認(rèn)證。圖1示出了兩種常用的linux認(rèn)證方式的認(rèn)證過(guò)程示意圖。如圖1所示，其中，密碼認(rèn)證方式是一種傳統(tǒng)的安全策略，通過(guò)設(shè)置一個(gè)相對(duì)復(fù)雜的密碼，對(duì)系統(tǒng)安全能起到一定的防護(hù)作用，但是也面臨一些其他問(wèn)題，例如密碼暴力破解、密碼泄露、密碼丟失等，同時(shí)過(guò)于復(fù)雜的密碼也會(huì)對(duì)運(yùn)維工作造成一定的負(fù)擔(dān)。

以及，密鑰認(rèn)證則是一種新型的認(rèn)證方式，公用密鑰存儲(chǔ)在遠(yuǎn)程服務(wù)器上，私鑰保存在本地，當(dāng)需要登錄系統(tǒng)時(shí)，通過(guò)本地私鑰和遠(yuǎn)程服務(wù)器的公用密鑰進(jìn)行配對(duì)認(rèn)證，如果認(rèn)證成功，就可以成功登錄系統(tǒng)，這種認(rèn)證方式避免了被暴力破解的危險(xiǎn)，同時(shí)只要保存在本地的私鑰不被黑客盜用，攻擊者一般無(wú)法通過(guò)密鑰認(rèn)證的方式進(jìn)入系統(tǒng)。

密碼認(rèn)證和密鑰認(rèn)證都采用的密碼學(xué)中的非對(duì)稱密鑰算法，密碼認(rèn)證方式在用戶第一次登錄服務(wù)器時(shí)系統(tǒng)提示保存服務(wù)器公鑰到客戶端本地，方便用戶下次登錄服務(wù)器時(shí)進(jìn)行密碼加密；密鑰認(rèn)證需要管理員手動(dòng)生成登錄服務(wù)器的公鑰并儲(chǔ)到目標(biāo)服務(wù)器上。兩種認(rèn)證方式的登錄流程不同，使用的密鑰算法也不同，用戶名密碼登錄使用的是Diffie-Hellman算法，密鑰登錄使用的是RSA算法，從算法的攻擊強(qiáng)度上講RSA比Diffie-Hellman的安全性高，一般密碼登錄適用人員或者程序登錄，密鑰登錄則適用服務(wù)器之間的跳轉(zhuǎn)登錄。

Linux/unix作為整個(gè)信息系統(tǒng)的基礎(chǔ)支撐組件，其安全運(yùn)行與否對(duì)于整個(gè)信息系統(tǒng)有著舉足輕重的意義，一旦主機(jī)設(shè)備的安全受到威脅，將會(huì)影響整個(gè)系統(tǒng)的正常運(yùn)行，因此對(duì)于主機(jī)設(shè)備必須重點(diǎn)保護(hù)。由于主機(jī)系統(tǒng)相對(duì)來(lái)說(shuō)千差萬(wàn)別，但歸根結(jié)底容易被利用的仍然是遠(yuǎn)程登錄，故使用安全的身份認(rèn)證必不可少。然而，雖然使用密碼認(rèn)證或密鑰認(rèn)證在身份安全認(rèn)證上能起到一定的效果，但由于技術(shù)本身應(yīng)用范圍的局限性，仍然存在以下方面的不足：

其一，對(duì)于一個(gè)有著上百臺(tái)、甚至更多各種型號(hào)主機(jī)系統(tǒng)的機(jī)構(gòu)來(lái)說(shuō)，采用分散的口令管理會(huì)帶來(lái)巨大的管理開(kāi)銷和安全隱患；

其二，現(xiàn)有的應(yīng)用程序都是將主機(jī)賬號(hào)和密碼寫在程序或者配置文件中的，每次修改密碼時(shí)程序側(cè)必須配合同步修改，否則會(huì)導(dǎo)致程序調(diào)用異常，這樣容易造成密碼泄露和無(wú)法定期重置密碼；而且，因程序的提供商差異，版本老舊、人員更新等導(dǎo)致每次修改程序賬號(hào)的密碼時(shí)均存在風(fēng)險(xiǎn)高、工作量大等問(wèn)題；

其三，現(xiàn)有的認(rèn)證方式中，認(rèn)證的強(qiáng)度太低，主機(jī)被攻擊的概率較高。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的統(tǒng)一安全管理系統(tǒng)及身份認(rèn)證方法。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種統(tǒng)一安全管理系統(tǒng)，包括：安全管理門戶以及安全管理中心；所述安全管理中心進(jìn)一步包括：集中認(rèn)證服務(wù)、遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)、程序賬號(hào)接口以及一次性密碼服務(wù)；

其中，所述遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)用于將主機(jī)的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給集中認(rèn)證服務(wù)進(jìn)行集中認(rèn)證；

以及，所述程序賬號(hào)接口和一次性密碼服務(wù)用于在應(yīng)用程序登錄主機(jī)時(shí)為應(yīng)用程序分配一次性訪問(wèn)密碼，并且所述一次性密碼服務(wù)還用于提供該一次性訪問(wèn)密碼給集中認(rèn)證服務(wù)進(jìn)行身份認(rèn)證。