一种适用于用户身份认证的密钥托管方法

本发明属于信息安全技术领域，具体涉及一种适用于用户身份认证的密钥托管方法。

随着互联网的发展，人们越来越意识到信息安全的重要性，基于密码学的安全保障方案是现阶段解决信息保密的可靠方式，密码系统的安全性依赖于密钥的复杂性，密钥是用来完成加密、解密和完整性检验的重要信息，是控制密码处理过程的关键因素，在密码技术中需要保密的只有密钥，失去对密钥的控制将导致密码系统的失败。在一些实际的攻击案例中，直接攻击加密算法的案例很少，而因为密钥没有妥善管理导致的安全事件却很多。因此一种安全高效密钥的管理保存方式显得至关重要。

传统的密钥管理是现在常用于云上的一种安全易用的密钥托管服务，其常用的一种密钥存储办法是对密钥以及密文使用不同的加密算法进行加密并逐级存储，即多重加密。多重加密与单次加密相当于换了一种加密算法，不仅可以保护加密算法，而且隐藏了加密次数。最常用的暴力破解是建立在知道加密算法的基础上暴力破解密钥，如果对方不知道你的加密次数就无法使用正确的加密算法，就无法暴力破解。本发明所提出的密钥仓库管理服务也是一种安全易用的密钥申请提取托管服务，旨在保护整个密钥存储、提取和验证的流程，以及密钥仓库内部数据的信息的安全。

本发明的目的是为了解决密钥安全的问题，提出了一种适用于用户身份认证的密钥托管方法。

本发明的技术方案是：一种适用于用户身份认证的密钥托管方法包括以下步骤：

S1：在管理授权平台注册主机A；

S2：通过用户向管理授权平台提出特权账号申请；

S3：利用管理授权平台向申请通过的用户下发授权凭证；

S4：利用管理授权平台将下发授权凭证后的用户特权账号存入密钥仓库的地址位置；

S5：通过用户在主机A中登录所申请的特权账号，插入授权凭证；

S6：通过主机A的PAM身份模式与密钥仓库进行交互，验证用户的授权凭证；

S7：通过验证成功的用户访问密钥仓库的地址位置，并提取密钥；

S8：根据提取的密钥，利用主机A验证用户登录，完成用户身份认证的密钥托管。

本发明的有益效果是：本发明提出了一种适用于用户身份认证的密钥托管方法，密钥仓库作为特权账号使用的唯一入口，为一切程序和应用提供动态密码，并且确保任何特权账号及密钥的调用都不得绕过密钥仓库。同时，密钥仓库提供模块化功能和标准接口，能够实现当遇到用户差异化需求时产品的兼容组合以及第三方产品的快速集成，解决在产品推广过程中所遇到的问题。本发明融合了当前密钥信息防护的多项关键技术，可以有效防止黑客对密钥信息的暴力破解，整个流程严格缜密，进一步提升密钥防护等级，保证任何模块不得已非授权的方式调用特权账号获取密钥信息，确保用户账户访问来源的合法性，维护用户账号属性信息安全，保证线路传递数据的绝对安全，能够有效的应对拥有强大计算力黑客们的攻击，保障用户特权账号安全性。

进一步地，步骤S3中，申请通过的用户的特权账号属性信息包括网络设备信息密钥、主机标识密钥和用户第三方应用密钥。

上述进一步方案的有益效果是：在本发明中，用户特权账号属性信息的不同可便于后续步骤中，根据不同的类型存入不同的密钥仓库地址位置。

进一步地，步骤S4中，用户特权账号包括用户账号密钥和账号属性信息，管理授权平台通过授权功能模块将用户账号密钥及账号属性信息存入密钥仓库的地址位置。

上述进一步方案的有益效果是：在本发明中，管理平台的授权功能模块会将用户授权账号属性信息以及权限分类存入密钥仓库特定位置，并加密保存。

进一步地，密钥仓库包括网络设备密钥、主机和应用程序。

上述进一步方案的有益效果是：在本发明中，密钥仓库可对用户特权账号进行分类存储。

进一步地，步骤S4包括以下子步骤：

S41：利用管理授权平台将下发授权凭证后的用户特权账号存入密钥仓库；

S42：根据存入的用户特权账号类型进行分类存储；

S43：采用password+salt的方式对分类存储后的用户账号密钥进行散列并存储；

S44：对存储后的用户账号密钥进行多重加密；

S45：隐藏多重加密的次数及加密算法；

S46：对隐藏后的每个存储单元设置权限，完成用户特权账号在密钥仓库中地址位置的存储。

上述进一步方案的有益效果是：在本发明中，密钥仓库可以防止对密钥的暴力破解，控制不同权限用户的操作和调用。

进一步地，步骤S6中，PAM身份模式包括PAM认证管理模块、PAM账号管理模块、PAM会话管理模块和PAM口令管理模块。

上述进一步方案的有益效果是：在本发明中，PAM身份模式，即可插拔式认证模块，是一种高效且灵活便利的用户级别的认证方式。

进一步地，步骤S6中，主机A的PAM认证管理模块、PAM账号管理模块、PAM会话管理模块和PAM口令管理模块通过自身的PAM接口库与密钥仓库进行交互。

上述进一步方案的有益效果是：在本发明中，PAM身份模式的四种模式通过自身接口库与密钥仓库进行交互，验证用户身份以及权限分类，控制特权用户对密钥仓库的访问权限，对仓库内密钥的内容存放地址以及读写权限的控制。

进一步地，步骤S7中，仅允许验证成功的用户在其授权凭证权限内对密钥仓库的权限账号进行添加、删除和修改。

上述进一步方案的有益效果是：在本发明中，用户通过PAM身份模块校验用户权限后，仅允许用户在其权限内对仓库内相应存储位置的数据进行调用提取修改和删除等操作，密钥仓库作为用户账号的唯一接口，拒绝一切未授权账号的访问以及操作，对外接口参数标准化，不可篡改，能够实现其他第三方应用集成兼容。

图1为密钥托管方法的流程图。

下面结合附图对本发明的实施例作进一步的说明。

如图1所示，本发明提供了一种适用于用户身份认证的密钥托管方法，包括以下步骤：

S1：在管理授权平台注册主机A；

S2：通过用户向管理授权平台提出特权账号申请；

S3：利用管理授权平台向申请通过的用户下发授权凭证；

S4：利用管理授权平台将下发授权凭证后的用户特权账号存入密钥仓库的地址位置；

S5：通过用户在主机A中登录所申请的特权账号，插入授权凭证；

S6：通过主机A的PAM身份模式与密钥仓库进行交互，验证用户的授权凭证；

S7：通过验证成功的用户访问密钥仓库的地址位置，并提取密钥；

S8：根据提取的密钥，利用主机A验证用户登录，完成用户身份认证的密钥托管。

在本发明实施例中，如图1所示，步骤S3中，申请通过的用户的特权账号属性信息包括网络设备信息密钥、主机标识密钥和用户第三方应用密钥。在本发明中，用户特权账号属性信息的不同可便于后续步骤中，根据不同的类型存入不同的密钥仓库地址位置。

在本发明实施例中，如图1所示，步骤S4中，用户特权账号包括用户账号密钥和账号属性信息，管理授权平台通过授权功能模块将用户账号密钥及账号属性信息存入密钥仓库的地址位置。在本发明中，管理平台的授权功能模块会将用户授权账号属性信息以及权限分类存入密钥仓库特定位置，并加密保存。

在本发明实施例中，如图1所示，密钥仓库包括网络设备密钥、主机和应用程序。在本发明中，密钥仓库可对用户特权账号进行分类存储。

在本发明实施例中，如图1所示，步骤S4包括以下子步骤：

S41：利用管理授权平台将下发授权凭证后的用户特权账号存入密钥仓库；

S42：根据存入的用户特权账号类型进行分类存储；

S43：采用password+salt的方式对分类存储后的用户账号密钥进行散列并存储；

S44：对存储后的用户账号密钥进行多重加密；

S45：隐藏多重加密的次数及加密算法；

S46：对隐藏后的每个存储单元设置权限，完成用户特权账号在密钥仓库中地址位置的存储。

在本发明中，密钥仓库可以防止对密钥的暴力破解，控制不同权限用户的操作和调用。

在本发明实施例中，如图1所示，步骤S6中，PAM身份模式包括PAM认证管理模块、PAM账号管理模块、PAM会话管理模块和PAM口令管理模块。在本发明中，PAM身份模式，即可插拔式认证模块，是一种高效且灵活便利的用户级别的认证方式。

在本发明实施例中，如图1所示，步骤S6中，主机A的PAM认证管理模块、PAM账号管理模块、PAM会话管理模块和PAM口令管理模块通过自身的PAM接口库与密钥仓库进行交互。在本发明中，PAM身份模式的四种模式通过自身接口库与密钥仓库进行交互，验证用户身份以及权限分类，控制特权用户对密钥仓库的访问权限，对仓库内密钥的内容存放地址以及读写权限的控制。

在本发明实施例中，如图1所示，步骤S7中，仅允许验证成功的用户在其授权凭证权限内对密钥仓库的权限账号进行添加、删除和修改。在本发明中，用户通过PAM身份模块校验用户权限后，仅允许用户在其权限内对仓库内相应存储位置的数据进行调用提取修改和删除等操作，密钥仓库作为用户账号的唯一接口，拒绝一切未授权账号的访问以及操作，对外接口参数标准化，不可篡改，能够实现其他第三方应用集成兼容。

下面对本发明中提到的几个术语进行解释。

(1)PAM身份模式：基于Pluggable Authentication Modules的验证机制，即可插入验证模块，特定应用程序的使用限制于root账户。不同的Module可以实现系统管理员按照用户、密码或者登入位置设置访问控制策略，同时，也是一种便利可插拔式的用户身份认证模式。

(2)加密：加密是将数据资料加密，使得非法用户即使取得加密过的资料，也无法获取正确的资料内容，所以数据加密可以保护数据，防止监听攻击。其重点在于数据的安全性。

(3)身份认证：身份认证是用来判断某个身份的真实性，确认身份后，系统才可以依不同的身份给予不同的权限，其重点在于认证用户的真实性。

本发明的工作原理及过程为：首先主机A是注册在管理授权平台的主机。用户向管理授权平台提出申请，平台通过用户的申请，对用户下发授权凭证且将申请的用户账号密钥或账号属性数据存入密钥仓库的地址位置。

密钥仓库存分类存储着大量密钥数据。用户在主机A中登录所申请的特权账号，插入平台认证的授权凭证，主机A通过PAM身份模式与密钥仓库进行交互，验证用户权限凭证，以此访问密钥仓库中所需密钥的存储地址，提取密钥，进而验证用户登录。本发明的密钥申请提取流程严格缜密，进一步降低了密钥在保存，提取验证过程遭受泄露，被破解的风险等级。

在整个密钥托管流程中，密钥仓库承担着两个重要的功能。一是存储功能，密钥仓库接收来自管理授权平台的用户的账号密钥及账号属性信息，根据存入的类型进行分类存储，在存储的过程中对密钥多重加密，采用password+salt的方式进行散列并存储，隐藏加密次数以及加密算法，防止对密钥穷举暴力破解；同时对每一个存储单元设置权限，控制不同权限用户的操作和调用。二是密钥调用功能，用户通过PAM身份认证，校验用户权限后，仅允许用户在其权限内对仓库内相应存储位置的数据进行调用提取修改和删除等操作。

密钥仓库作为用户账号唯一接口，拒绝一切未授权账号的访问以及操作，对外接口参数标准化，不可篡改，保证其他第三方应用集成兼容。考虑到特权账号调用的安全性，严格控制各个模块的操作权限，任何模块不得已非授权方式调用特权账号和密码，严格控制特权用户对密钥仓库内容的操作权限。密钥申请提取流程中各个功能模块与密钥仓库均有配合工作。第一，对于已授权的账号，用户可以根据其权限访问密钥仓库，查询获取相应密钥。第二，管理授权平台的授权功能模块会将用户授权账号属性信息以及权限分类存入密钥仓库特定位置，并加密保存。第三，通过授权验证的用户通过账号管理模块，可以密钥仓库进行权限内的账号添加、删除和修改等操作。第四，用户的第三方软件或应用通过标准接口获得授权后，可以与密钥仓库进行交互。所以，整个流程中各个模块都要与密钥仓库进行权限校验，确保任何特权账号及密码的调用，不得绕过密钥仓库。

本发明的有益效果为：本发明提出了一种适用于用户身份认证的密钥托管方法，密钥仓库作为特权账号使用的唯一入口，为一切程序和应用提供动态密码，并且确保任何特权账号及密钥的调用都不得绕过密钥仓库。同时，密钥仓库提供模块化功能和标准接口，能够实现当遇到用户差异化需求时产品的兼容组合以及第三方产品的快速集成，解决在产品推广过程中所遇到的问题。本发明融合了当前密钥信息防护的多项关键技术，可以有效防止黑客对密钥信息的暴力破解，整个流程严格缜密，进一步提升密钥防护等级，保证任何模块不得已非授权的方式调用特权账号获取密钥信息，确保用户账户访问来源的合法性，维护用户账号属性信息安全，保证线路传递数据的绝对安全，能够有效的应对拥有强大计算力黑客们的攻击，保障用户特权账号安全性。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。