一种业务服务器授权安全访问方法与流程

本发明涉及本发明涉及一种业务服务器授权安全访问方法，具体地说，是一种基于对业务服务器在授权状态下进行安全访问的方法。

背景技术：

在互联网时代，有效的业务服务器安全管理对企业良好的运作至关重要。但是，当业务服务器数量急剧增长以及管理运维人员数量加大时，对业务服务器的帐号信息管理、安全访问等问题成了企业服务器信息安全隐患。因此，企业需要构建一套基于授权的安全访问方法，以保证业务服务器的信息安全。

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。

其从功能上讲，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过运维安全审计的翻译。打一个比方，运维安全审计扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。

安全审计作为企业信息安全建设不可缺少的组成部分，逐渐受到用户的关注，是企业安全体系中的重要环节。同时，安全审计是事前预防、事中预警的有效风险控制手段，也是事后追溯的可靠证据来源。

一个用户使用多个账号。目前，一个维护人员使用多个账号是较为普遍的情况，用户需要记忆多套口令同时在多套主机系统、网络设备之间切换，降低工作效率，增加工作复杂度。

技术实现要素：

本发明的目的在于针对现在方法中存在的不足，提供一种基于对业务服务器在授权状态下进行安全访问的方法，使业务服务器的帐号密码进行统一管理、统一授权、超时自动失效等功能，为企业提供了一个安全有效的业务服务器授权访问方法。

本发明为实现其目的所采用的技术方案是：一种业务服务器授权安全访问方法，包括以下步骤：

步骤1、堡垒机根据登录的终端用户帐号，向所述的终端用户呈现该帐号被授权的业务服务器ID列表；

步骤2、堡垒机根据所述的终端用户选择的业务服务器ID，根据所述的业务服务器的登录帐号及密码自动登录到业务服务器完成登录过程。

本发明中通过堡垒机对务服务器的帐号密码进行统一管理、统一授权、超时自动失效等功能，为企业提供了一个安全有效的业务服务器授权访问方法。

进一步的，上述的业务服务器授权安全访问方法中：所述的步骤1中，具体包括：

步骤101、运维及管理人员通过自己的终端用户帐号登录堡垒机；

步骤102、堡垒机上的登录脚本根据终端用户帐号通过HTTPS协议向授权系统的授权查询API接口获取该帐号被授权的业务服务器ID列表；

步骤103、堡垒机将获得的业务服务器ID列表输出到运维及管理人员自己的终端屏幕供运维及管理人员选择。

进一步的，上述的业务服务器授权安全访问方法中：所述的终端用户帐号包含所有业务服务器管理人员的堡垒机的帐号及密码，由授权系统进行管理及维护，并对终端用户一一对应可见。

进一步的，上述的业务服务器授权安全访问方法中：所述的步骤2具体包括：

步骤201、使用所述的终端用户帐号的运维及管理人员从自己的终端上选择所需要访问的业务服务器ID，并将选择结果通知堡垒机；

步骤202、堡垒机上登录脚本根据所述的业务服务器的ID，通过HTTPS协议向授权系统的授权查询API接口获取所述的业务服务器的IP地址、远程登录商品、登录帐号及密码信息；

步骤203、登录脚本根据获得的所述的业务服务器的登录帐号及密码自动登录到远程业务服务器完成登录过程。

进一步的，上述的业务服务器授权安全访问方法中：所述的业务服务器的IP地址、远程登录端口、服务器名称、服务器ID信息，由授权系统进行管理及维护，其中服务器名称、服务器ID对终端用户可见，IP地址、远程登录端口对终端用户不可见。

进一步的，上述的业务服务器授权安全访问方法中：所述的授权系统对终端用户在有限时间内对业务服务器的登录访问进行授权：关联业务服务器与终端用户一一对应关系，并添加允许登录访问的开始及结束时间标记来完成访问授权。

进一步的，上述的业务服务器授权安全访问方法中：所述的授权系统通过WEB的方式进行信息数据管理。

下面结合具体实施例对本发明作较为详细的描述。

附图说明

图1是本发明实施例方法流程图。

具体实施方式

实施例1，本实施例是一种利用堡垒机登录业务服务器的安全授权访问方法，如图1所示，运维及管理人员通过自己的终端用户帐号登录统一登录入口也就是堡垒机进行登录，堡垒机对登录的运维及管理人员的身份进行确认可，统一分配权利包括运维及管理人员登录堡垒机，堡垒机通过运维及管理人员的身份信息分配权利，运维及管理人员选择其权利范围内可登录的业务服务器，堡垒机登录两个主要步骤：

步骤1、堡垒机根据登录的终端用户帐号，向所述的终端用户呈现该帐号被授权的业务服务器ID列表。

该步骤具体包括：

步骤101、运维及管理人员通过自己的终端用户帐号登录堡垒机。

步骤102、堡垒机上的登录脚本根据终端用户帐号通过HTTPS协议向授权系统的授权查询API接口获取该帐号被授权的业务服务器ID列表。

授权系统对终端用户在有限时间内对业务服务器的登录访问进行授权：关联业务服务器与终端用户一一对应关系，并添加允许登录访问的开始及结束时间标记来完成访问授权。因此，这里屏蔽掉一些不能由该用户帐号对应的用户访问的业务服务器，在不同的时间呈现该帐号被授权的业务服务器ID列表是不同的。

步骤103、堡垒机将获得的业务服务器ID列表输出到运维及管理人员自己的终端屏幕供运维及管理人员选择。

这里终端用户使用终端帐号及密码登录堡垒机，登录脚本根据终端用户帐号，通过以HTTPS协议向授权系统的授权查询API接口获取终端用户已被授权的业务服务器列表并输出到屏幕以供终端用户选择。

终端用户帐号包含所有业务服务器管理人员的堡垒机的帐号及密码，由授权系统进行管理及维护，并对终端用户一一对应可见。

步骤2、堡垒机根据所述的终端用户选择的业务服务器ID，根据所述的业务服务器的登录帐号及密码自动登录到业务服务器完成登录过程。

该步骤具体包括：

步骤201、使用所述的终端用户帐号的运维及管理人员从自己的终端上选择所需要访问的业务服务器ID，并将选择结果通知堡垒机。

步骤202、堡垒机上登录脚本根据所述的业务服务器的ID，通过HTTPS协议向授权系统的授权查询API接口获取所述的业务服务器的IP地址、远程登录商品、登录帐号及密码信息。

步骤203、登录脚本根据获得的所述的业务服务器的登录帐号及密码自动登录到远程业务服务器完成登录过程。

业务服务器的IP地址、远程登录端口、服务器名称、服务器ID信息，由授权系统进行管理及维护，其中服务器名称、服务器ID对终端用户可见，IP地址、远程登录端口对终端用户不可见。

这里堡垒机上的登录脚本根据终端用户所选择的被授权业务服务器ID，通过HTTPS协议向授权系统的授权查询API接口获取此业务服务器的登录帐号及密码，并通过登录脚本进行自动登录到该业务服务器，在此过程中业务服务器的登录帐号及密码对终端用户不可见。授权系统通过WEB的方式进行信息数据管理。所有通信内容均使用DES加密算法进行回密，以保证在通信过程中通信内容的传输安全。

本实施例的一种业务服务器授权安全访问方法。用以解决现有技术中当远程业务服务器数量多，运维管理人员数量多造成的业务服务器帐号密码易泄漏、帐号难回收等安全性较低的问题。属于信息安全领域。具体方法如下：运维及管理人员通过自己的终端用户帐号登录统一登录入口即堡垒机（以下均称堡垒机），堡垒机上的登录脚本根据终端用户帐号通过HTTPS协议向授权系统的授权查询API接口获取该帐号被授权的业务服务器列表并输出到屏幕供终端用户选择，登录脚本再次根据终端用户所选服务器的ID，通过HTTPS协议向授权系统的授权查询API接口获取该业务服务器的IP地址、远程登录商品、登录帐号及密码信息，登录脚本根据获得的业务服务器的登录帐号及密码自动登录到远程业务服务器完成登录过程。上述方法中HTTPS通信信息均进行DES加密，对终端用户不可见，保证了业务服务器帐号及密码的安全；其中终端用户帐号密码、业务服务器帐号密码、业务服务器IP及端口信息等将通过授权管理系统以WEB的方式进行统一分配、管理，并对终端用户进行业务服务器的登录权限、时限等进行授权，同时向堡垒机上的登录脚本提供授权查询API接口，提高了业务服务器帐号的安全性。

本实施例中，HTTPS通信信息均进行DES加密，对终端用户不可见，保证了业务服务器帐号及密码的安全。

其中终端用户帐号密码、业务服务器帐号密码、业务服务器IP及端口信息等将通过授权管理系统以WEB的方式进行统一分配、管理，并对终端用户进行业务服务器的登录权限、时限等进行授权，同时向堡垒机上的登录脚本提供授权查询API接口，提高了业务服务器帐号的安全性。