支持自定义更改特权账号密码的方法及装置与流程

本发明涉及特权账号密码管理领域，特别涉及一种支持自定义更改特权账号密码的方法及装置。

背景技术：

特权账号是指具有高风险(如可以启停设备的管理员账号)或具有高价值(如可以读取业务敏感数据的应用账号)的账号，其密码定期更改往往会被企业或者组织的管理人员所忽略，因此需要定期对这类特权账号进行密码更改，且改密策略需要符合安全规范，防止被他人盗用。

多数管理员会根据账号的权限及风险来定制不同的密码策略，再根据策略以人工的方式对密码进行更改，但是基于人工方式进行改密存在的风险非常大，一些管理员为方便记住密码，会在下次更改密码时使用符合密码策略却与上次相似的密码；或是对批量账号都是用统一密码以减轻自己工作量。而这些相似甚至相同的密码往往会成为攻击者的突破口，当成功入侵一个账号密码后，其他账号密码就很容易被批量搜索破解。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种使得管理员可以从大量账号运维工作中解放，并降低因人工改密而产生的风险的支持自定义更改特权账号密码的方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种支持自定义更改特权账号密码的方法，应用于特权账号密码管理系统，包括如下步骤：

a)收集当前需要托管的特权账号，并整理需要应用的安全等级规范；

b)登录门户网站；执行步骤c)或步骤c')；

c)托管所收集的所述特权账号，执行步骤d)；

d)按照不同特权账号类型对所述特权账号进行分组，执行步骤e)；

c')收集安全等级规范，执行步骤d')；

d')根据不同的安全等级规范建立相应的改密策略，执行步骤e)；

e)对不同组的特权账号应用相应的改密策略。

在本发明所述的支持自定义更改特权账号密码的方法中，在所述步骤e)之后还包括：

f)当用户点击改密时，所述特权账号密码管理系统根据对应特权账号所应用的改密策略，生成符合所述改密策略的随机新密码，并登录到目标系统进行改密操作。

在本发明所述的支持自定义更改特权账号密码的方法中，所述改密策略至少包含密码长度、复杂度、禁用字符、密码验证周期和改密周期。

在本发明所述的支持自定义更改特权账号密码的方法中，，所述特权账号密码管理系统包括：

节点管理单元：用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理；

账号管理单元：用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作；

访问控制单元：用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限；

会话监控单元：用于为用户对账号的单点登录过程实现录像、监控、拦截及审计；

审计管理单元：用于为审计部门提供日志查询，所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询；

审批管理单元：用于为用户提供一事一审的账号使用流程审批能力；

系统设置单元：用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数；

所述节点管理单元、所述账号管理单元、所述访问控制单元、所述会话监控单元、所述审计管理单元、所述审批管理单元和所述系统设置单元相互连接。

在本发明所述的支持自定义更改特权账号密码的方法中，所述访问控制单元进一步包括：

账号密码模块：用于新增、修改与管理账号密码箱对象，为账号存储提供逻辑独立空间，同时提供基于密码箱集合的访问使用授权。

本发明还涉及一种实现上述支持自定义更改特权账号密码的方法的装置，包括：

收集整理单元：用于收集当前需要托管的特权账号，并整理需要应用的安全等级规范；

门户网站登录单元：用于登录门户网站；

特权账号托管单元：用于托管所收集的所述特权账号；

特权账号分组单元：用于按照不同特权账号类型对所述特权账号进行分组；

安全等级规范收集单元：用于收集安全等级规范；

改密策略建立单元：用于根据不同的安全等级规范建立相应的改密策略；

改密策略应用单元：用于对不同组的特权账号应用相应的改密策略。

在本发明所述的装置中，还包括：

密码随机生成单元：用于当用户点击改密时，所述特权账号密码管理系统根据对应特权账号所应用的改密策略，生成符合所述改密策略的随机新密码，并登录到目标系统进行改密操作。

在本发明所述的装置中，所述改密策略至少包含密码长度、复杂度、禁用字符、密码验证周期和改密周期。

实施本发明的支持自定义更改特权账号密码的方法及装置，具有以下有益效果：由于可以对特权账号进行分类，按照对应策略随机生成密码，再根据不同类型的特权账号将密码同步至不同目标系统，因此本发明使得管理员可以从大量账号运维工作中解放，并降低因人工改密而产生的风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明支持自定义更改特权账号密码的方法及装置一个实施例中方法的流程图；

图2为所述实施例中方法的流程简图；

图3为所述实施例中特权账号密码管理系统的结构示意图；

图4为所述实施例中访问控制单元的结构示意图；

图5为所述实施例中装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明支持自定义更改特权账号密码的方法及装置实施例中，其支持自定义更改特权账号密码的方法的流程图如图1所示。图2为该支持自定义更改特权账号密码的方法的流程简图。该支持自定义更改特权账号密码的方法应用于特权账号密码管理系统。

图1中，该支持自定义更改特权账号密码的方法包括如下步骤：

步骤s01收集当前需要托管的特权账号，并整理需要应用的安全等级规范：本步骤中，收集当前需要托管的特权账号，同时并整理需要应用的安全等级规范等。

步骤s02登录门户网站：本步骤中，用户登录门户网站。执行完本步骤，执行步骤s03或步骤s03'。

步骤s03托管所收集的特权账号：本步骤中，托管所收集的特权账号，也就是，将所收集的特权账号托管到特权账号密码管理系统，执行完本步骤执行步骤s04。

步骤s04按照不同特权账号类型对特权账号进行分组：本步骤中，按照不同特权账号类型对特权账号进行分组，换言之，不同特权账号类型的特权账号对应不同的分组。执行完本步骤执行步骤s05。

步骤s03'收集安全等级规范：本步骤中，收集安全等级规范。执行完本步骤，执行步骤s04'。

步骤s04'根据不同的安全等级规范建立相应的改密策略：本步骤中，根据不同的安全等级规范建立相应的改密策略，如：密码长度、复杂度、禁用字符、密码验证周期和改密周期等。执行完本步骤，执行步骤s05。

步骤s05对不同组的特权账号应用相应的改密策略：本步骤中，对不同组的特权账号应用相应的改密策略。

针对现有的人工改密所带来的风险，本发明的支持自定义更改特权账号密码的方法可以对账号进行分类，针对多种类型账号提供自定义改密策略，按照对应策略随机生成密码，再根据不同类型的账号将密码同步至不同目标。使得管理员可以从大量账号运维工作中解放，并降低因人工改密而产生的风险。

本实施例中，在步骤s05之后还包括：

步骤s06当用户点击改密时，特权账号密码管理系统根据对应特权账号所应用的改密策略，生成符合改密策略的随机新密码，并登录到目标系统进行改密操作：本步骤中，当用户点击改密时，特权账号密码管理系统会根据对应特权账号所应用的改密策略，生成符合该改密策略的随机新密码，这时可以登录到目标系统进行改密操作。

图3为本实施例中特权账号密码管理系统的结构示意图，图3中，该特权账号密码管理系统包括相互连接的节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7；其中，节点管理单元1用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理。

账号管理单元2用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作。具体而言，针对背景技术中的需要进行密码自动化校验、改密甚至重置(找回密码)的特权账号类型繁多、内嵌至devops工具、代码、程序常见同时难以管理。例如，持续集成工具jenkins工具会内嵌云平台的开发访问密钥，意味着密钥容易暴露于工具配置中，且难以被审计使用情况，也不利于定期轮换密钥的维护工作。那么账号管理单元2都能很好地解决以上问题。另外，用户即人类需要对这些新型账号凭证使用时，通过账号管理单元2的单点登录连接模块即可实施凭证不落地的安全使用。

访问控制单元3用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限。访问控制单元3的账号密码箱提供了新增、修改与管理账号密码箱能力，为账号存储提供逻辑独立空间，密码箱。同时提供基于密码箱集合对用户、进行的访问使用授权。

会话监控单元4用于方便为用户对账号的单点登录过程实现录像、监控、拦截及审计。能提供快速查询会话、定位操作记录、实现会话干预、操作拦截等功能。

审计管理单元5用于为审计部门提供日志查询，该日志查询至少包括账号的使用与管理和平台自身变更的日志查询。换言之，审计管理单元5为审计部门提供账号使用与管理、平台自身变更等维度的日志查询。其日志内容满足账号操作轨迹回溯、用户行为分析之用。

审批管理单元6用于为用户提供一事一审的账号使用流程审批能力。审批流程可以指定审批人、操作内容、时间窗口、原因等因素。且审批管理单元6具备插件化扩展能力，满足对接外部工单系统平台需求。

系统设置单元7用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数等能力。该系统设置单元7主要与账号管理单元2进行互相连接。

特权账号密码管理系统包通过设置节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7，能够自动化管理企业的特权账号，且能让用户在不接触密码的前提下进行单点登录使用，同时还能针对云、devops、容器化等环境下的特权账号做灵活的、插件式的账号管理。

图4为本实施例中访问控制单元的结构示意图，图4中，该访问控制单元3进一步包括账号密码模块31，账号密码模块31用于新增、修改与管理账号密码箱对象，为账号存储提供逻辑独立空间，同时提供基于密码箱集合的访问使用授权。账号密码箱模块31分别与系统设置单元7和节点管理单元1相互连接。

本实施例还涉及一种实现上述支持自定义更改特权账号密码的方法的装置，该装置的结构示意图如图5所示。图5中该装置包括收集整理单元100、门户网站登录单元200、特权账号托管单元300、特权账号分组单元400、安全等级规范收集单元500、改密策略建立单元600和改密策略应用单元700。

收集整理单元100用于收集当前需要托管的特权账号，并整理需要应用的安全等级规范；门户网站登录单元200用于登录门户网站；特权账号托管单元300用于托管所收集的特权账号；特权账号分组单元400于按照不同特权账号类型对特权账号进行分组；安全等级规范收集单元500用于收集安全等级规范；改密策略建立单元600用于根据不同的安全等级规范建立相应的改密策略；如：密码长度、复杂度、禁用字符、密码验证周期和改密周期等。改密策略应用单元700用于对不同组的特权账号应用相应的改密策略。

针对现有的人工改密所带来的风险，本发明的装置可以对账号进行分类，针对多种类型账号提供自定义改密策略，按照对应策略随机生成密码，再根据不同类型的账号将密码同步至不同目标。使得管理员可以从大量账号运维工作中解放，并降低因人工改密而产生的风险。

本实施例中，该装置还包括密码随机生成单元800，密码随机生成单元800用于当用户点击改密时，特权账号密码管理系统根据对应特权账号所应用的改密策略，生成符合改密策略的随机新密码，并登录到目标系统进行改密操作。

总之，本实施例中，由于可以对特权账号进行分类，按照对应策略随机生成密码，再根据不同类型的特权账号将密码同步至不同目标系统，因此本发明使得管理员可以从大量账号运维工作中解放，并降低因人工改密而产生的风险。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。