业务系统密码管理方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信领域中密码安全技术领域,具体地,涉及业务系统密码管理方法和装置。
【背景技术】
[0002]随着信息技术的发展,在给人们带来高效、信息共享的同时,也给信息安全带来很多新的问题。密码在信息安全保障中占据着很重要的位置,业务系统的密码管理尤为重要。在移动业务支撑系统中,由于用户的增长,业务的不断发展,一般存在有多个数据库和大量的应用服务器,因此它们之间的交互访问是必不可少的。为了保障业务系统的安全,操作系统和数据库的密码管理和设置是不可或缺的。
[0003]现有的业务系统密码管理方式为传统的本地管理,即系统中所有设备都在本地管理其密码,应用程序通过读取本地的配置文件,或者通过访问数据库中保存的密码来获取相应主机的操作系统密码,而密码在配置文件或者代码中以明文的形式保存。
[0004]同时密码的变更也是在本地进行,如果某个操作系统或者数据库需要变更时,所有需要访问的应用程序都需要做相应的配置变更。如果涉及的应用程序较多,工作量大、繁琐,而且容易出错遗漏。
[0005]现有业务支撑系统中的密码管理中至少存在如下问题:
[0006]1.安全性欠佳,目前大部分的后台进程使用明文配置来实现密码管理,这使得数据库的密码和主机密码很容易被泄露。而且进程分布在不同的主机,有可能进入一台主机后通过查看程序的配置就可以在整个系统畅通无阻,导致整个系统的崩溃。
[0007]2.管理较复杂,应用进程分布在不同主机上,导致操作系统和数据库的密码变更时,需要在不同的主机上进行密码配置的变更,繁琐而且容易遗漏,导致用户不敢变更用户密码,这使得系统长时间使用一个密码,给系统带来很大的安全隐患。
【发明内容】
[0008]本发明是为了克服现有技术中业务系统的密码管理不安全的缺陷,根据本发明的一个方面,提出一种业务系统密码管理方法。
[0009]根据本发明实施例的业务系统密码管理方法,包括:
[0010]调用业务系统中的用户密码明文数据,采用密码文件头中的第一密钥对用户密码明文数据进行加密生成密码文件体;
[0011]采用核心密钥对密码文件头进行加密,并将加密后的密码文件头和密码文件体写入同一文件生成加密合并文件;
[0012]采用第二密钥对加密合并文件进行加密,生成密码文件保存。
[0013]本发明是为了克服现有技术中业务系统的密码管理不安全的缺陷,根据本发明的另一个方面,提出一种业务系统密码管理方法。
[0014]根据本发明实施例的业务系统密码管理方法,包括:
[0015]调用业务系统中的密码文件,采用第二密钥对密码文件进行解密生成密码文件头和密码文件体;
[0016]采用核心密钥对密码文件头进行解密,提取解密后的密码文件头中存储的第一密钥;
[0017]采用第一密钥对所述密码文件体进行解密,生成用户密码明文数据。
[0018]本发明是为了克服现有技术中业务系统的密码管理不安全的缺陷,根据本发明的一个方面,提出一种业务系统密码管理装置。
[0019]根据本发明实施例的业务系统密码管理装置,包括:
[0020]调用加密模块,用于调用业务系统中的用户密码明文数据,采用密码文件头中的第一密钥对用户密码明文数据进行加密生成密码文件体;
[0021]加密合并模块,用于采用核心密钥对所述密码文件头进行加密,并将加密后的密码文件头和密码文件体写入同一文件生成加密合并文件;
[0022]加密生成模块,用于采用第二密钥对所述加密合并文件进行加密,生成密码文件保存。
[0023]本发明是为了克服现有技术中业务系统的密码管理不安全的缺陷,根据本发明的一个方面,提出一种业务系统密码管理装置。
[0024]根据本发明实施例的业务系统密码管理装置,包括:
[0025]调用解密模块,用于调用业务系统中的密码文件,采用第二密钥对密码文件进行解密生成密码文件头和密码文件体;
[0026]解密提取模块,用于采用核心密钥对密码文件头进行解密,提取解密后的密码文件头中存储的第一密钥;
[0027]解密生成模块,用于采用第一密钥对所述密码文件体进行解密,生成用户密码明文数据。
[0028]本发明的业务系统密码管理方法和装置,采用API访问本地密码文件的方式,应用部署简单方便,其中核心密钥保存在API动态库中,可变密码保存在密码文件的密码文体头中,使得密码的使用过程可以脱离密码系统独立存在,给应用快速部署提供了方便,同时采用3层加密的方式对密码文件进行加密,最大限度的保证了密码的安全。
[0029]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
[0030]下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
【附图说明】
[0031]附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
[0032]图1为本发明业务系统密码管理平台的结构示意图;
[0033]图2为本发明密码文件加密解密的结构示意图;
[0034]图3为本发明业务系统密码管理平台的数据库密码配置和使用的流程图;
[0035]图4为本发明业务系统密码管理装置实施例1的结构示意图;
[0036]图5为本发明业务系统密码管理装置实施例2的结构示意图。
【具体实施方式】
[0037]下面结合附图,对本发明的【具体实施方式】进行详细描述,但应当理解本发明的保护范围并不受【具体实施方式】的限制。
[0038]本发明针对现有业务系统中密码管理不安全的问题,抽象设计出通用简单的集中式的业务系统密码管理平台,通过WEB实现组管理、主机管理、数据库管理、口令管理、口令文件管理、参数配置和文件发布查询与操作日志查询功能,同时提供C/C++和Java的API供相应的应用进程使用,实现密码的统一管理和发布。
[0039]业务系统(即业务平台)中使用的密码文件采用加密格式保存,采用AES、DES、3DES (EDE)、Blowfish, CAST-128, IDEA、Safer_SK、RC2、RC4、RC5 等加密算法,整个密码文件采用了 3层加密方式,密码文件包括密码文件头和密码文件体。首先采用密码文件头中的密钥对密码文件体进行加密,而后使用核心密钥对密码文件头进行加密,密码文件头和密码文件体合并使用固定密钥进行加密后写入密码文件,考虑到Blowfish算法快速、安全等级根据密钥长度不同可变的特性,整体文件使用固定密码采用Blowfish算法进行加密,该密钥在密码系统设计初期就已经加载,如果需要变更必须修改后重新编译加密动态库,同时重新发布密码文件和加密动态库,其他两层加密方式可以采用不同加密方法,保证了密码的安全性。
[0040]本发明的基本思想是:在业务主机部署代理程序,实现密码管理装置和各业务主机之间的交互功能;密码管理装置根据配置生成密码文件,通过代理程序将密码文件发布到各业务主机;应用程序启动时从各业务主机的密码文件中获取相应的密码配置,通过解密功能实现密码使用。
[0041]上述基本思想就是在各业务主机部署本地程序需要访问系统和数据库的密码文件,各应用进程可以从密码文件获取相应的密码文件配置,同时管理员可以通过Web进行密码文件的修改发布。
[0042]如图1所示,本发明的业务系统密码管理平台包括:
[0043]Web管理服务模块:用户的操作终端通过与Web管理服务模块相连接,提供了一个统一、直观、方便的操作界面给用户进行更好的进行密码管理、以及结果信息展示等。
[0044]管理中心:用于管理数据库中的各类配置、用户密码和密码文件、API动态库生成,同时向代理程序下发密码文件。
[0045]数据库:保存业务系统各类密码配置、主机配置、口令配置、配置字典数据和用户操作数据的保存等。
[0046]密码管理客户端代理:部署在各业务主机上,实现本地管理的密码文件、API库的修改和发布等。<