一种用于运维审计系统的资产密码导出方法与流程

本发明属于信息安全的技术领域，具体涉及一种用于运维审计系统的资产密码导出方法。

背景技术：

秘密共享技术是密码学和信息安全的一个重要研究内容，被广泛应用于密钥管理及数字签名领域，他最早由shaimir和blackly在1979年分别基于lagrance插值多项式和矢量方法提出。其基本思想是分发者通过秘密多项式将秘密s分为n个影子秘密并分发给持有者，其中任意不少于t个影子秘密的任何信息。他的出现解决了密钥安全报告的基本问题，既能保证秘密的安全性、完整性，又能防止秘密过于集中而带来的风险(荣辉桂,莫进侠,常炳国,等.基于shamir秘密共享的密钥分发与恢复算法[j].通信学报,2015(3):60-69)。在运维审计系统中常常需要对密码进行导出和导入，然而密码导出的过程中安全性是重中之重，是系统安全的关键之处，同时密码的责任分摊管理至关重要，是防止内部被盗的关键环节。

技术实现要素：

本发明的目的在于提供一种用于运维审计系统的资产密码导出方法，解决了导出过程中资产密码安全性的问题，本发明实现了对导出文件的安全保护。

本发明对导出文件进行分发管理，实现了资产信息导出的权限分割。通过身份认证实现用户可信。通过数字签名机制，实现了可追溯来源和防篡改。对导出文件可以导入系统中实现资产信息恢复的功能。保障资产信息备份时的安全，并有效地抵抗了内网中可能存在的攻击者，通过权限分割明确运维人员责任，方便管理。

本发明主要通过以下技术方案实现：一种用于运维审计系统的资产密码导出方法，主要包括以下步骤：

步骤s102：密码共享模块将分割后的子密文与明文部分的信息根据资产相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件；

步骤s103：对生成的文件附加用户名取哈希值，为每个用户生成的密钥对进行数字签名；根据预先设定的权限分割，为每个用户分配文件，并将用户的文件用该用户的登陆密码进行可逆的文件加密；使用加密信道将文件传输到用户主机上。

为了更好的实现本发明，进一步的，所述步骤s103中首先通过身份验证系统保证部门管理员和密码管理员的合法身份；在运维审计系统内部，为每个管理密码的用户采用公钥加密体系生成一对公钥私钥密钥对，存储在系统内部，用于对导出文件进行数字签名。

为了更好的实现本发明，进一步的，所述步骤s103中对生成的文件使用密码管理者登陆运维审计系统的密码进行可逆的文件加密；使用sftp协议将文件发送到密码管理者进行备份的机器上，采用加密信道避免中间人攻击。

为了更好的实现本发明，进一步的，还包括密码导入的步骤：

步骤s201：将持有的文件通过加密信道上传到运维审计系统中；对文件使用用户登陆运维审计系统的密码进行解密，得到文件和数字签名；对数字签名进行验证，如果错误，则结束操作，并进行记录，反馈到运维审计系统中；

步骤s202：将用户的文件使用该用户的登陆密码进行文件解密后，文件解析模块将文件中的记录逐条读出为数据，将导入的文件中对应资产的子密文部分读出，共同传递给密文恢复模块；密文恢复模块取到子密文，通过shamir秘密共享算法，计算并还原得到完整的原始密文，并将该密文传递给数据库解析模块；

步骤s203：数据库解析模块将资产的明文传递信息和密文对应组合成数据库记录，并写入到运维审计系统的资产数据库中，资产密码完成导入恢复过程。

为了更好的实现本发明，进一步的，还包括步骤s101：数据库解析模块读取资产信息数据库中的记录，将非敏感信息以原数据格式进行读取，并读取对应的加密存储的资产密码的密文，并将密文传输到密文分拆模块中，采用shamir秘密共享算法，对密文分割得到n份子密文。

为了更好的实现本发明，进一步的，所述非敏感信息包括资产名称、资产ip地址、备注信息的明文存储的信息；所述步骤s102中的密码导出文件的格式可以为txt纯文本文件或者excel表格文件或者数据库记录。

为了更好的实现本发明，进一步的，所述步骤s103中用户包括部门管理员和若干个密码管理员，部门管理员与一个密码管理员的总的文件或者所有密码管理员的总的文件可以完成密码导入恢复。

为了更好的实现本发明，进一步的，所述密码导出文件n为5，部门管理员为1个，密码管理员为3个；部门管理员持有2份子密码，密码管理员各持有1份子密码；导入密码时需要3份子密码。

权限分割设置如下：

1.密码导出功能设计到运维审计系统中的角色为：系统管理员、部门管理员和密码管理员。系统管理员是运维审计系统的管理员，具有运维审计系统的最高权限。部门管理员为分管理员，负责管理部分资产的运维审计人员。密码管理员负责管理维护运维审计系统中的资产密码。

2.密码导出功能的权限分割是由系统管理员来设定的，但该角色不负责密码的导入导出和密码文件的保存。部门管理员要持有比重较大的导出密码，密码管理员各自持有相同比重的密码。部门管理员需要配合一位密码管理员完成密码导入恢复的过程；全部密码管理员共同配合才能完成密码导入恢复的过程。

3.默认配置中，一个部门具有1个部门管理员，3个密码管理员。共有5份子密码，部门管理员持有2份子密码，密码管理员分别持有1份子密码。导入密码时，需要3份子密码，可以由部门管理员配合1位密码管理员完成该操作；或者由3位密码管理员共同完成该操作。

4.密码划分方案支持自定义，可以由系统管理员在页面上进行配置，并存储在运维审计系统内部，采用公开shamir秘密共享算法进行加密，分割子密码。

5.可以手动由部门管理员点击按钮发起密码导出，或者根据配置按照一定时间周期自动导出备份资产密码。

资产密码导出过程如下：

第一步：发起密码导出操作后，数据库解析模块读取存储在运维审计系统中的资产信息数据库中的记录，将非敏感信息如资产名称，资产ip地址，备注信息等明文存储的信息以原数据格式读取，并读取对应的加密存储的资产密码密文，将密文传输到密文拆分模块中。

第二步：密文拆分模块采用shamir秘密共享算法，根据系统管理员设定的参数，对密文进行分割，产生n份子密文。默认产生5份子密文。

第三步：密码共享模块将分割后的子密文与明文部分的信息根据资产相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件，文件格式如常见的txt纯文本文件，excel表格文件，数据库记录等。

第四步：对生成的文件附加用户名取哈希值，使用运维设计系统为每个用户生成的密钥对进行数字签名。

第五步：根据预先设定的权限分割，为每个用户分配文件，并将该用户的文件用该用户的登陆密码进行可逆的文件加密。

第六步：使用加密信道将文件传输到用户主机上。

发起密码导入恢复操作后，需要找到系统管理员和1个密码管理员，或者全部密码管理员，将他们各自持有的文件通过加密信道上传到运维审计系统中。对文件使用用户登陆运维审计系统的密码进行解密，得到文件和数字签名。对数字签名进行验证，如果错误，则不可进行下一步操作，并进行记录，反馈到运维审计系统中。将用户的文件使用该用户的登陆密码进行文件解密后，文件解析模块将文件中的记录逐条读出为数据，将导入的文件中对应资产的子密文部分读出，共同传递给密文恢复模块。密文恢复模块取到子密文，通过shamir秘密共享算法，计算并还原得到完整的原始密文，并将该密文传递给数据库解析模块。数据库解析模块将资产的明文传递信息和密文对应组合成数据库记录，并写入到运维审计系统的资产数据库中，至此资产密码完成导入恢复过程。

如图4所示，密钥共享和恢复模块的具体步骤如下：

第一步：由用户设定密码导出时文件的份数n。设定导入资产密码时需要的最少文件份数k。可选地设定不同权限用户持有的文件份数，默认n个用户各持有一份不同的文件，可根据权限配置需求自行进行分配(但不能出现单个用户持有≥k份文件的情况)。持有份数越多的文件，在恢复资产密码时具有更高的权限，可以提供更多子密文，也需要承担更大责任。

第二步：由于shamir秘密共享算法需求秘密为整数，将密文读取并转换成二进制编码s。

第三步：初始化参数。设定密文分发份数n，门限值k。随机从p(为了方便可以与下一步中的q取相同值)阶有限域gf(p)中选取n个不同的非零元素x1,x2,…,xn，与n个子密文的持有者ur＝{u1，u2，un}一一对应，并在内部存储对应关系。

第四步：密文分发阶段。运维审计系统取大素数q，满足q>n且q≥s的理论最大取值。在gf(p)内任意选择(k-1)个元素ai(i＝1，2，…，k-1)构成(k-1)阶多项式：

原始密文s＝f(0)＝a0。为所有密文持有者ur∈u生成n个子密文：

并将sr对应ur传输给文件解析模块作为子密文生成n份资产秘密导出文件。并根据之前的可选配置，根据用户应当持有的份数，随机分发文件，默认每个用户持有一份文件。

第五步：密文恢复阶段。当用户需要导入资产密码文件进行恢复时，找到持有文件份数总和达到k份的若干用户，将文件上传到运维审计系统中。运维审计系统读取子密文，并使用拉格朗日插值公式：

恢复出密文s。

本发明原理是通过用户自定义权限分割，设定管理员分级权限，划分加密数据。将资产密码导出为文件，进行加密存储，进行备份；同时通过数字签名保证文件不被篡改。多个管理员上传文件，通过验证后，还原资产密码，导入恢复资产信息。本发明解决在运维审计系统中对资产密码进行导出备份，并将备份文件导入运维审计系统还原资产密码的问题，并在导出过程中解决密码安全性和权限分割的问题。

通过系统日志记录导出密码的记录和导入密码的记录。通过记录追溯各用户的行为历史，达到溯源的目的。对数字签名验证错误的文件及管理员进行记录，可以进行进一步的追责检查。系统管理员负责配置设置，但根据权限分割的要求，不具有直接管理密码导入导出的权限。部门管理员具有更多比重的子密码，也相应需要承担更大的责任。

本发明的有益效果：

(1)对生成的文件附加用户名取哈希值，为每个用户生成的密钥对进行数字签名；根据预先设定的权限分割，为每个用户分配文件，并将用户的文件用该用户的登陆密码进行可逆的文件加密；使用加密信道将文件传输到用户主机上。本发明解决了导出过程中解决密码安全性的问题，本发明通过数字签名保证文件不被篡改，本发明实现了对导出文件的安全保护，具有较好的实用性。

(2)所述步骤s103中首先通过身份验证系统保证部门管理员和密码管理员的合法身份；在运维审计系统内部，为每个管理密码的用户采用公钥加密体系生成一对公钥私钥密钥对，存储在系统内部，用于对导出文件进行数字签名。本发明首先是基于身份系统的在线验证，然后是对导出文件离线安全的保护，从而实现对导出文件的安全保护，具有较好的实用性。

(3)所述步骤s103中对生成的文件使用密码管理者登陆运维审计系统的密码进行可逆的文件加密；使用sftp协议将文件发送到密码管理者进行备份的机器上，采用加密信道避免中间人攻击。文件加密保证只有管理员本人才可以对文件进行解读，对文件导出后的安全进行有效的保护。使用加密信道避免在内网环境中可能存在的潜在攻击，保护文件不会被截获泄露。

(4)本发明对导出文件进行分发管理，实现了资产信息导出的权限分割。通过身份认证实现用户可信。通过数字签名机制，实现了可追溯来源和防篡改。对导出文件可以导入系统中实现资产信息恢复的功能。保障资产信息备份时的安全，并有效地抵抗了内网中可能存在的攻击者，通过权限分割明确运维人员责任，方便管理。

(5)本发明通过对资产密码的分割，保证单一用户不会持有完整的资产密码信息，实现权限分割和可追溯性，方便地进行资产密码管理。采用通用的文件格式，提供了较好的可移植性和可读性，便于对资产信息的维护和恢复。

附图说明

图1为权限分割的原理框图；

图2为密码导出和导入过程的流程图；

图3为密码导出的安全保护原理框图；

图4为密钥共享和恢复模块的原理框图。

具体实施方式

实施例1：

一种用于运维审计系统的资产密码导出方法，主要包括以下步骤：

步骤s102：密码共享模块将分割后的子密文与明文部分的信息根据资产相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件；

步骤s103：对生成的文件附加用户名取哈希值，为每个用户生成的密钥对进行数字签名；根据预先设定的权限分割，为每个用户分配文件，并将用户的文件用该用户的登陆密码进行可逆的文件加密；使用加密信道将文件传输到用户主机上。

如图2中的导出过程，从资产信息数据库中读取资产信息，然后导入数据库解析模块得到明文部分信息和加密存储的资产密码密文；资产密码密文导入密文拆分模块，根据配置拆分成n份密文；然后通过文件解析模块将明文部分信息和密文合并，然后设置数字签名、文件加密，最后通过加密信道输出n份文件。

本发明解决了导出过程中解决密码安全性的问题，本发明通过数字签名保证文件不被篡改，本发明实现了对导出文件的安全保护，具有较好的实用性。本发明对导出文件进行分发管理，实现了资产信息导出的权限分割。通过数字签名机制，实现了可追溯来源和防篡改。对导出文件可以导入系统中实现资产信息恢复的功能。保障资产信息备份时的安全，并有效地抵抗了内网中可能存在的攻击者，通过权限分割明确运维人员责任，方便管理。

实施例2：

本实施例是在实施例1的基础上进行优化，如图3所示，所述步骤s103中首先通过身份验证系统保证部门管理员和密码管理员的合法身份；在运维审计系统内部，为每个管理密码的用户采用公钥加密体系生成一对公钥私钥密钥对，存储在系统内部，用于对导出文件进行数字签名。所述步骤s103中对生成的文件使用密码管理者登陆运维审计系统的密码进行可逆的文件加密；使用sftp协议将文件发送到密码管理者进行备份的机器上，采用加密信道避免中间人攻击。

通过多次身份验证系统，保证使用资产密码导出的用户是合法用户。实现了较为严格的身份验证，具有较好的认证机制，保证系统安全性。本发明对导出文件进行分发管理，实现了资产信息导出的权限分割。通过身份认证实现用户可信。通过数字签名机制，实现了可追溯来源和防篡改。对导出文件可以导入系统中实现资产信息恢复的功能。保障资产信息备份时的安全，并有效地抵抗了内网中可能存在的攻击者，通过权限分割明确运维人员责任，方便管理。

本实施例的其他部分与实施例1相同，故不再赘述。

实施例3：

本实施例是在实施例1或2的基础上进行优化，如图1所示，所述步骤s103中用户包括部门管理员和若干个密码管理员，部门管理员与一个密码管理员的总的文件或者所有密码管理员的总的文件可以完成密码导入恢复。所述密码导出文件n为5，部门管理员为1个，密码管理员为3个；部门管理员持有2份子密码，密码管理员各持有1份子密码；导入密码时需要3份子密码。

如图1所示，系统管理员设定权限分割，默认设置为每个部门具有一个部门管理员和3个密码管理员，部门管理员持有2份子密码，密码管理员各持有1份子密码；然后系统管理员登陆管理页面，指定部门管理员，设定密码划分方案；密码划分方案存储到运维审计系统内部；根据配置自动进行密码导出备份，手动进行密码导出；最后根据方案对资产密码进行分发处理。

通过系统日志记录导出密码的记录和导入密码的记录。通过记录追溯各用户的行为历史，达到溯源的目的。对数字签名验证错误的文件及管理员进行记录，可以进行进一步的追责检查。系统管理员负责配置设置，但根据权限分割的要求，不具有直接管理密码导入导出的权限。部门管理员具有更多比重的子密码，也相应需要承担更大的责任。

本实施例的其他部分与上述实施例1或2相同，故不再赘述。

实施例4：

本实施例是在实施例2的基础上进行优化，还包括密码导入的步骤：

步骤s201：将持有的文件通过加密信道上传到运维审计系统中；对文件使用用户登陆运维审计系统的密码进行解密，得到文件和数字签名；对数字签名进行验证，如果错误，则结束操作，并进行记录，反馈到运维审计系统中；

步骤s202：将用户的文件使用该用户的登陆密码进行文件解密后，文件解析模块将文件中的记录逐条读出为数据，将导入的文件中对应资产的子密文部分读出，共同传递给密文恢复模块；密文恢复模块取到子密文，通过shamir秘密共享算法，计算并还原得到完整的原始密文，并将该密文传递给数据库解析模块；

步骤s203：数据库解析模块将资产的明文传递信息和密文对应组合成数据库记录，并写入到运维审计系统的资产数据库中，资产密码完成导入恢复过程。

如图2中导入过程所示，将导出的文件通过加密信道输入，然后对文件进行解密并对数字签名验证，若验证成功，则得到解密文件，然后导入文件解析模块得到明文部分信息和资产密码密文，将资产密码密文导入密文恢复模块得到原始密文，然后将原始密文和明文部分信息共同导入数据解析模块，导入运维审计系统实现恢复数据。

通过数字签名机制，在资产密码导入恢复过程中，识别持有资产密码的用户上传的文件是否遭到篡改。保证文件的不可篡改性，识别出来篡改文件的恶意用户，避免内部恶意用户篡改文件导致密码恢复过程失效，具有可溯源特点，除保护外部安全以为同样避免内部恶意用户。

本实施例的其他部分与上述实施例2相同，故不再赘述。

实施例5：

本实施例是在实施例1的基础上进行优化，还包括步骤s101：数据库解析模块读取资产信息数据库中的记录，将非敏感信息以原数据格式进行读取，并读取对应的加密存储的资产密码的密文，并将密文传输到密文分拆模块中，采用shamir秘密共享算法，对密文分割得到n份子密文。所述非敏感信息包括资产名称、资产ip地址、备注信息的明文存储的信息；所述步骤s102中的密码导出文件的格式可以为txt纯文本文件或者excel表格文件或者数据库记录。

本发明解决了导出过程中解决密码安全性的问题，本发明通过数字签名保证文件不被篡改，本发明实现了对导出文件的安全保护，具有较好的实用性。对非敏感信息以明文形式呈现，降低加密占用的资源。生成通用的文件格式，具有较好的可移植性，也具有较好的可读性。对密文的拆分保证单一用户不可得到完整的资产密码。

本实施例的其他部分与上述实施例1相同，故不再赘述。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。