一种基于秘钥的远端可信检验方法、系统及存储介质与流程

1.本发明属于远端可信检验方法技术领域，具体涉及一种基于秘钥的远端可信检验方法、系统及存储介质。


背景技术：

2.随着云计算应用的发展，信息化安全愈发重要。当服务器的系统被篡改后容易受到攻击，存在安全风险。现有技术中，为了防止服务器的系统被篡改，服务器通过设定不同的用户，分配不同的等级权限。
3.然而，通过用户名和密码进行分配权限，容易被破解并获取机密信息；尤其是root用户等高权限用户，其可操作范围非常高，一旦被破解或泄露，会对整个系统安全性带来非常大的风险。此为现有技术中存在的技术问题。
4.有鉴于此，本发明给出一种基于秘钥的远端可信检验方法、系统及存储介质的技术方案；以解决现有技术中存在的缺陷和问题。


技术实现要素：

5.针对现有技术中存在的通过用户名和密码进行分配权限，容易被破解并获取机密信息的缺陷，使得对系统的安全性带来非常大的风险的问题；本发明提供一种基于秘钥的远端可信检验方法、系统及存储介质，以解决上述技术问题。
6.为实现上述目的，本发明给出以下技术方案：
7.第一方面，本发明提供一种基于秘钥的远端可信检验方法，包括以下步骤：
8.s1：定义不同等级用户的秘钥；
9.s2：选择秘钥存储方式，在受控服务器管理界面输入登录信息，并上传对应秘钥给受控服务器；
10.s3：受控服务器接收秘钥，并对秘钥解析；
11.s4：权限对比检查，得出登录结果。
12.作为优选，所述步骤s1中：定义超级用户以及普通用户权限。
13.作为优选，所述步骤s2中，选择秘钥存储方式，如果为控制机存储秘钥，则每次登陆需要用户上传秘钥到受控服务器；
14.如果为移动外设存储秘钥，则浏览器插接会去读取设备中存储的秘钥文件，并把登录信息、秘钥传到受控服务器。
15.该步骤的效果是：提供秘钥不同存储方式下，受控服务器接收秘钥的不同方式。
16.作为优选，所述步骤s2中，登录信息包括用户名和密码。
17.作为优选，所述步骤s3中，所述的受控服务器设置服务器管理端口，所述的服务器管理端口用于接收登录信息以及秘钥，将接收的登录信息以及秘钥直接传送给受控服务器的底板管理控制器，或者通过智能网卡传送给受控服务器的底板管理控制器；底板管理控制器验证用户名和密码的匹配性。
18.作为优选，所述步骤s3中，所述底板管理控制器内设置有秘钥解析模块，所述的秘钥解析模块对上传秘钥进行解析，解析出其秘钥定义的权限，并提取出秘钥定义的权限。
19.该步骤的效果是：能够对上传的秘钥解析并提取出秘钥定义的权限。
20.作为优选，所述步骤s4中，首先验证登录信息是否正确，如果登录信息不正确，则登陆失败，如果登录信息正确，则检查用户名对应已经分配的权限与提取的秘钥权限是否一致，如果权限一致，则登陆成功，如果权限不一致，则登陆失败。
21.第二方面，本发明提供一种基于秘钥的远端可信检验系统，包括：
22.定义用户秘钥模块：定义超级用户以及普通用户权限；
23.上传秘钥模块：首先选择秘钥存储方式，在受控服务器管理界面输入登录信息，并上传对应秘钥给受控服务器；
24.秘钥解析模块：受控服务器的底板管理控制器，对上传秘钥进行解析，解析出其秘钥定义的权限，并提取出秘钥定义的权限；
25.权限对比检查模块：首先验证登录信息是否正确，如果登录信息不正确，则登陆失败，如果登录信息正确，则检查用户名对应已经分配的权限与提取的秘钥权限是否一致，如果权限一致，则登陆成功，如果权限不一致，则登陆失败。
26.作为优选，上传秘钥模块中，选择秘钥存储方式，如果为控制机存储秘钥，则每次登陆需要用户上传秘钥到受控服务器；
27.如果为移动外设存储秘钥，则浏览器插接会去读取设备中存储的秘钥文件，并把登录信息、秘钥传到受控服务器。
28.作为优选，上传秘钥模块中，登录信息包括用户名和密码。
29.作为优选，秘钥解析模块中，所述的受控服务器设置服务器管理端口，所述的服务器管理端口用于接收登录信息以及秘钥，将接收的登录信息以及秘钥直接传送给受控服务器的底板管理控制器，或者通过智能网卡传送给受控服务器的底板管理控制器；底板管理控制器验证用户名和密码的匹配性。
30.第三方面，本发明提供一种计算机存储介质，所述计算机存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述方法。
31.本发明的有益效果在于，在超级用户添加其他等级用户和权限的基础上，增加了秘钥管控，秘钥可以是文件形式，直接在登录页面上传，也可以是外插硬件的形式，被浏览器插件读取。用户名、密码、秘钥在受控服务器端检查通过后，使得用户成功登录，并进行相关权限内的操作。减少只依靠用户名和密码即可获取对应权限所带来的风险，提高系统安全等级。
32.此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。
附图说明
33.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
34.图1是本发明实施例1提供的一种基于秘钥的远端可行检验方法的流程图。
35.图2是本发明实施例4提供的一种基于秘钥的远端可行检验系统的原理框图。
36.其中，1
‑
定义用户秘钥模块，2
‑
上传秘钥模块，3
‑
秘钥解析模块，4
‑
权限对比检查模块。
具体实施方式
37.为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
38.实施例1：
39.如图1所示，本实施例提供一种基于秘钥的远端可信检验方法，包括以下步骤：
40.s1：定义不同等级用户的秘钥；
41.所述步骤s1中：定义超级用户以及普通用户权限。
42.s2：选择秘钥存储方式，在受控服务器管理界面输入用户名和密码，并上传对应秘钥给受控服务器；
43.所述步骤s2中，选择秘钥存储方式，如果为控制机存储秘钥，则每次登陆需要用户上传秘钥到受控服务器；
44.如果为移动外设存储秘钥，则浏览器插接会去读取设备中存储的秘钥文件，并把登录信息、秘钥传到受控服务器。
45.该步骤的效果是：提供秘钥不同存储方式下，受控服务器接收秘钥的不同方式。
46.s3：受控服务器接收秘钥，并对秘钥解析；
47.所述步骤s3中，所述的受控服务器设置服务器管理端口，所述的服务器管理端口用于接收登录信息以及秘钥，将接收的登录信息以及秘钥直接传送给受控服务器的底板管理控制器，或者通过智能网卡传送给受控服务器的底板管理控制器。底板管理控制器验证用户名和密码的匹配性。所述底板管理控制器内设置有秘钥解析模块，所述的秘钥解析模块对上传秘钥进行解析，解析出其秘钥定义的权限，并提取出秘钥定义的权限。
48.该步骤的效果是：能够对上传的秘钥通过服务器管理端口进行接收，然后通过秘钥解析模块对上传秘钥解析，并提取出秘钥定义的权限。
49.s4：权限对比检查，得出登录结果；
50.所述步骤s4中，首先验证登录信息是否正确，如果登录信息不正确，则登陆失败，如果登录信息正确，则检查用户名对应已经分配的权限与提取的秘钥权限是否一致，如果权限一致，则登陆成功，如果权限不一致，则登陆失败。
51.实施例2：
52.本实施例提供一种基于秘钥的远端可信检验方法，包括以下步骤：
53.s1：定义不同等级用户的秘钥；
54.所述步骤s1中，超级用户秘钥key0，a级用户秘钥key1，b级用户秘钥key2，c级用户秘钥key3；
55.秘钥key0定义权限为：用户分配、kvm访问权限、故障日志访问权限、存储设备管理权限、pcie卡管理权限；
56.秘钥key1定义权限为：kvm访问权限、故障日志访问权限、存储设备管理权限、pcie卡管理权限；
57.秘钥key2定义权限为：kvm访问权限、故障日志访问权限；
58.秘钥key3定义权限为：kvm访问权限。
59.s2：控制机存储秘钥方式中，在受控服务器管理界面输入登录信息，并上传对应秘钥给受控服务器；
60.所述步骤s2中，控制计算机远程登录受控服务器管理界面，输入root用户名和密码及上传对应秘钥key0。
61.s3：受控服务器接收秘钥，并对秘钥解析；
62.所述步骤s3中，用户名、密码、秘钥传输给受控服务器的底板管理控制器，底板管理控制器检查用户名和密码匹配性，并通过秘钥解析模块解析上传的秘钥，从秘钥解析用户权限。
63.s4：权限对比检查，得出登录结果；
64.所述步骤s4中，将用户名已经分配的权限和秘钥解析出的权限进行检查，如果检查一致，则登录成功，超级用户可以进行相关权限内的操作。
65.在本实施例中，用户管理界面，超级用户配置a级用户，设置用户名为adminl，密码为111111，并分配了查看kvm访问权限、故障日志访问权限、存储设备管理权限、pcie卡管理权限。
66.a级用户admin1登录受控服务器管理界面，输入用户名：admin1，密码：111111，并上传key0，用户名、密码、秘钥会在底板管理控制器中解析和检查，由于用户为a级用户，秘钥为key0，检查后分配给用户admin1权限与秘钥中定义权限不符，因此禁止登陆。
67.a级用户admin1登录受控服务器管理界面，输入用户名：admin1，密码：111111，并上传key1，用户名、密码、秘钥会在底板管理控制器中解析和检查，由于秘钥中定义的权限和admin1用户设定的权限是一致的，可以登录管理界面并进行权限内的操作。
68.实施例3：
69.本实施例提供一种基于秘钥的远端可信检验方法，包括以下步骤：
70.s1：定义不同等级用户的秘钥；
71.所述步骤s1中，秘钥以部件的形式提供给操作人员，所述部件以usb接口为主，部件名字设为u_key；
72.其中秘钥文件存在u_key中，该部件权限为只读，没有删除、复制等操作权限；类推key0的u_key为u_key0，key1的u_key为u_key1，key2的u_key为u_key2，key3的u_key为u_key3；
73.u_key0，定义权限为：用户分配、kvm访问权限、故障日志访问权限、存储设备管理权限、pcie卡管理权限等等；
74.u_key1，定义权限为：kvm访问权限、故障日志访问权限、存储设备管理权限、pcie卡管理权限；
75.u_key2，定义权限为：kvm访问权限、故障日志访问权限；
76.u_key3，定义权限为：kvm访问权限。
77.s2：移动外设存储秘钥方式中，在受控服务器管理界面输入登录信息，并上传对应
秘钥给受控服务器；
78.所述步骤s2中，操作人员登录受控服务器管理界面，输入用户名、密码，进行登录，然后浏览器相关插件扫描是否有u_key插入，如果有u_key插入，则会读取其中存取的秘钥，并把用户名、密码、秘钥传给受控服务器。
79.s3：受控服务器接收秘钥，并对秘钥解析；
80.所述步骤s3中，受控服务器的底板管理控制器对控制计算机传来的用户名、密码、秘钥进行解密和检查。
81.s4：权限对比检查，得出登录结果。
82.所述步骤s4中，如果用户名权限和秘钥解析出的权限相匹配，则允许登录，如果不匹配，则禁止登录。
83.实施例4：
84.如图2所示，本实施例提供一种基于秘钥的远端可信检验系统，包括：
85.定义用户秘钥模块1：定义超级用户以及普通用户权限。
86.上传秘钥模块2：首先选择秘钥存储方式，在受控服务器管理界面输入登录信息，并上传对应秘钥给受控服务器；
87.选择秘钥存储方式，如果为控制机存储秘钥，则每次登陆需要用户上传秘钥到受控服务器；
88.如果为移动外设存储秘钥，则浏览器插接会去读取设备中存储的秘钥文件，并把登录信息、秘钥传到受控服务器。
89.秘钥解析模块3：受控服务器的底板管理控制器，对上传秘钥进行解析，解析出其秘钥定义的权限，并提取出秘钥定义的权限；
90.所述的受控服务器设置服务器管理端口，所述的服务器管理端口用于接收登录信息以及秘钥，将接收的登录信息以及秘钥直接传送给受控服务器的底板管理控制器，或者通过智能网卡传送给受控服务器的底板管理控制器；底板管理控制器验证用户名和密码的匹配性。
91.权限对比检查模块4：首先验证登录信息是否正确，如果登录信息不正确，则登陆失败，如果登录信息正确，则检查用户名对应已经分配的权限与提取的秘钥权限是否一致，如果权限一致，则登陆成功，如果权限不一致，则登陆失败。
92.实施例5：
93.本发明提供一种计算机存储介质，所述计算机存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述方法。
94.尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述，但本发明并不限于此。在不脱离本发明的精神和实质的前提下，本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换，而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。