CN111526014A - 集群化部署应用密码统一管理***和方法 - Google Patents
集群化部署应用密码统一管理***和方法 Download PDFInfo
- Publication number
- CN111526014A CN111526014A CN202010313694.XA CN202010313694A CN111526014A CN 111526014 A CN111526014 A CN 111526014A CN 202010313694 A CN202010313694 A CN 202010313694A CN 111526014 A CN111526014 A CN 111526014A
- Authority
- CN
- China
- Prior art keywords
- password
- host
- application
- file
- storage interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 12
- 230000008569 process Effects 0.000 claims abstract description 6
- 238000007726 management method Methods 0.000 claims description 35
- 230000004048 modification Effects 0.000 abstract description 10
- 238000012986 modification Methods 0.000 abstract description 10
- 230000008878 coupling Effects 0.000 abstract description 5
- 238000010168 coupling process Methods 0.000 abstract description 5
- 238000005859 coupling reaction Methods 0.000 abstract description 5
- 238000013478 data encryption standard Methods 0.000 description 9
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种集群化部署应用密码统一管理***和方法,其中在管理***中,在集群化的应用主机之外建立有独立的密码文件存放接口主机;密码文件存放接口主机接收经过统一修改后的密码文件,并对密码文件进行DES加密;将DES加密过程中生成的密文文件分发至集群化的应用主机,实现对应用主机应用密码的统一管理部署。通过本发明的技术方案,实现了密码的统一修改、统一部署,提升了***安全性,降低了密码泄露风险,提升了***密码管理的灵活性,降低了和应用的耦合以及误操作风险。
Description
技术领域
本发明涉及计算机管理技术领域,尤其涉及一种集群化部署应用密码统一管理***和一种集群化部署应用密码统一管理方法。
背景技术
目前,对于大多数的运营商业务支撑***,基于不同的业务部署方式,应用对于数据库或者主机的访问则是必不可少的。在访问主机或者数据库的时候应用会根据存放在本机不同位置的主机或者数据库密码的明文信息通过sqlplus或者FTP、SFTP等方式访问,从而实现应用获取数据库数据信息或者主机文件信息等的目的。
但是,现有的对集群化的应用主机管理过程中,集群里面应用访问的主机或者数据库明文存储安全系数低,集群里面应用访问的主机或者数据库统一修改密码困难,主机或者数据库密码和应用存放在同一账号下容易误操作导致应用无法正常运行,主机或者数据库密码存放位置不统一不利于日后维护。
发明内容
针对上述问题中的至少之一,本发明提供了一种集群化部署应用密码统一管理***和方法,通过在集群化的应用主机节点之外增加单独的密码文件存放接口主机,利用密码文件存放接口主机实现密码的接收、加密、密文文件生成以及密文文件的分发,集群中的应用主机接收密文文件,进而通过公共的密码程序读取密文文件实现解密,从而完成密码的统一修改、统一部署,提升了***安全性,降低了密码泄露风险,提升了***密码管理的灵活性,降低了和应用的耦合以及误操作风险,解决了集群化部署中应用主机和数据库数量较多、密码明文存放安全系数低、密码分开管理难度大、密码批量修改困难等问题。
为实现上述目的,本发明提供了一种集群化部署应用密码统一管理***,在集群化的应用主机之外建立有独立的密码文件存放接口主机;所述密码文件存放接口主机接收经过统一修改后的密码文件,并对所述密码文件进行DES加密;将DES加密过程中生成的密文文件分发至集群化的所述应用主机,实现对所述应用主机应用密码的统一管理部署。
在上述技术方案中,优选地,所述密码文件存放接口主机与安全门户通过接口相连,所述安全门户中修改密码所生成的密码文件推送至所述密码文件存放接口主机。
在上述技术方案中,优选地,所述密码文件经过AES加密后推送至所述密码文件存放接口主机。
在上述技术方案中,优选地,所述应用主机在停止业务后由所述安全门户进行修改密码。
在上述技术方案中,优选地,所述密码文件存放接口主机通过FTP将所述密文文件分发至所述应用主机。
本发明还提出一种集群化部署应用密码统一管理方法,应用于如上述技术方案中任一项所述的集群化部署应用密码统一管理***,包括:将统一修改后的密码文件发送至独立于集群化的应用主机之外的密码文件存放接口主机;所述密码文件存放接口主机对所述密码文件进行DES加密,并生成密文文件;将所述密文文件分发至所述应用主机。
在上述技术方案中,优选地,所述密码文件存放接口主机与安全门户通过接口相连,通过所述安全门户修改密码所形成的的密码文件推送至所述密码文件存放接口主机。
在上述技术方案中,优选地,所述密码文件经过AES加密后推送至所述密码文件存放接口主机。
在上述技术方案中,优选地,所述应用主机在停止业务后由所述安全门户进行修改密码。
在上述技术方案中,优选地,所述密码文件存放接口主机通过FTP将所述密文文件分发至所述应用主机。
与现有技术相比,本发明的有益效果为:通过在集群化的应用主机节点之外增加单独的密码文件存放接口主机,利用密码文件存放接口主机实现密码的接收、加密、密文文件生成以及密文文件的分发,集群中的应用主机接收密文文件,进而通过公共的密码程序读取密文文件实现解密,从而完成密码的统一修改、统一部署,提升了***安全性,降低了密码泄露风险,提升了***密码管理的灵活性,降低了和应用的耦合以及误操作风险,解决了集群化部署中应用主机和数据库数量较多、密码明文存放安全系数低、密码分开管理难度大、密码批量修改困难等问题。
附图说明
图1为本发明一种实施例公开的集群化部署应用密码统一管理***的工作原理流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
如图1所示,根据本发明提供的一种集群化部署应用密码统一管理***,在集群化的应用主机之外建立有独立的密码文件存放接口主机;密码文件存放接口主机接收经过统一修改后的密码文件,并对密码文件进行DES加密;将DES加密过程中生成的密文文件分发至集群化的应用主机,实现对应用主机应用密码的统一管理部署。
在该实施例中,通过在集群化的应用主机节点之外增加单独的密码文件存放接口主机,利用密码文件存放接口主机实现密码的接收、加密、密文文件生成以及密文文件的分发,集群中的应用主机接收密文文件,存放到指定用户、指定目录(权限设置为最高级别,应用程序仅具有读文件权限),进而通过公共的密码程序读取密文文件实现解密,从而完成密码的统一修改、统一部署。由于密码对应用侧为加密存储方式,提升了***安全性,降低了密码泄露风险,提升了***密码管理的灵活性,降低了和应用的耦合以及误操作风险,解决了集群化部署中应用主机和数据库数量较多、密码明文存放安全系数低、密码分开管理难度大、密码批量修改困难等问题。
其中,密码文件存放接口主机主要将应用程序用到的主机密码或者数据库密码使用DES加密算法存储到密码文件当中(密码文件由密码标签、数据库实例名/主机名、加密用户、加密密码)。密码管理的目的主机,即应用主机主要接收密码文件存放接口主机推送的密文文件,应用主机中的应用程序通过公共的密码程序读取需要用到的主机或者数据库密码进行使用,DES加密算法为现有的算法,在此不再赘述。
具体地,在实施过程中,在密码文件存放接口主机和应用主机创建单独的密码管理用户,该密码管理用户存放加密的密码文件供应用侧程序使用。密码文件存放接口主机的密码管理用户账号具备推送加密的密码文件至应用主机对应用户和目录的权限,优选通过FTP方式实现推送分发。
进一步地,主机密码的文件格式和数据库密码的文件格式可采用下表1和表2所示。
表1主机密码文件格式
H | 标签名 | HOSTIP | HOSTUSER | HOSTPASSWD |
1 | HostName_user | xx.xx.xx.xx | crmappa | fB!wSY0i_xyz |
文件字段说明:
H//主机序号标识
标签名//应用按照业务要求生成标签给安全厂商
HOSTIP//主机IP地址
HOSTUSER//用户名
HOSTPASSWD//用户密码
表2数据库密码文件格式
H | 标签名 | DBSERV | DBUSER | DBPASSWD |
1 | ServName_user | Crmadb1 | dbrun | fB!wSY0i_xyz |
文件字段说明:
D//排序编号
标签名//按照业务要求生成标签给安全厂商
DBSERV//数据库实例名
DBUSER//数据库用户名
DBPASSWD//用户密码
在上述实施例中,优选地,密码文件存放接口主机与安全门户通过接口相连,安全门户中修改密码所生成的密码文件推送至密码文件存放接口主机。
在上述实施例中,优选地,密码文件经过AES加密后推送至密码文件存放接口主机,AES加密算法为现有的算法,在此不再赘述。
在上述实施例中,优选地,应用主机在停止业务后由安全门户进行修改密码。
在上述实施例中,优选地,密码文件存放接口主机通过FTP将密文文件分发至应用主机,FTP分发算法为现有的算法,在此不再赘述。
本发明还提出一种集群化部署应用密码统一管理方法,应用于如上述实施例中任一项的集群化部署应用密码统一管理***,包括:将统一修改后的密码文件发送至独立于集群化的应用主机之外的密码文件存放接口主机;密码文件存放接口主机对密码文件进行DES加密,并生成密文文件;将密文文件分发至应用主机。
在该实施例中,通过在集群化的应用主机节点之外增加单独的密码文件存放接口主机,利用密码文件存放接口主机实现密码的接收、加密、密文文件生成以及密文文件的分发,集群中的应用主机接收密文文件,存放到指定用户、指定目录(权限设置为最高级别,应用程序仅具有读文件权限),进而通过公共的密码程序读取密文文件实现解密,从而完成密码的统一修改、统一部署。由于密码对应用侧为加密存储方式,提升了***安全性,降低了密码泄露风险,提升了***密码管理的灵活性,降低了和应用的耦合以及误操作风险,解决了集群化部署中应用主机和数据库数量较多、密码明文存放安全系数低、密码分开管理难度大、密码批量修改困难等问题。
在上述实施例中,优选地,密码文件存放接口主机与安全门户通过接口相连,通过安全门户修改密码所形成的的密码文件推送至密码文件存放接口主机。
在上述实施例中,优选地,密码文件经过AES加密后推送至密码文件存放接口主机。
在上述实施例中,优选地,应用主机在停止业务后由安全门户进行修改密码。
在上述实施例中,优选地,密码文件存放接口主机通过FTP将密文文件分发至应用主机。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种集群化部署应用密码统一管理***,其特征在于:
在集群化的应用主机之外建立有独立的密码文件存放接口主机;
所述密码文件存放接口主机接收经过统一修改后的密码文件,并对所述密码文件进行DES加密;
将DES加密过程中生成的密文文件分发至集群化的所述应用主机,实现对所述应用主机应用密码的统一管理部署。
2.根据权利要求1所述的集群化部署应用密码统一管理***,其特征在于,所述密码文件存放接口主机与安全门户通过接口相连,所述安全门户中修改密码所生成的密码文件推送至所述密码文件存放接口主机。
3.根据权利要求2所述的集群化部署应用密码统一管理***,其特征在于,所述密码文件经过AES加密后推送至所述密码文件存放接口主机。
4.根据权利要求2所述的集群化部署应用密码统一管理***,其特征在于,所述应用主机在停止业务后由所述安全门户进行修改密码。
5.根据权利要求1所述的集群化部署应用密码统一管理***,其特征在于,所述密码文件存放接口主机通过FTP将所述密文文件分发至所述应用主机。
6.一种集群化部署应用密码统一管理方法,应用于如权利要求1至5中任一项所述的集群化部署应用密码统一管理***,其特征在于,包括:
将统一修改后的密码文件发送至独立于集群化的应用主机之外的密码文件存放接口主机;
所述密码文件存放接口主机对所述密码文件进行DES加密,并生成密文文件;
将所述密文文件分发至所述应用主机。
7.根据权利要求6所述的集群化部署应用密码统一管理方法,其特征在于,所述密码文件存放接口主机与安全门户通过接口相连,通过所述安全门户修改密码所形成的的密码文件推送至所述密码文件存放接口主机。
8.根据权利要求7所述的集群化部署应用密码统一管理方法,其特征在于,所述密码文件经过AES加密后推送至所述密码文件存放接口主机。
9.根据权利要求7所述的集群化部署应用密码统一管理方法,其特征在于,所述应用主机在停止业务后由所述安全门户进行修改密码。
10.根据权利要求6所述的集群化部署应用密码统一管理方法,其特征在于,所述密码文件存放接口主机通过FTP将所述密文文件分发至所述应用主机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010313694.XA CN111526014A (zh) | 2020-04-20 | 2020-04-20 | 集群化部署应用密码统一管理***和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010313694.XA CN111526014A (zh) | 2020-04-20 | 2020-04-20 | 集群化部署应用密码统一管理***和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111526014A true CN111526014A (zh) | 2020-08-11 |
Family
ID=71904046
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010313694.XA Pending CN111526014A (zh) | 2020-04-20 | 2020-04-20 | 集群化部署应用密码统一管理***和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111526014A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112861116A (zh) * | 2021-02-03 | 2021-05-28 | 浪潮云信息技术股份公司 | 一种基于sidecar模式实现密码动态加载的方法及工具 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104717195A (zh) * | 2013-12-17 | 2015-06-17 | ***通信集团福建有限公司 | 业务***密码管理方法和装置 |
-
2020
- 2020-04-20 CN CN202010313694.XA patent/CN111526014A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104717195A (zh) * | 2013-12-17 | 2015-06-17 | ***通信集团福建有限公司 | 业务***密码管理方法和装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112861116A (zh) * | 2021-02-03 | 2021-05-28 | 浪潮云信息技术股份公司 | 一种基于sidecar模式实现密码动态加载的方法及工具 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100961737B1 (ko) | 태그를 붙인 물품의 정보에 액세스하기 위한 방법, 로컬서버, ons 프록시, 프로그램, 태그의 제작 방법, 태그라이터를 갖는 장치, 태그, 태그 라이터를 갖는 장치의제어 프로그램 | |
US8693690B2 (en) | Organizing an extensible table for storing cryptographic objects | |
KR101371608B1 (ko) | Dbms 및 데이터베이스에서 암호화 방법 | |
US8429712B2 (en) | Centralized user authentication system apparatus and method | |
CN103262494A (zh) | 对基于白名单的在线安全设备供应框架的跨域身份管理 | |
CN101667240A (zh) | 智能卡及其写卡方法、设备和*** | |
US10771261B1 (en) | Extensible unified multi-service certificate and certificate revocation list management | |
CN109347839B (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
CN102034036A (zh) | 权限管理的方法及设备 | |
CN110414245B (zh) | 用于在存储***中管理加密密钥的方法、装置和计算机程序产品 | |
CN113098876B (zh) | 一种基于区块链与智能合约的产品数据上链方法和介质 | |
CN112583809B (zh) | 非浸入式多种加密算法的数据加密解密的方法 | |
CN110162988A (zh) | 一种基于业务***的敏感数据加密方法 | |
CN110889121A (zh) | 防止数据泄露的方法、服务器及存储介质 | |
US6968373B1 (en) | System, computer program, and method for network resource inventory | |
CN114372242A (zh) | 密文数据的处理方法、权限管理服务器和解密服务器 | |
CN111526014A (zh) | 集群化部署应用密码统一管理***和方法 | |
CN113127927B (zh) | 一种许可链数据共享及监管的属性重构加密方法及*** | |
US8995665B1 (en) | Role based encryption without key management system | |
CN103036854B (zh) | 业务订购方法及***、业务权限认证方法、终端设备 | |
CN110011807B (zh) | 一种关键信息维护方法及*** | |
US20230144072A1 (en) | Data storage server and client devices for securely storing data | |
CN112199431B (zh) | 一种基于元数据进行数据共享的方法及数据共享*** | |
JP2005286402A (ja) | 暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法 | |
CN107332840B (zh) | 权限智能管理***及其方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200811 |