本發(fā)明涉及本發(fā)明涉及一種業(yè)務(wù)服務(wù)器授權(quán)安全訪問方法，具體地說，是一種基于對業(yè)務(wù)服務(wù)器在授權(quán)狀態(tài)下進行安全訪問的方法。

背景技術(shù)：

在互聯(lián)網(wǎng)時代，有效的業(yè)務(wù)服務(wù)器安全管理對企業(yè)良好的運作至關(guān)重要。但是，當業(yè)務(wù)服務(wù)器數(shù)量急劇增長以及管理運維人員數(shù)量加大時，對業(yè)務(wù)服務(wù)器的帳號信息管理、安全訪問等問題成了企業(yè)服務(wù)器信息安全隱患。因此，企業(yè)需要構(gòu)建一套基于授權(quán)的安全訪問方法，以保證業(yè)務(wù)服務(wù)器的信息安全。

堡壘機，即在一個特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，以便集中報警、記錄、分析、處理的一種技術(shù)手段。

其從功能上講，它綜合了核心系統(tǒng)運維和安全審計管控兩大主干功能，從技術(shù)實現(xiàn)上講，通過切斷終端計算機對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，而采用協(xié)議代理的方式，接管了終端計算機對網(wǎng)絡(luò)和服務(wù)器的訪問。形象地說，終端計算機對目標的訪問，均需要經(jīng)過運維安全審計的翻譯。打一個比方，運維安全審計扮演著看門者的工作，所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過。因此運維安全審計能夠攔截非法訪問，和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設(shè)備的非法訪問行為，并對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控，以便事后責任追蹤。

安全審計作為企業(yè)信息安全建設(shè)不可缺少的組成部分，逐漸受到用戶的關(guān)注，是企業(yè)安全體系中的重要環(huán)節(jié)。同時，安全審計是事前預(yù)防、事中預(yù)警的有效風險控制手段，也是事后追溯的可靠證據(jù)來源。

一個用戶使用多個賬號。目前，一個維護人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換，降低工作效率，增加工作復(fù)雜度。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于針對現(xiàn)在方法中存在的不足，提供一種基于對業(yè)務(wù)服務(wù)器在授權(quán)狀態(tài)下進行安全訪問的方法，使業(yè)務(wù)服務(wù)器的帳號密碼進行統(tǒng)一管理、統(tǒng)一授權(quán)、超時自動失效等功能，為企業(yè)提供了一個安全有效的業(yè)務(wù)服務(wù)器授權(quán)訪問方法。

本發(fā)明為實現(xiàn)其目的所采用的技術(shù)方案是：一種業(yè)務(wù)服務(wù)器授權(quán)安全訪問方法，包括以下步驟：

步驟1、堡壘機根據(jù)登錄的終端用戶帳號，向所述的終端用戶呈現(xiàn)該帳號被授權(quán)的業(yè)務(wù)服務(wù)器ID列表；

步驟2、堡壘機根據(jù)所述的終端用戶選擇的業(yè)務(wù)服務(wù)器ID，根據(jù)所述的業(yè)務(wù)服務(wù)器的登錄帳號及密碼自動登錄到業(yè)務(wù)服務(wù)器完成登錄過程。

本發(fā)明中通過堡壘機對務(wù)服務(wù)器的帳號密碼進行統(tǒng)一管理、統(tǒng)一授權(quán)、超時自動失效等功能，為企業(yè)提供了一個安全有效的業(yè)務(wù)服務(wù)器授權(quán)訪問方法。

進一步的，上述的業(yè)務(wù)服務(wù)器授權(quán)安全訪問方法中：所述的步驟1中，具體包括：

步驟101、運維及管理人員通過自己的終端用戶帳號登錄堡壘機；

步驟102、堡壘機上的登錄腳本根據(jù)終端用戶帳號通過HTTPS協(xié)議向授權(quán)系統(tǒng)的授權(quán)查詢API接口獲取該帳號被授權(quán)的業(yè)務(wù)服務(wù)器ID列表；

步驟103、堡壘機將獲得的業(yè)務(wù)服務(wù)器ID列表輸出到運維及管理人員自己的終端屏幕供運維及管理人員選擇。

進一步的，上述的業(yè)務(wù)服務(wù)器授權(quán)安全訪問方法中：所述的終端用戶帳號包含所有業(yè)務(wù)服務(wù)器管理人員的堡壘機的帳號及密碼，由授權(quán)系統(tǒng)進行管理及維護，并對終端用戶一一對應(yīng)可見。

進一步的，上述的業(yè)務(wù)服務(wù)器授權(quán)安全訪問方法中：所述的步驟2具體包括：

步驟201、使用所述的終端用戶帳號的運維及管理人員從自己的終端上選擇所需要訪問的業(yè)務(wù)服務(wù)器ID，并將選擇結(jié)果通知堡壘機；

步驟202、堡壘機上登錄腳本根據(jù)所述的業(yè)務(wù)服務(wù)器的ID，通過HTTPS協(xié)議向授權(quán)系統(tǒng)的授權(quán)查詢API接口獲取所述的業(yè)務(wù)服務(wù)器的IP地址、遠程登錄商品、登錄帳號及密碼信息；

步驟203、登錄腳本根據(jù)獲得的所述的業(yè)務(wù)服務(wù)器的登錄帳號及密碼自動登錄到遠程業(yè)務(wù)服務(wù)器完成登錄過程。

進一步的，上述的業(yè)務(wù)服務(wù)器授權(quán)安全訪問方法中：所述的業(yè)務(wù)服務(wù)器的IP地址、遠程登錄端口、服務(wù)器名稱、服務(wù)器ID信息，由授權(quán)系統(tǒng)進行管理及維護，其中服務(wù)器名稱、服務(wù)器ID對終端用戶可見，IP地址、遠程登錄端口對終端用戶不可見。

進一步的，上述的業(yè)務(wù)服務(wù)器授權(quán)安全訪問方法中：所述的授權(quán)系統(tǒng)對終端用戶在有限時間內(nèi)對業(yè)務(wù)服務(wù)器的登錄訪問進行授權(quán)：關(guān)聯(lián)業(yè)務(wù)服務(wù)器與終端用戶一一對應(yīng)關(guān)系，并添加允許登錄訪問的開始及結(jié)束時間標記來完成訪問授權(quán)。

進一步的，上述的業(yè)務(wù)服務(wù)器授權(quán)安全訪問方法中：所述的授權(quán)系統(tǒng)通過WEB的方式進行信息數(shù)據(jù)管理。

下面結(jié)合具體實施例對本發(fā)明作較為詳細的描述。

附圖說明

圖1是本發(fā)明實施例方法流程圖。

具體實施方式

實施例1，本實施例是一種利用堡壘機登錄業(yè)務(wù)服務(wù)器的安全授權(quán)訪問方法，如圖1所示，運維及管理人員通過自己的終端用戶帳號登錄統(tǒng)一登錄入口也就是堡壘機進行登錄，堡壘機對登錄的運維及管理人員的身份進行確認可，統(tǒng)一分配權(quán)利包括運維及管理人員登錄堡壘機，堡壘機通過運維及管理人員的身份信息分配權(quán)利，運維及管理人員選擇其權(quán)利范圍內(nèi)可登錄的業(yè)務(wù)服務(wù)器，堡壘機登錄兩個主要步驟：

步驟1、堡壘機根據(jù)登錄的終端用戶帳號，向所述的終端用戶呈現(xiàn)該帳號被授權(quán)的業(yè)務(wù)服務(wù)器ID列表。

該步驟具體包括：

步驟101、運維及管理人員通過自己的終端用戶帳號登錄堡壘機。

步驟102、堡壘機上的登錄腳本根據(jù)終端用戶帳號通過HTTPS協(xié)議向授權(quán)系統(tǒng)的授權(quán)查詢API接口獲取該帳號被授權(quán)的業(yè)務(wù)服務(wù)器ID列表。

授權(quán)系統(tǒng)對終端用戶在有限時間內(nèi)對業(yè)務(wù)服務(wù)器的登錄訪問進行授權(quán)：關(guān)聯(lián)業(yè)務(wù)服務(wù)器與終端用戶一一對應(yīng)關(guān)系，并添加允許登錄訪問的開始及結(jié)束時間標記來完成訪問授權(quán)。因此，這里屏蔽掉一些不能由該用戶帳號對應(yīng)的用戶訪問的業(yè)務(wù)服務(wù)器，在不同的時間呈現(xiàn)該帳號被授權(quán)的業(yè)務(wù)服務(wù)器ID列表是不同的。

步驟103、堡壘機將獲得的業(yè)務(wù)服務(wù)器ID列表輸出到運維及管理人員自己的終端屏幕供運維及管理人員選擇。

這里終端用戶使用終端帳號及密碼登錄堡壘機，登錄腳本根據(jù)終端用戶帳號，通過以HTTPS協(xié)議向授權(quán)系統(tǒng)的授權(quán)查詢API接口獲取終端用戶已被授權(quán)的業(yè)務(wù)服務(wù)器列表并輸出到屏幕以供終端用戶選擇。

終端用戶帳號包含所有業(yè)務(wù)服務(wù)器管理人員的堡壘機的帳號及密碼，由授權(quán)系統(tǒng)進行管理及維護，并對終端用戶一一對應(yīng)可見。

步驟2、堡壘機根據(jù)所述的終端用戶選擇的業(yè)務(wù)服務(wù)器ID，根據(jù)所述的業(yè)務(wù)服務(wù)器的登錄帳號及密碼自動登錄到業(yè)務(wù)服務(wù)器完成登錄過程。

該步驟具體包括：

步驟201、使用所述的終端用戶帳號的運維及管理人員從自己的終端上選擇所需要訪問的業(yè)務(wù)服務(wù)器ID，并將選擇結(jié)果通知堡壘機。

步驟202、堡壘機上登錄腳本根據(jù)所述的業(yè)務(wù)服務(wù)器的ID，通過HTTPS協(xié)議向授權(quán)系統(tǒng)的授權(quán)查詢API接口獲取所述的業(yè)務(wù)服務(wù)器的IP地址、遠程登錄商品、登錄帳號及密碼信息。

步驟203、登錄腳本根據(jù)獲得的所述的業(yè)務(wù)服務(wù)器的登錄帳號及密碼自動登錄到遠程業(yè)務(wù)服務(wù)器完成登錄過程。

業(yè)務(wù)服務(wù)器的IP地址、遠程登錄端口、服務(wù)器名稱、服務(wù)器ID信息，由授權(quán)系統(tǒng)進行管理及維護，其中服務(wù)器名稱、服務(wù)器ID對終端用戶可見，IP地址、遠程登錄端口對終端用戶不可見。

這里堡壘機上的登錄腳本根據(jù)終端用戶所選擇的被授權(quán)業(yè)務(wù)服務(wù)器ID，通過HTTPS協(xié)議向授權(quán)系統(tǒng)的授權(quán)查詢API接口獲取此業(yè)務(wù)服務(wù)器的登錄帳號及密碼，并通過登錄腳本進行自動登錄到該業(yè)務(wù)服務(wù)器，在此過程中業(yè)務(wù)服務(wù)器的登錄帳號及密碼對終端用戶不可見。授權(quán)系統(tǒng)通過WEB的方式進行信息數(shù)據(jù)管理。所有通信內(nèi)容均使用DES加密算法進行回密，以保證在通信過程中通信內(nèi)容的傳輸安全。

本實施例的一種業(yè)務(wù)服務(wù)器授權(quán)安全訪問方法。用以解決現(xiàn)有技術(shù)中當遠程業(yè)務(wù)服務(wù)器數(shù)量多，運維管理人員數(shù)量多造成的業(yè)務(wù)服務(wù)器帳號密碼易泄漏、帳號難回收等安全性較低的問題。屬于信息安全領(lǐng)域。具體方法如下：運維及管理人員通過自己的終端用戶帳號登錄統(tǒng)一登錄入口即堡壘機（以下均稱堡壘機），堡壘機上的登錄腳本根據(jù)終端用戶帳號通過HTTPS協(xié)議向授權(quán)系統(tǒng)的授權(quán)查詢API接口獲取該帳號被授權(quán)的業(yè)務(wù)服務(wù)器列表并輸出到屏幕供終端用戶選擇，登錄腳本再次根據(jù)終端用戶所選服務(wù)器的ID，通過HTTPS協(xié)議向授權(quán)系統(tǒng)的授權(quán)查詢API接口獲取該業(yè)務(wù)服務(wù)器的IP地址、遠程登錄商品、登錄帳號及密碼信息，登錄腳本根據(jù)獲得的業(yè)務(wù)服務(wù)器的登錄帳號及密碼自動登錄到遠程業(yè)務(wù)服務(wù)器完成登錄過程。上述方法中HTTPS通信信息均進行DES加密，對終端用戶不可見，保證了業(yè)務(wù)服務(wù)器帳號及密碼的安全；其中終端用戶帳號密碼、業(yè)務(wù)服務(wù)器帳號密碼、業(yè)務(wù)服務(wù)器IP及端口信息等將通過授權(quán)管理系統(tǒng)以WEB的方式進行統(tǒng)一分配、管理，并對終端用戶進行業(yè)務(wù)服務(wù)器的登錄權(quán)限、時限等進行授權(quán)，同時向堡壘機上的登錄腳本提供授權(quán)查詢API接口，提高了業(yè)務(wù)服務(wù)器帳號的安全性。

本實施例中，HTTPS通信信息均進行DES加密，對終端用戶不可見，保證了業(yè)務(wù)服務(wù)器帳號及密碼的安全。

其中終端用戶帳號密碼、業(yè)務(wù)服務(wù)器帳號密碼、業(yè)務(wù)服務(wù)器IP及端口信息等將通過授權(quán)管理系統(tǒng)以WEB的方式進行統(tǒng)一分配、管理，并對終端用戶進行業(yè)務(wù)服務(wù)器的登錄權(quán)限、時限等進行授權(quán)，同時向堡壘機上的登錄腳本提供授權(quán)查詢API接口，提高了業(yè)務(wù)服務(wù)器帳號的安全性。