業(yè)務(wù)系統(tǒng)密碼管理方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域中密碼安全技術(shù)領(lǐng)域���,具體地��,涉及業(yè)務(wù)系統(tǒng)密碼管理方法和裝置����。
【背景技術(shù)】
[0002]隨著信息技術(shù)的發(fā)展��,在給人們帶來(lái)高效���、信息共享的同時(shí)���,也給信息安全帶來(lái)很多新的問(wèn)題。密碼在信息安全保障中占據(jù)著很重要的位置����,業(yè)務(wù)系統(tǒng)的密碼管理尤為重要。在移動(dòng)業(yè)務(wù)支撐系統(tǒng)中����,由于用戶的增長(zhǎng)�,業(yè)務(wù)的不斷發(fā)展��,一般存在有多個(gè)數(shù)據(jù)庫(kù)和大量的應(yīng)用服務(wù)器�����,因此它們之間的交互訪問(wèn)是必不可少的�。為了保障業(yè)務(wù)系統(tǒng)的安全����,操作系統(tǒng)和數(shù)據(jù)庫(kù)的密碼管理和設(shè)置是不可或缺的。
[0003]現(xiàn)有的業(yè)務(wù)系統(tǒng)密碼管理方式為傳統(tǒng)的本地管理��,即系統(tǒng)中所有設(shè)備都在本地管理其密碼����,應(yīng)用程序通過(guò)讀取本地的配置文件,或者通過(guò)訪問(wèn)數(shù)據(jù)庫(kù)中保存的密碼來(lái)獲取相應(yīng)主機(jī)的操作系統(tǒng)密碼�,而密碼在配置文件或者代碼中以明文的形式保存。
[0004]同時(shí)密碼的變更也是在本地進(jìn)行�����,如果某個(gè)操作系統(tǒng)或者數(shù)據(jù)庫(kù)需要變更時(shí),所有需要訪問(wèn)的應(yīng)用程序都需要做相應(yīng)的配置變更���。如果涉及的應(yīng)用程序較多�����,工作量大��、繁瑣�,而且容易出錯(cuò)遺漏���。
[0005]現(xiàn)有業(yè)務(wù)支撐系統(tǒng)中的密碼管理中至少存在如下問(wèn)題:
[0006]1.安全性欠佳��,目前大部分的后臺(tái)進(jìn)程使用明文配置來(lái)實(shí)現(xiàn)密碼管理����,這使得數(shù)據(jù)庫(kù)的密碼和主機(jī)密碼很容易被泄露��。而且進(jìn)程分布在不同的主機(jī)����,有可能進(jìn)入一臺(tái)主機(jī)后通過(guò)查看程序的配置就可以在整個(gè)系統(tǒng)暢通無(wú)阻,導(dǎo)致整個(gè)系統(tǒng)的崩潰。
[0007]2.管理較復(fù)雜���,應(yīng)用進(jìn)程分布在不同主機(jī)上��,導(dǎo)致操作系統(tǒng)和數(shù)據(jù)庫(kù)的密碼變更時(shí)�����,需要在不同的主機(jī)上進(jìn)行密碼配置的變更���,繁瑣而且容易遺漏����,導(dǎo)致用戶不敢變更用戶密碼,這使得系統(tǒng)長(zhǎng)時(shí)間使用一個(gè)密碼�����,給系統(tǒng)帶來(lái)很大的安全隱患����。
【發(fā)明內(nèi)容】
[0008]本發(fā)明是為了克服現(xiàn)有技術(shù)中業(yè)務(wù)系統(tǒng)的密碼管理不安全的缺陷,根據(jù)本發(fā)明的一個(gè)方面�����,提出一種業(yè)務(wù)系統(tǒng)密碼管理方法。
[0009]根據(jù)本發(fā)明實(shí)施例的業(yè)務(wù)系統(tǒng)密碼管理方法�,包括:
[0010]調(diào)用業(yè)務(wù)系統(tǒng)中的用戶密碼明文數(shù)據(jù),采用密碼文件頭中的第一密鑰對(duì)用戶密碼明文數(shù)據(jù)進(jìn)行加密生成密碼文件體��;
[0011]采用核心密鑰對(duì)密碼文件頭進(jìn)行加密����,并將加密后的密碼文件頭和密碼文件體寫(xiě)入同一文件生成加密合并文件;
[0012]采用第二密鑰對(duì)加密合并文件進(jìn)行加密��,生成密碼文件保存�。
[0013]本發(fā)明是為了克服現(xiàn)有技術(shù)中業(yè)務(wù)系統(tǒng)的密碼管理不安全的缺陷,根據(jù)本發(fā)明的另一個(gè)方面�,提出一種業(yè)務(wù)系統(tǒng)密碼管理方法。
[0014]根據(jù)本發(fā)明實(shí)施例的業(yè)務(wù)系統(tǒng)密碼管理方法�����,包括:
[0015]調(diào)用業(yè)務(wù)系統(tǒng)中的密碼文件��,采用第二密鑰對(duì)密碼文件進(jìn)行解密生成密碼文件頭和密碼文件體����;
[0016]采用核心密鑰對(duì)密碼文件頭進(jìn)行解密����,提取解密后的密碼文件頭中存儲(chǔ)的第一密鑰�;
[0017]采用第一密鑰對(duì)所述密碼文件體進(jìn)行解密,生成用戶密碼明文數(shù)據(jù)�。
[0018]本發(fā)明是為了克服現(xiàn)有技術(shù)中業(yè)務(wù)系統(tǒng)的密碼管理不安全的缺陷,根據(jù)本發(fā)明的一個(gè)方面����,提出一種業(yè)務(wù)系統(tǒng)密碼管理裝置。
[0019]根據(jù)本發(fā)明實(shí)施例的業(yè)務(wù)系統(tǒng)密碼管理裝置���,包括:
[0020]調(diào)用加密模塊�,用于調(diào)用業(yè)務(wù)系統(tǒng)中的用戶密碼明文數(shù)據(jù)�,采用密碼文件頭中的第一密鑰對(duì)用戶密碼明文數(shù)據(jù)進(jìn)行加密生成密碼文件體���;
[0021]加密合并模塊��,用于采用核心密鑰對(duì)所述密碼文件頭進(jìn)行加密����,并將加密后的密碼文件頭和密碼文件體寫(xiě)入同一文件生成加密合并文件�;
[0022]加密生成模塊,用于采用第二密鑰對(duì)所述加密合并文件進(jìn)行加密,生成密碼文件保存�。
[0023]本發(fā)明是為了克服現(xiàn)有技術(shù)中業(yè)務(wù)系統(tǒng)的密碼管理不安全的缺陷,根據(jù)本發(fā)明的一個(gè)方面���,提出一種業(yè)務(wù)系統(tǒng)密碼管理裝置�����。
[0024]根據(jù)本發(fā)明實(shí)施例的業(yè)務(wù)系統(tǒng)密碼管理裝置�,包括:
[0025]調(diào)用解密模塊�,用于調(diào)用業(yè)務(wù)系統(tǒng)中的密碼文件,采用第二密鑰對(duì)密碼文件進(jìn)行解密生成密碼文件頭和密碼文件體�;
[0026]解密提取模塊,用于采用核心密鑰對(duì)密碼文件頭進(jìn)行解密�����,提取解密后的密碼文件頭中存儲(chǔ)的第一密鑰��;
[0027]解密生成模塊��,用于采用第一密鑰對(duì)所述密碼文件體進(jìn)行解密�,生成用戶密碼明文數(shù)據(jù)。
[0028]本發(fā)明的業(yè)務(wù)系統(tǒng)密碼管理方法和裝置��,采用API訪問(wèn)本地密碼文件的方式,應(yīng)用部署簡(jiǎn)單方便�����,其中核心密鑰保存在API動(dòng)態(tài)庫(kù)中���,可變密碼保存在密碼文件的密碼文體頭中��,使得密碼的使用過(guò)程可以脫離密碼系統(tǒng)獨(dú)立存在���,給應(yīng)用快速部署提供了方便,同時(shí)采用3層加密的方式對(duì)密碼文件進(jìn)行加密�,最大限度的保證了密碼的安全。
[0029]本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書(shū)中闡述��,并且��,部分地從說(shuō)明書(shū)中變得顯而易見(jiàn)��,或者通過(guò)實(shí)施本發(fā)明而了解�。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在所寫(xiě)的說(shuō)明書(shū)����、權(quán)利要求書(shū)���、以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。
[0030]下面通過(guò)附圖和實(shí)施例�����,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述�。
【附圖說(shuō)明】
[0031]附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,并且構(gòu)成說(shuō)明書(shū)的一部分�����,與本發(fā)明的實(shí)施例一起用于解釋本發(fā)明�����,并不構(gòu)成對(duì)本發(fā)明的限制����。在附圖中:
[0032]圖1為本發(fā)明業(yè)務(wù)系統(tǒng)密碼管理平臺(tái)的結(jié)構(gòu)示意圖;
[0033]圖2為本發(fā)明密碼文件加密解密的結(jié)構(gòu)示意圖�;
[0034]圖3為本發(fā)明業(yè)務(wù)系統(tǒng)密碼管理平臺(tái)的數(shù)據(jù)庫(kù)密碼配置和使用的流程圖;
[0035]圖4為本發(fā)明業(yè)務(wù)系統(tǒng)密碼管理裝置實(shí)施例1的結(jié)構(gòu)示意圖�����;
[0036]圖5為本發(fā)明業(yè)務(wù)系統(tǒng)密碼管理裝置實(shí)施例2的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0037]下面結(jié)合附圖�,對(duì)本發(fā)明的【具體實(shí)施方式】進(jìn)行詳細(xì)描述,但應(yīng)當(dāng)理解本發(fā)明的保護(hù)范圍并不受【具體實(shí)施方式】的限制��。
[0038]本發(fā)明針對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)中密碼管理不安全的問(wèn)題����,抽象設(shè)計(jì)出通用簡(jiǎn)單的集中式的業(yè)務(wù)系統(tǒng)密碼管理平臺(tái),通過(guò)WEB實(shí)現(xiàn)組管理����、主機(jī)管理、數(shù)據(jù)庫(kù)管理����、口令管理、口令文件管理��、參數(shù)配置和文件發(fā)布查詢與操作日志查詢功能���,同時(shí)提供C/C++和Java的API供相應(yīng)的應(yīng)用進(jìn)程使用�����,實(shí)現(xiàn)密碼的統(tǒng)一管理和發(fā)布�。
[0039]業(yè)務(wù)系統(tǒng)(即業(yè)務(wù)平臺(tái))中使用的密碼文件采用加密格式保存�����,采用AES���、DES�����、3DES (EDE)���、Blowfish, CAST-128, IDEA、Safer_SK�����、RC2��、RC4����、RC5 等加密算法,整個(gè)密碼文件采用了 3層加密方式�,密碼文件包括密碼文件頭和密碼文件體����。首先采用密碼文件頭中的密鑰對(duì)密碼文件體進(jìn)行加密�����,而后使用核心密鑰對(duì)密碼文件頭進(jìn)行加密�,密碼文件頭和密碼文件體合并使用固定密鑰進(jìn)行加密后寫(xiě)入密碼文件,考慮到Blowfish算法快速���、安全等級(jí)根據(jù)密鑰長(zhǎng)度不同可變的特性����,整體文件使用固定密碼采用Blowfish算法進(jìn)行加密�����,該密鑰在密碼系統(tǒng)設(shè)計(jì)初期就已經(jīng)加載���,如果需要變更必須修改后重新編譯加密動(dòng)態(tài)庫(kù)����,同時(shí)重新發(fā)布密碼文件和加密動(dòng)態(tài)庫(kù),其他兩層加密方式可以采用不同加密方法���,保證了密碼的安全性。
[0040]本發(fā)明的基本思想是:在業(yè)務(wù)主機(jī)部署代理程序��,實(shí)現(xiàn)密碼管理裝置和各業(yè)務(wù)主機(jī)之間的交互功能���;密碼管理裝置根據(jù)配置生成密碼文件���,通過(guò)代理程序?qū)⒚艽a文件發(fā)布到各業(yè)務(wù)主機(jī);應(yīng)用程序啟動(dòng)時(shí)從各業(yè)務(wù)主機(jī)的密碼文件中獲取相應(yīng)的密碼配置���,通過(guò)解密功能實(shí)現(xiàn)密碼使用�����。
[0041]上述基本思想就是在各業(yè)務(wù)主機(jī)部署本地程序需要訪問(wèn)系統(tǒng)和數(shù)據(jù)庫(kù)的密碼文件��,各應(yīng)用進(jìn)程可以從密碼文件獲取相應(yīng)的密碼文件配置�,同時(shí)管理員可以通過(guò)Web進(jìn)行密碼文件的修改發(fā)布����。
[0042]如圖1所示,本發(fā)明的業(yè)務(wù)系統(tǒng)密碼管理平臺(tái)包括:
[0043]Web管理服務(wù)模塊:用戶的操作終端通過(guò)與Web管理服務(wù)模塊相連接,提供了一個(gè)統(tǒng)一�����、直觀���、方便的操作界面給用戶進(jìn)行更好的進(jìn)行密碼管理���、以及結(jié)果信息展示等。
[0044]管理中心:用于管理數(shù)據(jù)庫(kù)中的各類配置��、用戶密碼和密碼文件���、API動(dòng)態(tài)庫(kù)生成���,同時(shí)向代理程序下發(fā)密碼文件。
[0045]數(shù)據(jù)庫(kù):保存業(yè)務(wù)系統(tǒng)各類密碼配置���、主機(jī)配置����、口令配置��、配置字典數(shù)據(jù)和用戶操作數(shù)據(jù)的保存等。
[0046]密碼管理客戶端代理:部署在各業(yè)務(wù)主機(jī)上��,實(shí)現(xiàn)本地管理的密碼文件�、API庫(kù)的修改和發(fā)布等。<