[发明专利]网络安全管理方法及服务器

说明书

技术领域

本发明涉及身份认证协议技术领域，特别涉及一种网络安全管理方法及服务器。

背景技术

Kerberos是允许在非安全网络上通信的实体以安全方式证明对于彼此身份的认证协议。Kerberos通常用作企业环境中的认证机制，并且正部署在支持新服务的提供商网络中。Kerberos建立在对称密钥密码方法上，并且典型地需要信任的第三方。

Kerberos作为目前主流的大数据集群采用的认证协议，其在认证过程中会生成用于存储用网络上的每个主体(例如客户端和服务器)的账号和对应的密钥的Keytab文件。而对Keytab文件的管理是通过大集数集群平台，例如unix，的文件系统(包括用户、组和其它)来实现的。也就是说，如果非法用户通过unix的文件系统获得Keytab文件的访问权限，则可以通冒充集群中的任一主体完成认证。

发明内容

有鉴于此，本发明实施例的目的是提供一种对Keytab文件在本地进行加密、解密，从而来保证非法用户无法进行认证的网络安全管理方法及服务器。

为了实现上述目的，本发明实施例提供了一种网络安全管理方法，包括：

检测到使用认证处理文件执行认证操作的请求时，获取所述认证处理文件；

将所述认证处理文件发送至可信加密硬件模块；以使所述可信加密硬件模块对所述认证处理文件进行解密操作；

利用解密后的认证处理文件进行认证操作。

作为优选，所述方法还包括：

在生成所述认证处理文件时，调用所述可信加密硬件模块对所述认证处理文件进行加密操作。

作为优选，在所述可信加密硬件模块对所述认证处理文件进行解密操作之前，包括：

验证所述请求的处理权限，获得第一判断结果；

在所述第一判断结果表明所述请求具备执行认证操作的权项时，所述可信加密硬件模块对所述认证处理文件进行解密操作。

作为优选，所述方法包括：

判断发送所述请求的用户的访问权项，获得第二判断结果；

在所述第二判断结果表明所述用户具备对所述认证处理文件的访问权项时，所述可信加密硬件模块对所述认证处理文件进行解密操作。

作为优选，所述认证处理文件包括所述认证操作的规则信息和/或密钥信息。

本发明实施例还提供一种网络安全管理方法，所述方法包括：

接收集群中一主体发送的请求，

根据所述请求的内容，向所述主体发送经过可信加密硬件模块加密后的认证处理文件。

作为优选，所述方法包括

所述认证处理文件包括所述认证操作的规则信息和/或密钥信息。

本发明实施例还提供一种服务器，包括：

处理器，配置为检测使用认证处理文件执行认证操作的请求时，获取所述认证处理文件，并将所述认证处理文件发送至可信加密硬件模块；

可信加密硬件模块，配置来对所述认证处理文件进行解密操作；

其中，所述处理器还配置为利用解密后的认证处理文件进行认证操作。

作为优选，所述服务器包括：

所述处理器还配置为在生成所述认证处理文件时，调用所述可信加密硬件模块对所述认证处理文件进行加密操作。

作为优选，所述服务器包括：

所述处理器还配置为在所述可信加密硬件模块对所述认证处理文件进行解密操作之前，验证所述请求的处理权限，获得第一判断结果，并在所述第一判断结果表明所述请求具备执行认证操作的权项时，所述可信加密硬件模块对所述认证处理文件进行解密操作。

根据以上实施例，本发明能够实现以下有益效果：本发明实施例的技术方案通过对认证处理文件进行认证时，采用可信加密硬件模块进行加密解密操作，从而提高了网络的安全性。

附图说明

图1为本发明的网络安全管理方法的实施例一的流程图；

图2为本发明的网络安全管理方法的一种场景示意图；

图3为本发明的网络安全管理方法的实施例三的流程图；

图4为本发明的服务器的实施例一的示意图。

具体实施方式

此处参考附图描述本公开的各种方案以及特征。

应理解的是，可以对此处公开的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。