[发明专利]一种堡垒机私钥管理方法、装置及系统

权利要求书

1.一种堡垒机私钥管理方法，应用于堡垒机私钥管理平台，其特征在于，包括：

针对堡垒机对应的堡垒机私钥进行第一加密算法运算，生成密文密钥文件和解密密钥；

针对所述解密密钥进行第二加密算法运算，生成解密码集合；所述解密码集合包括至少三份解密码；

存储所述密文密钥文件和第一解密码；所述第一解密码为所述解密码集合中的任意一份解密码；

针对所述堡垒机建立令牌token；所述令牌token分别与所述密文密钥文件和所述第一解密码一一对应；

当接收到所述堡垒机发送的访问请求时，识别所述堡垒机；

根据所述访问请求中携带的令牌token，查询对应的密文密钥文件和第一解密码；

将查询到的密文密钥文件和第一解密码传输至所述堡垒机，供所述堡垒机通过利用自身存储的第二解密码与所述第一解密码进行密钥共享算法的逆运算，生成对应的解密密钥，利用所述对应的解密密钥解密所述密文密钥文件，生成所述堡垒机私钥；其中，所述第二解密码为所述解密码集合中除第一解密码外的任意一份解密码。

2.根据权利要求1所述的方法，其特征在于，所述当接收到堡垒机发送的访问请求时，识别所述堡垒机的步骤之前，还包括：

存储所述令牌token和所述堡垒机的IP地址；所述IP地址与所述令牌token一一对应。

3.根据权利要求2所述的方法，其特征在于，所述当接收到堡垒机发送的访问请求时，识别所述堡垒机的步骤，包括：

查询与所述访问请求相匹配的所述令牌token；

判断所述堡垒机的IP地址是否与所述查询到的令牌token对应的IP地址相匹配；

如果匹配成功，则对所述堡垒机授权。

4.根据权利要求3所述的方法，其特征在于，所述将查询到的密文密钥文件和第一解密码传输至所述堡垒机的步骤，包括：

通过应用程序编程API接口，采用超文本传输安全协议将根据所述访问请求中携带的令牌token查询到的所述密文密钥文件和所述第一解密码传输至所述堡垒机；所述API接口由所述堡垒机私钥管理平台提供。

5.一种堡垒机私钥管理装置，应用于堡垒机私钥管理平台，其特征在于，包括：

第一运算模块，用于针对堡垒机对应的堡垒机私钥进行第一加密算法运算，生成密文密钥文件和解密密钥；

第二运算模块，用于针对所述解密密钥进行第二加密算法运算，生成解密码集合；所述解密码集合包括至少三份解密码；

第一存储模块，用于存储所述密文密钥文件和第一解密码；所述第一解密码为所述解密码集合中的任意一份解密码；

建立模块，用于针对所述堡垒机建立令牌token；所述令牌token分别与所述密文密钥文件和所述第一解密码一一对应；

识别模块，用于当接收到所述堡垒机发送的访问请求时，识别所述堡垒机，并根据所述访问请求中携带的令牌token，查询对应的密文密钥文件和第一解密码；

传输模块，用于将查询到的密文密钥文件和第一解密码传输至所述堡垒机，供所述堡垒机通过利用自身存储的第二解密码与所述第一解密码进行密钥共享算法的逆运算，生成对应的解密密钥，利用所述对应的解密密钥解密所述密文密钥文件，生成所述堡垒机私钥；其中，所述第二解密码为所述解密码集合中除第一解密码外的任意一份解密码。

6.根据权利要求5所述的装置，其特征在于，还包括：

第二存储模块，用于存储所述令牌token和所述堡垒机的IP地址；所述IP地址与所述令牌token一一对应。

7.根据权利要求6所述的装置，其特征在于，所述识别模块，包括：

查询子模块，用于查询与所述访问请求相匹配的所述令牌token；

判断子模块，用于判断所述堡垒机的IP地址是否与所述查询到的令牌token对应的IP地址相匹配；

传输子模块，用于如果匹配成功，则对所述堡垒机授权。