[发明专利]一种用于运维审计系统的资产密码导出方法

说明书

本发明公开了一种用于运维审计系统的资产密码导出方法，密码共享模块将分割后的子密文与明文部分的信息相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件；对生成的文件附加用户名取哈希值，为每个用户生成的密钥对进行数字签名；根据预先设定的权限分割，为每个用户分配文件，并将用户的文件用该用户的登陆密码进行可逆的文件加密；使用加密信道将文件传输到用户主机上。本发明实现了对导出文件的安全保护。本发明对导出文件进行分发管理，实现了资产信息导出的权限分割。通过数字签名机制，实现了可追溯来源和防篡改。保障资产信息备份时的安全，并有效地抵抗了内网中可能存在的攻击者。

技术领域

本发明属于信息安全的技术领域，具体涉及一种用于运维审计系统的资产密码导出方法。

背景技术

秘密共享技术是密码学和信息安全的一个重要研究内容，被广泛应用于密钥管理及数字签名领域，他最早由Shaimir和Blackly在1979年分别基于Lagrance插值多项式和矢量方法提出。其基本思想是分发者通过秘密多项式将秘密s分为n个影子秘密并分发给持有者，其中任意不少于t个影子秘密的任何信息。他的出现解决了密钥安全报告的基本问题，既能保证秘密的安全性、完整性，又能防止秘密过于集中而带来的风险(荣辉桂,莫进侠,常炳国,等.基于Shamir秘密共享的密钥分发与恢复算法[J].通信学报,2015(3):60-69)。在运维审计系统中常常需要对密码进行导出和导入，然而密码导出的过程中安全性是重中之重，是系统安全的关键之处，同时密码的责任分摊管理至关重要，是防止内部被盗的关键环节。

发明内容

本发明的目的在于提供一种用于运维审计系统的资产密码导出方法，解决了导出过程中资产密码安全性的问题，本发明实现了对导出文件的安全保护。

本发明对导出文件进行分发管理，实现了资产信息导出的权限分割。通过身份认证实现用户可信。通过数字签名机制，实现了可追溯来源和防篡改。对导出文件可以导入系统中实现资产信息恢复的功能。保障资产信息备份时的安全，并有效地抵抗了内网中可能存在的攻击者，通过权限分割明确运维人员责任，方便管理。

本发明主要通过以下技术方案实现：一种用于运维审计系统的资产密码导出方法，主要包括以下步骤：

步骤S102：密码共享模块将分割后的子密文与明文部分的信息根据资产相匹配，作为一条记录传入文件解析模块，文件解析模块对数据进行封装，输出为n份不同的密码导出文件；

步骤S103：对生成的文件附加用户名取哈希值，为每个用户生成的密钥对进行数字签名；根据预先设定的权限分割，为每个用户分配文件，并将用户的文件用该用户的登陆密码进行可逆的文件加密；使用加密信道将文件传输到用户主机上。

为了更好的实现本发明，进一步的，所述步骤S103中首先通过身份验证系统保证部门管理员和密码管理员的合法身份；在运维审计系统内部，为每个管理密码的用户采用公钥加密体系生成一对公钥私钥密钥对，存储在系统内部，用于对导出文件进行数字签名。

为了更好的实现本发明，进一步的，所述步骤S103中对生成的文件使用密码管理者登陆运维审计系统的密码进行可逆的文件加密；使用sftp协议将文件发送到密码管理者进行备份的机器上，采用加密信道避免中间人攻击。

为了更好的实现本发明，进一步的，还包括密码导入的步骤：

步骤S201：将持有的文件通过加密信道上传到运维审计系统中；对文件使用用户登陆运维审计系统的密码进行解密，得到文件和数字签名；对数字签名进行验证，如果错误，则结束操作，并进行记录，反馈到运维审计系统中；

步骤S202：将用户的文件使用该用户的登陆密码进行文件解密后，文件解析模块将文件中的记录逐条读出为数据，将导入的文件中对应资产的子密文部分读出，共同传递给密文恢复模块；密文恢复模块取到子密文，通过shamir秘密共享算法，计算并还原得到完整的原始密文，并将该密文传递给数据库解析模块；