[发明专利]一种IT运维双因素认证系统及方法

说明书

本发明涉及信息认证技术领域，更具体地，涉及一种IT运维双因素认证系统及方法，包括密钥、双因素认证服务器和IT运维审计系统，所述的密钥随机生成动态密码，将动态密码和静态密码输入至双因素认证服务器，双因素认证服务器对动态密码和静态密码进行验证，验证通过后登入所述的IT运维审计系统。可以提供有效鉴的鉴别信息，且动态密码不可预知和伪造，只有同时输入正确的静态密码和动态密码才能登入电网业务和生产运营系统，以保证系统的安全性。

技术领域

本发明涉及信息认证技术领域，更具体地，涉及一种IT运维双因素认证系统及方法。

背景技术

随着企业信息化建设的不断发展，在企业的网络环境中，支撑企业信息化建设的网络设备、服务器主机及防火墙等设备是越来越多，管理员在管理与维护这些网络设备的时候，将不得不面临如下几个问题：

1、登录这些设备时，帐号口令都是在设备本地进行认证。如果有多个设备，需要在每个设备上分别创建帐号，这不但是一件既麻烦又费时的工作，且大多数帐号、口令一旦设置，多数情况下是长期不变的。

2、存在多个维护人员共用一套帐号口令的情况，在发生安全事故，难于确定帐号的实际使用者。

3、存在多个维护人员分配相同权限的问题，这将带来自己的密码被他人修改，并被盗用的风险。

4、设备厂家工程师来做故障处理和维护时，需增加临时帐号，这种类型的帐号大多数情况下是不能及时删除的。

目前网管和IT运维普遍采用KVM和堡垒机），这类系统一方面具有授权功能，成为网管和IT运维的门户，一方面具有审计功能，详细记录IT运维的操作行为。应用这些系统后，由于作了集中授权，非法获得KVM或者堡垒机的账户后，就全部获得了该账户的全部授权管理资源，如果非法用户获得管理员的帐号到网络设备上作了非法修改有可能导致整个网络系统的瘫痪，至业务和生产运营停摆，所以有必要对IT运维人员进行强身份认证。

另外，网络设备、服务器主机和数据库系统是电网业务和生产运营的IT支撑平台，其重要性毋庸置疑，对于这些网络设备的保护至关重要。如果非法用户获得管理员的帐号到网络设备上作了非法修改有可能导致整个网络系统的瘫痪，至电网的业务和生产运营停摆，所以有必要对进入网络设备进行配置的人员进行强认证。且IT平台维护往往由三部分人组成，一是自己的IT维护工程师，这部分人还比较好管理和控制；二是外包给第三方公司代维的工程师，他们不是南方电网的员工，人员具有流动性，不好管理；三是IT设备和软件的厂商工程师，这部分人更加具有流动性，可能每次来服务的工程师都不同。为工作的方便性，我们往往需要提供网络设备、服务器主机和数据库系统的最高权限的账户和密码给代维工程师和厂商工程师，但往往不会因为本次维护完成后即修改账户密码，这就有可能他们记住密码，从外部进入系统进行窃取数据和破坏，这是最大的风险。

发明内容

本发明为克服上述现有技术所述的至少一种缺陷，提供一种IT运维双因素认证系统及方法。

为解决上述技术问题，本发明采用的技术方案是：一种IT运维双因素认证系统，包括密钥、双因素认证服务器和IT运维审计系统，所述的密钥随机生成动态密码，将动态密码和静态密码输入至双因素认证服务器，双因素认证服务器对动态密码和静态密码进行验证，验证通过后登入所述的IT运维审计系统。

进一步的，所述的双因素认证服务器包括静态密码数据库、与动态密码同步更新的动态密码数据库和与密钥信息数据库，所述的静态密码与动态密码经双因素认证服务器比对匹配是否正确对应。

进一步的，所述的IT运维审计系统包括堡垒机、KVM、网络设备、服务器主机和数据库系统，所述的网络设备、服务器主机和数据库系统均接入堡垒机，所述的KVM与堡垒机通信连接。