[发明专利]一种密码安全管理系统和方法

说明书

本发明提供了一种密码安全管理系统和方法，所述系统包括：访问接口模块、密码存储模块和加密模块；密码存储模块包括第一密码文件和第二密码文件，第一密码文件用于存放普通账户的密码，第二密码文件用于存放管理员账户的密码；访问接口模块用于接收应用程序的访问请求指令，并根据所述访问请求指令接入访问第一密码文件或第二密码文件；加密模块用于对第一密码文件中的普通账户的密码和第二密码文件中的管理员账户的密码进行加密处理。本发明通过将管理员账户的密码存储到更安全的第二密码文件中，以此来提高管理员账户的密码存储的安全性，并通过采用国产密码算法SM3，进一步提高对密码加密的安全性及自主可控性。

技术领域

本发明涉及计算机技术领域，具体的说，涉及了一种密码安全管理系统和方法。

背景技术

目前，几乎所有的Linux发行版本的账户密码存储技术都使用shadow技术，即账户信息保存到/etc/passwd文件，而账户的密码被加密后存储到/etc/shadow文件中，密码的加密算法使用MD5、SHA256以及SHA512等国际密码算法。以上方案存在两个问题，首先，密码存储在/etc/shadow文件中这种做法几乎所有的Linux使用者和开发者都知晓，即使/etc/shadow文件受强制访问控制保护，但还是存在不法分子通过某种手段绕过强制访问控制，访问到/etc/shadow文件，窃取管理员账户的密码的密文，一旦管理员密码密文被泄露，黑客可以通过暴力破解或字典攻击破解管理员账户密码的明文，黑客得到管理员账户的密码明文后就可以干任何想干的事情了；其次，密码加密算法是使用的国际加密算法，在技术上和安全性上不可控。

为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

发明内容

鉴于上述内容，有必要提供一种密码安全管理系统和方法，其能够提高管理员账户的密码存储的安全性，且所采用的加密算法完全自主可控。

本发明第一方面提出一种密码安全管理系统，包括：访问接口模块、密码存储模块和加密模块；

密码存储模块，其包括第一密码文件和第二密码文件，所述第一密码文件用于存放普通账户的密码，所述第二密码文件用于存放管理员账户的密码；

所述访问接口模块，用于接收应用程序的访问请求指令，并根据所述访问请求指令接入访问所述第一密码文件或所述第二密码文件；

加密模块，用于对所述第一密码文件中的普通账户的密码和所述第二密码文件中的管理员账户的密码进行加密处理。

进一步的，所述访问接口模块包括：

PAM模块，用于对接收到的账户密码有效性及正确性进行检查；

Glibc库，用于接收所述PAM模块的调用，以提供直接访问第一密码文件或第二密码文件的I/O操作接口；

libshadow.a静态库，用于提供直接访问第一密码文件或第二密码文件的I/O操作接口。

进一步的，所述PAM模块包括：

pam_unix.so模块，用于对普通账户的密码进行验证或修改；

pam_admunix.so模块，用于对管理员账户的密码进行验证或修改；

pam_admok.so模块，用于判断用户的类别，并根据判断结果接入所述pam_unix.so模块或所述pam_admunix.so模块；

pam_skip.so模块，根据用户的类别，跳过所述pam_unix.so模块或所述pam_admunix.so模块的执行语句。

进一步的，所述libshadow.a静态库包括：

pwio.c文件，接收应用程序的访问请求指令，并根据所述访问请求指令接入访问账户文件；