一种网络设备用户密码的安全管理方法及装置与流程

本发明属于设备安全技术领域，尤其涉及一种网络设备用户密码的安全管理方法及装置。

背景技术：

随着互联网技术的飞速发展，网络设备的安全性成为大家尤为关注的问题。据调查，互联网上的设备存在的简单密码是导致安全事故发生的首要原因。而一般情况下，设备出厂时的初始密码都比较简单，如果用户将设备连到互联网中，还是使用设备的默认密码，就会带来安全性的问题。

例如视频监控系统中的网络硬盘录像机(dvr/nvr)，出厂初始密码大部分为123456、888888、admin等简单密码(也称为弱密码)，很容易被人有意进行入侵，植入脚本从而造成监控视频的泄露，造成安全隐患。

在发生上述情况时，只能提示或强制用户将用户密码修改为复杂密码，但在强制用户将用户密码修改为复杂密码时，往往会带来很多负面影响，例如：

该方法采用一刀切的方式强制用户使用复杂密码，不够灵活和友好。如果设备没有连接到互联网，在私有网段运行时，安全风险较小，这种情况下，用户密码没有必要为复杂密码。

很多设备比如存储设备，有界面用户、超级用户等多个用户，如果对每个用户都修改密码，比较繁琐。

基于linux系统开发的设备，linux超级用户没有强制修改为复杂密码的限制，存在安全漏洞。

技术实现要素：

本发明的目的是提供一种网络设备用户密码的安全管理方法及装置，用于避免现有技术中网络设备在出厂时仅设置简单密码，在实际的应用中容易被入侵造成的安全隐患。

为了实现上述目的，本发明技术方案如下：

一种网络设备用户密码的安全管理方法，用于网络设备用户密码的安全管理，所述网络设备用户密码的安全管理方法，包括：

在用户登录本网络设备界面时，检测本网络设备是否配置有公网ip；

在本网络设备配置有公网ip时，判断用户登录本网络设备界面的用户密码是否为简单密码，如果是则强制用户修改用户密码为复杂密码，并同步修改超级用户密码为动态密码；

其中，所述同步修改超级用户密码为动态密码，包括：

对网络设备的唯一标识进行加密处理；

根据加密后的网络设备的唯一标识采用随机算法生成动态密码的第一部分；

根据加密后的网络设备的唯一标识采用检验算法生成动态密码的第二部分。

进一步地，所述网络设备的唯一标识为网路设备的设备序列号。

进一步地，所述根据加密后的网络设备的唯一标识采用随机算法生成动态密码的第一部分，根据加密后的网络设备的唯一标识采用检验算法生成动态密码的第二部分，包括：

根据加密后的网络设备的设备序列号采用随机算法生成4位随机数作为动态密码的第一部分，根据加密后的网络设备的设备序列号采用检验算法生成4位校验码作为动态密码的第二部分。

优选地，所述采用随机算法生成4位随机数作为动态密码的前半部分，所述采用检验算法生成4位校验码作为动态密码的后半部分。

进一步地，所述网络设备用户密码的安全管理方法，还包括：

在本网络设备未配置公网ip时，允许用户采用网络设备的初始密码登录。

本发明还提出了一种网络设备用户密码的安全管理装置，用于网络设备用户密码的安全管理，所述网络设备用户密码的安全管理装置，包括：

地址检测模块，用于在用户登录本网络设备界面时，检测本网络设备是否配置有公网ip；

强制修改模块，用于在本网络设备配置有公网ip时，判断用户登录本网络设备界面的用户密码是否为简单密码，如果是则强制用户修改用户密码为复杂密码，并同步修改超级用户密码为动态密码；

其中，所述强制修改模块在同步修改超级用户密码为动态密码时，执行如下操作：

对网络设备的唯一标识进行加密处理；

根据加密后的网络设备的唯一标识采用随机算法生成动态密码的第一部分；

根据加密后的网络设备的唯一标识采用检验算法生成动态密码的第二部分。

进一步地，所述网络设备的唯一标识为网路设备的设备序列号。

进一步地，所述强制修改模块在根据加密后的网络设备的唯一标识采用随机算法生成动态密码的第一部分，根据加密后的网络设备的唯一标识采用检验算法生成动态密码的第二部分时，执行如下操作：

根据加密后的网络设备的设备序列号采用随机算法生成4位随机数作为动态密码的第一部分，根据加密后的网络设备的设备序列号采用检验算法生成4位校验码作为动态密码的第二部分。

优选地，所述强制修改模块采用随机算法生成4位随机数作为动态密码的前半部分，所述采用检验算法生成4位校验码作为动态密码的后半部分。

进一步地，所述强制修改模块，还执行如下操作：

在本网络设备未配置公网ip时，允许用户采用网络设备的初始密码登录。

本发明提出的一种网络设备用户密码的安全管理方法及装置，在设备配置有公网ip时，强制用户修改用户密码为复杂密码并同步修改超级用户密码为动态密码，能够保证公网中设备用户及超级用户密码复杂性。设备仅在局域网使用时，不强制用户修改为复杂密码，较为灵活，为客户带来便利。可自动设置超级用户密码为动态密码，提高超级用户安全性。超级用户密码由设备的产品序列号加密生成，与设备一一对应，不同设备，超级用户密码不同，不容易泄露。采用本发明的方法及装置，大大提高了网络设备的安全性。

附图说明

图1为本发明网络设备用户密码的安全管理方法流程图。

具体实施方式

下面结合附图和实施例对本发明技术方案做进一步详细说明，以下实施例不构成对本发明的限定。

如图1所示，本发明一种网络设备用户密码的安全管理方法的一种实施例，用于网络设备用户密码的安全管理，包括：

在用户登录本网络设备界面时，检测本网络设备是否配置有公网ip；

在本网络设备配置有公网ip时，判断用户登录本网络设备界面的用户密码是否为简单密码，如果是则强制用户修改用户密码为复杂密码，并同步修改超级用户密码为动态密码。

本实施例一种网络设备用户密码的安全管理方法，用于网络设备用户密码的安全管理，根据网络设备的应用场合进行用户密码的安全管理。在网络设备接入公网时，需要更高的安全性。而在网络设备应用在私网中时，不会受到来自公网的非法入侵，不需要更高的安全性，此时考虑用户的便捷使用即可。因此本发明根据网络设备的应用场合进行区别对待。

本实施例网络设备在用户登录本网络设备界面(管理界面或配置界面等)时，首先检测本网络设备是否配置有公网ip。检测是否配置有公网ip，一般就是检测配置的ip地址是否属于公网网段，当配置了公网网段的ip地址时，认为该设备会接入公网，需要更高的安全性，此时需要强制用户修改用户密码为复杂密码，并同步修改超级用户密码；而当没有配置公网ip时，则必然配置了私网ip，例如10.0.0.0/8，172.16.0.0/12、192.168.0.0/16、127.0.0.0/8等私网网段，此时网络设备工作在局域网内，不用强制将用户密码修改为复杂密码，也不需要修改超级用户密码，允许用户采用网络设备的初始密码登录，为客户提供便利。

容易理解的是，在本网络设备配置有公网ip时，还需要判断用户登录本网络设备界面的用户密码是否为简单密码，如果是则强制用户修改用户密码为复杂密码，如果已经是复杂密码则说明已经修改为复杂密码，不再进行强制修改。

以视频监控系统中的网络硬盘录像机nvr为例，出厂初始密码大部分为123456、888888、admin等简单密码(也称为弱密码)，这些简单密码很容易被攻破，从而导致nvr被入侵，nvr接入的网络摄像机ipc及存储的监控视频容易被控制，导致监控视频泄露，造成安全隐患。

采用本实施例的方法后，当用户登录nvr管理界面时，假设检测到nvr配置有公网ip，即nvr接入到公网，需要更高的安全性。则nvr会判断初始密码是否为简单密码。判断时，如果是明文，则根据密码明文的字符进行判断，例如如果仅为数字或仅为字母则判断为简单密码。一般复杂密码需要同时包括字符和数字，另外还需要有大小写，通过明文是比较容易进行判断的，这里不再赘述。如果密码为加密的，则可以使用常用密码字典做hash处理后与加密后的用户密码进行匹配来判断用户密码是否为简单密码。总之，判断用户密码是否为简单密码的方法有很多，在本申请中不限于使用何种判断用户密码是否为简单密码的具体方法。

当发现nvr的用户密码为简单密码时，例如为admin，则强制用户修改用户密码为复杂密码，可以弹出用户修改密码的窗口，提示用户修改用户密码为复杂密码。在提醒用户修改用户密码为复杂密码时，可以直接弹出窗口，也可以通过短信、邮件等其他方式提醒，也可以强制用户修改，不修改则不允许进行界面登录。

本实施例在强制用户修改用户密码为复杂密码时，还同步修改超级用户密码为动态密码。

本实施例，超级用户的动态密码生成算法如下：

对网络设备的唯一标识进行加密处理；

根据加密后的网络设备的唯一标识采用随机算法生成动态密码的第一部分；

根据加密后的网络设备的唯一标识采用检验算法生成动态密码的第二部分。

本实施例将超级用户密码修改为动态密码，所采用的网络设备的唯一标识可以是网络设备的设备序列号，也可以是网络设备的mac地址。容易理解的是，根据加密后的网络设备的唯一标识生成动态密码，也可以仅使用随机算法或校验算法来生成整个动态密码。采用两种算法来生成动态密码的不同部分，将使得超级用户的动态密码更加安全，不容易被破解。超级用户可以通过工具，内置生成动态密码的算法来生成动态密码，从而采用工具生成的动态密码来登录设备，设备比较自身生成的动态密码和超级用户通过工具生成的动态密码，来判断超级用户的合法性。

例如，本实施例根据加密后的网络设备的设备序列号采用随机算法生成4位随机数作为动态密码的第一部分，根据加密后的网络设备的设备序列号采用检验算法生成4位校验码作为动态密码的第二部分。其中，第一部分可以是动态密码的前半部分，也可以是后半部分。同理，第二部分可以是动态密码的后半部分，也可以是前半部分。

此外，本实施例采用网络设备的唯一标识来生成超级用户的动态密码时，首先对网络设备的唯一标识进行加密处理，保证用户设备信息的安全性。

本实施例不限于所采用的随机算法和校验算法，例如随机算法可以是加权及除余算法、随机k选择法、素性判定的随机算法等，校验算法可以是奇偶校验算法、海明码校验算法、哈希算法等。

本发明一种网络设备用户密码的安全管理方法，能够保证公网中设备用户及超级用户密码复杂性；设备仅在局域网使用时，不强制用户修改为复杂密码，较为灵活，为客户带来便利；可自动设置超级用户密码为动态密码，提高超级用户安全性；超级用户密码由设备的产品序列号加密生成，与设备一一对应，不同设备，超级用户密码不同，不容易泄露。

与上述方法对应地，本申请还给出了一种网络设备用户密码的安全管理装置的实施例。本实施例网络设备用户密码的安全管理装置用于网络设备，对网络设备实行用户密码的安全管理。本网络设备用户密码的安全管理装置，包括：

地址检测模块，用于在用户登录本网络设备界面时，检测本网络设备是否配置有公网ip；

强制修改模块，用于在本网络设备配置有公网ip时，判断用户登录本网络设备界面的用户密码是否为简单密码，如果是则强制用户修改用户密码为复杂密码，并同步修改超级用户密码为动态密码；

本实施例装置与上述方法对应，其中个模块所执行的操作优选采用如下方式进行，对于其他一些可选的技术方案这里不再赘述。

即本实施例强制修改模块在同步修改超级用户密码为动态密码时，执行如下操作：

对网络设备的唯一标识进行加密处理；

根据加密后的网络设备的唯一标识采用随机算法生成动态密码的第一部分；

根据加密后的网络设备的唯一标识采用检验算法生成动态密码的第二部分。

本实施例网络设备的唯一标识为网路设备的设备序列号。

则，强制修改模块在根据加密后的网络设备的唯一标识采用随机算法生成动态密码的第一部分，根据加密后的网络设备的唯一标识采用检验算法生成动态密码的第二部分时，执行如下操作：

根据加密后的网络设备的设备序列号采用随机算法生成4位随机数作为动态密码的第一部分，根据加密后的网络设备的设备序列号采用检验算法生成4位校验码作为动态密码的第二部分。

与上述方法对应地，本实施例优选第，强制修改模块采用随机算法生成4位随机数作为动态密码的前半部分，所述采用检验算法生成4位校验码作为动态密码的后半部分。

本实施例强制修改模块，在本网络设备未配置公网ip时，允许用户采用网络设备的初始密码登录。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。