基于特权账号管理系统的密钥轮转方法、存储介质及设备与流程

本发明属于密钥安全管理的，具体涉及基于特权账号管理系统的密钥轮转方法、存储介质及设备。

背景技术：

1、在基于特权账号管理系统进行linux服务器的账号管理时，很多用户都会使用ssh密钥进行认证登录和托管。但如果长时间不进行钥匙的更换的话，会有极大的安全风险。而如果进行周期更换，在目前，用户均是手动生成新的密钥，然后登录linux服务器，进行公钥的替换，同时同步录入至特权账号管理系统，当linux服务器很多时，这个工作将是极其繁琐耗时的。因此需要安全快捷稳定的方案来解决此需求。

2、为解决现有资产管理时，ssh密钥自动化安全管理诉求，基于特权账号管理系统，本发明公开了一种ssh密钥周期自动轮转的解决方案，可以提升ssh密钥管理安全性以及便捷性，同时保证轮转任务执行的安全可靠和审计回溯。

技术实现思路

1、本发明的目的在于提供基于特权账号管理系统的密钥轮转方法、存储介质及设备，旨在解决上述的问题。

2、本发明主要通过以下技术方案实现：

3、基于特权账号管理系统的密钥轮转方法，包括以下步骤：

4、步骤s1：首先将目标资产信息录入至特权账号管理系统；

5、步骤s2：在系统创建轮转计划：设定轮转周期和密钥生成的策略；

6、步骤s3：按照轮转周期进行任务的执行：

7、步骤s31：根据密钥生成的策略生成新的密钥，并准备好私钥、加密口令、公钥；

8、步骤s32：对目标资产进行ssh连接，若连接成功，则转至步骤s33，若连接不成功，则尝试使用密码进行连接，若连接成功，则转至步骤s33；若使用密码连接失败，则尝试使用该资产的特权账号进行登录，若连接成功，则转至步骤s36，若连接失败，则标记失败，任务结束；

9、步骤s33：读取～/.ssh/authorized_keys内容，将内容读取至本系统中；

10、步骤s34：将读取的内容进行备份，同时将内容中的旧公钥替换为新公钥，使用新的内容在目标资产上创建新的文件～/.ssh/authorized_keys_new；

11、步骤s35：执行mv～/.ssh/authorized_keys_new～/.ssh/authorized_keys，将旧文件替换为新文件，执行结束后跳至步骤s39；

12、步骤s36：使用特权账号连接上后读取/home/{待修改账号的账号名}/.ssh/authorized_keys，将内容读取至本系统中；

13、步骤s37：将读取的内容进行备份，同时查询改内容中是否有旧公钥数据，若有，则将内容中的旧公钥替换为新公钥，若无，则在内容最后追加新公钥数据，使用新的内容在目标资产上创建新的文件/home/{待修改账号的账号名}/.ssh/authorized_keys_new；

14、步骤s38：执行mv/home/{待修改账号的账号名}/.ssh/authorized_keys_new/home/{待修改账号的账号名}/.ssh/authorized_keys，将旧文件替换为新文件；

15、步骤s39：保持当前ssh连接不断开，重新开启一条新的ssh连接，使用新的私钥和加密口令进行登录认证；若成功则可断开连接，将计划任务状态设为成功；若失败则使用备份的文件内容进行还原回滚，并将计划任务状态设为失败。

16、为了更好地实现本发明，进一步地，所述步骤s1中，所述资产信息包括ip、ssh服务端口号、账号名、该账号当前使用的密钥的私钥和加密口令，若账号有可使用的密码，可同时录入该账号的密码，若有该资产的特权账号信息，可录入该资产的特权账号及密钥或密码。

17、为了更好地实现本发明，进一步地，所述步骤s32中，使用ip、ssh服务端口号、账号名、当前使用的密钥的私钥和加密口令对目标资产进行ssh连接。

18、为了更好地实现本发明，进一步地，所述步骤s2中，所述轮转周期包括首次执行时间和重复天数，所述密钥生成的策略包括算法、密钥长度、是否使用加密口令、指定加密口令、加密口令长度范围。

19、为了更好地实现本发明，进一步地，所述步骤s3中，任务执行的所有输入输出均以日志方式存储至本系统，以便用户进行审计和异常处理。

20、一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述的方法。

21、一种电子设备，包括存储器和处理器；所述存储器上存储有计算机程序；所述处理器，用于执行所述存储器中的所述计算机程序，以实现上述的方法。

22、本发明的有益效果如下：

23、本发明对目标资产进行周期轮转实现密钥生成与替换，解决了ssh密钥自动化安全管理问题。本发明在密钥和口令无法登录目标资产的情况下也能进行轮转。在密钥轮转时能支持失败回滚，保障轮转计划安全可靠性；而且所有操作输入输出均以日志方式存储至系统，保证任务执行过程可审计、可回溯。在轮转计划中，本发明支持指定算法、指定口令、随机口令，并且随时可以调整。本发明可以让用户仅在本系统中配置一次资产信息和轮转计划信息，即可自动化完成目标资产的ssh密钥自动化完全管理，保证了目标资产ssh密钥的安全性，具有较好的实用性。

技术特征：

1.基于特权账号管理系统的密钥轮转方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于特权账号管理系统的密钥轮转方法，其特征在于，所述步骤s1中，所述资产信息包括ip、ssh服务端口号、账号名、该账号当前使用的密钥的私钥和加密口令，若账号有可使用的密码，可同时录入该账号的密码，若有该资产的特权账号信息，可录入该资产的特权账号及密钥或密码。

3.根据权利要求2所述的基于特权账号管理系统的密钥轮转方法，其特征在于，所述步骤s32中，使用ip、ssh服务端口号、账号名、当前使用的密钥的私钥和加密口令对目标资产进行ssh连接。

4.根据权利要求1所述的基于特权账号管理系统的密钥轮转方法，其特征在于，所述步骤s2中，所述轮转周期包括首次执行时间和重复天数，所述密钥生成的策略包括算法、密钥长度、是否使用加密口令、指定加密口令、加密口令长度范围。

5.根据权利要求1-4任一项所述的基于特权账号管理系统的密钥轮转方法，其特征在于，所述步骤s3中，任务执行的所有输入输出均以日志方式存储至本系统，以便用户进行审计和异常处理。

6.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1-5中任一项所述的方法。

7.一种电子设备，其特征在于，包括存储器和处理器；所述存储器上存储有计算机程序；所述处理器，用于执行所述存储器中的所述计算机程序，以实现权利要求1-5中任一项所述的方法。

技术总结
本发明公开了基于特权账号管理系统的密钥轮转方法、存储介质及设备，将目标资产信息录入至特权账号管理系统，并在系统创建轮转计划；按照轮转周期进行任务的执行。本发明对目标资产进行周期轮转实现密钥生成与替换，解决了SSH密钥自动化安全管理问题。本发明在密钥和口令无法登录目标资产的情况下也能进行轮转；在密钥轮转时能支持失败回滚，保障轮转计划安全可靠性；而且所有操作输入输出均以日志方式存储至系统，保证任务执行过程可审计、可回溯。本发明可以让用户仅在本系统中配置一次资产信息和轮转计划信息，即可自动化完成目标资产的SSH密钥自动化完全管理，保证了目标资产SSH密钥的安全性，具有较好的实用性。

技术研发人员：陈柏全,郑学新,周虎,陈泉有
受保护的技术使用者：成都安恒信息技术有限公司
技术研发日：
技术公布日：2024/3/11