br>[0047]客戶端應(yīng)用進(jìn)程:將業(yè)務(wù)系統(tǒng)密碼管理平臺(tái)提供的API動(dòng)態(tài)庫(kù)編譯使用��,實(shí)現(xiàn)從密碼文件獲取密碼的功能��。
[0048]如圖2所示�,本發(fā)明提供了一種業(yè)務(wù)系統(tǒng)密碼管理方法實(shí)施例����,本實(shí)施例主要側(cè)重密碼文件的加密過(guò)程。密碼文件包括密碼文件頭和密碼文件體,密碼文件體保存用戶密碼明文數(shù)據(jù)�����,密碼文件頭包含密碼文件頭的加密方式和加密密鑰。本實(shí)施例包括:
[0049]步驟102:調(diào)用業(yè)務(wù)系統(tǒng)中的用戶密碼明文數(shù)據(jù)���,采用密碼文件頭中的第一密鑰對(duì)用戶密碼明文數(shù)據(jù)進(jìn)行加密生成密碼文件體�����;
[0050]在步驟102中,第一密鑰為可變密鑰���,對(duì)用戶密碼明文數(shù)據(jù)進(jìn)行加密的加密方式包括:AES��、DES�、3DES (EDE)����、Blowfish、CAST-128, IDEA�����、Safer-SK���、RC2����、RC4、RC5����。
[0051]步驟104:采用核心密鑰對(duì)密碼文件頭進(jìn)行加密,并將加密后的密碼文件頭和密碼文件體寫(xiě)入同一文件生成加密合并文件�;
[0052]在步驟104中,采用核心密鑰對(duì)密碼文件頭進(jìn)行加密的加密方式包括:AES���、DES����、3DES (EDE)�����、Blowfish�、CAST-128, IDEA、Safer-SK, RC2���、RC4�、RC5�����。
[0053]步驟106:采用第二密鑰對(duì)加密合并文件進(jìn)行加密,生成密碼文件保存在業(yè)務(wù)主機(jī)中����。
[0054]在步驟106中,第二密鑰為固定密鑰��,具體采用Blowfish算法進(jìn)行加密���。
[0055]需要說(shuō)明的是,本步驟采用Blowfish算法進(jìn)行加密,主要考慮到Blowfish算法快速、安全等級(jí)根據(jù)密鑰長(zhǎng)度不同可變的特性�����。當(dāng)然����,本步驟也可以參照上述步驟采用其它算法加密。
[0056]如圖2所示��,本發(fā)明提供了另一種業(yè)務(wù)系統(tǒng)密碼管理方法實(shí)施例�����,本實(shí)施例主要側(cè)重密碼文件的解密過(guò)程。密碼文件包括密碼文件頭和密碼文件體,密碼文件體保存用戶密碼明文數(shù)據(jù)���,密碼文件頭包含密碼文件頭的解密方式和解密密鑰����。本實(shí)施例包括:
[0057]步驟202:調(diào)用業(yè)務(wù)系統(tǒng)中的密碼文件����,采用第二密鑰對(duì)該密碼文件進(jìn)行解密生成密碼文件頭和密碼文件體;
[0058]在步驟202中�,第二密鑰為固定密鑰,具體采用Blowfish算法進(jìn)行解密�。
[0059]需要說(shuō)明的是,本步驟采用Blowfish算法進(jìn)行解密,主要考慮到Blowfish算法快速、安全等級(jí)根據(jù)密鑰長(zhǎng)度不同可變的特性����。當(dāng)然,本步驟也可以參照上述步驟采用其它算法解密����。
[0060]步驟204:采用核心密鑰對(duì)所述密碼文件頭進(jìn)行解密,提取解密后的所述密碼文件頭中存儲(chǔ)的第一密鑰�;
[0061]在步驟204中,核心密鑰保存在API動(dòng)態(tài)庫(kù)中,采用核心密鑰對(duì)所述密碼文件頭進(jìn)行解密的解密方式主要根據(jù)密碼文件頭內(nèi)容中所包含的密碼文件頭加密方式�����,可以支持:AES��、DES���、3DES (EDE)�、Blowfish��、CAST-128, IDEA�����、Safer-SK, RC2���、RC4、RC5����。
[0062]優(yōu)選的,在步驟204中���,此處的對(duì)密碼文件頭進(jìn)行解密的解密方式與上述步驟104中對(duì)密碼文件頭的加密方式保持一致�;
[0063]當(dāng)然,此處的密碼文件頭的解密方式與上述步驟104中對(duì)密碼文件頭的加密方式也可以分別采用不同的方式���。
[0064]步驟206:采用第一密鑰對(duì)密碼文件體進(jìn)行解密�����,生成用戶密碼明文數(shù)據(jù)��。
[0065]在步驟206中��,第一密鑰為可變密鑰����,采用第一密鑰對(duì)密碼文件體進(jìn)行解密的解密方式主要根據(jù)密碼文件頭內(nèi)容中所包含的密碼文件體加密方式��,可以支持:AES�、DES、3DES (EDE)��、Blowfish����、CAST-128, IDEA�����、Safer-SK, RC2��、RC4����、RC5����。
[0066]優(yōu)選的,在步驟206中��,此處對(duì)密碼文件體的解密方式與上述步驟102中對(duì)用戶密碼明文數(shù)據(jù)的加密方式保持一致����;
[0067]當(dāng)然,此處的密碼文件體的解密方式與上述步驟102中對(duì)用戶密碼明文數(shù)據(jù)的加密方式也可以分別采用不同的方式����。
[0068]本發(fā)明實(shí)施例的業(yè)務(wù)系統(tǒng)密碼管理方法�,包括對(duì)業(yè)務(wù)系統(tǒng)(業(yè)務(wù)平臺(tái))中的各種密碼進(jìn)行加密和解密的過(guò)程,采用3層加密和解密的方式�,每層加密和解密可以采用相同或不同的方式,最大程度上保證了密碼的安全性,便于對(duì)業(yè)務(wù)系統(tǒng)密碼的方便修改�。
[0069]在本發(fā)明中,Web管理服務(wù)模塊包括:
[0070]組管理子模塊:主要是用來(lái)對(duì)涉及口令安全的業(yè)務(wù)主機(jī)和數(shù)據(jù)庫(kù)進(jìn)行分類(lèi)�����,如BOSS組��、CRM組�����、BASS組�,方便進(jìn)行查找定位。
[0071]主機(jī)管理子模塊:主要用于配置應(yīng)用部署業(yè)務(wù)主機(jī)的相關(guān)信息����,主要包括主機(jī)IP、主機(jī)名稱(chēng)����、主機(jī)類(lèi)型和文件路徑(口令文件、MD5認(rèn)證文件和密碼庫(kù)包發(fā)布路徑)���、歸屬組坐寸ο
[0072]數(shù)據(jù)庫(kù)管理子模塊:主要配置口令歸屬數(shù)據(jù)庫(kù)相關(guān)信息:數(shù)據(jù)庫(kù)IP���、TNS名稱(chēng)�、數(shù)據(jù)庫(kù)類(lèi)型����、歸屬組等。
[0073]口令管理子模塊:主要用于配置數(shù)據(jù)庫(kù)口令相關(guān)信息:用戶名稱(chēng)�、口令類(lèi)型、用戶口令�����、歸屬主機(jī)和口令名稱(chēng)等���。
[0074]口令文件管理子模塊:主要配置并發(fā)布數(shù)據(jù)庫(kù)口令發(fā)布相關(guān)信息��,發(fā)布文件需要包含的可變密鑰�、加密方式����,文件名、文件路徑等����,同時(shí)將密碼文件發(fā)布到業(yè)務(wù)主機(jī)上。
[0075]參數(shù)配置子模塊:主要配置并發(fā)布核心密鑰等���,每臺(tái)業(yè)務(wù)主機(jī)可以設(shè)置不同的核心密鑰和加密方式���,核心密鑰的變更需要更新各臺(tái)業(yè)務(wù)主機(jī)的API動(dòng)態(tài)庫(kù)。
[0076]口令文件發(fā)布子模塊:監(jiān)控密碼文件發(fā)布的結(jié)果��,方便操作員查詢��。
[0077]操作日志查詢子模塊:對(duì)操作員的操作日志進(jìn)行查詢����,方便管理員進(jìn)行跟蹤和問(wèn)題的追溯。
[0078]如圖3所示���,本發(fā)明業(yè)務(wù)系統(tǒng)密碼管理平臺(tái)的數(shù)據(jù)庫(kù)密碼配置和使用的流程包括:
[0079]步驟302:密碼管理中心根據(jù)要求增加口令安全的業(yè)務(wù)主機(jī)和數(shù)據(jù)庫(kù)進(jìn)行分類(lèi)��,包括組編號(hào)�����、組名稱(chēng)��、歸屬組�����、組類(lèi)別和描述詳細(xì)信息�;
[0080]步驟304:密碼管理中心增加數(shù)據(jù)庫(kù)業(yè)務(wù)主機(jī)配置,包括IP地址�、主機(jī)類(lèi)型、歸屬組��、密碼文件目錄�、主機(jī)名稱(chēng)等;
[0081]步驟306:密碼管理中心增加數(shù)據(jù)庫(kù)配置�����,包括數(shù)據(jù)庫(kù)IP����、歸屬組、數(shù)據(jù)庫(kù)類(lèi)型�、TNS名稱(chēng)、數(shù)據(jù)庫(kù)名稱(chēng)等�;
[0082]步驟308:密碼管理中心設(shè)置數(shù)據(jù)庫(kù)口令,包括口令類(lèi)型��、用戶名稱(chēng)、用戶口令���、歸屬對(duì)象和口令名稱(chēng)等���;
[0083]步驟310:密碼管理中心發(fā)布數(shù)據(jù)庫(kù)口令�,向Web管理服務(wù)模塊發(fā)送發(fā)布數(shù)據(jù)庫(kù)口令指令;
[0084]步驟312:ffeb管理服務(wù)模塊向相應(yīng)的業(yè)務(wù)主機(jī)代理進(jìn)程發(fā)送密碼設(shè)置指令���;
[0085]步驟314:業(yè)務(wù)主機(jī)代理進(jìn)程根據(jù)指令修改本業(yè)務(wù)主機(jī)的密碼文件�,密碼發(fā)布結(jié)束��;
[0086]步驟316:應(yīng)用進(jìn)程使用API讀取本地的密碼文件���,獲取相應(yīng)的數(shù)據(jù)庫(kù)用戶密碼實(shí)現(xiàn)數(shù)據(jù)庫(kù)登入���。
[0087]至此,業(yè)務(wù)系統(tǒng)密碼管理平臺(tái)的數(shù)據(jù)庫(kù)密碼配置和使用的流程結(jié)束����。
[0088]本發(fā)明的業(yè)務(wù)系統(tǒng)密碼管理方法,采用API訪問(wèn)本地密碼文件的方式����,應(yīng)用部署簡(jiǎn)單方便�����,其中核心密鑰保存在API動(dòng)態(tài)庫(kù)中��,可變密碼保存在密碼文件的密碼文體頭中����,使得密碼的使用過(guò)程可以脫離密碼系統(tǒng)獨(dú)立存在����,給應(yīng)用快速部署提供了方便,同時(shí)采用3層加密的方式對(duì)密碼文件進(jìn)行加密����,最大限度的保證了密碼的安全。
[0089]如圖4所示���,本發(fā)明提供了一種業(yè)務(wù)系統(tǒng)密碼管理裝置���,包括:
[0090]調(diào)用加密模塊10,用于調(diào)用業(yè)務(wù)系統(tǒng)中的用戶密碼明文數(shù)據(jù)�,采用密碼文件頭中的第一密鑰對(duì)所述用戶密碼明文數(shù)據(jù)進(jìn)行加密生成密碼文件體;
[0091]加密合并模塊20,用于采用核心密鑰對(duì)密碼文件頭進(jìn)行加密���,并將加密后的密碼文件頭和密碼文件體寫(xiě)入同一文件生成加密合并文件����;
[0092]加密生成模塊30����,用于采用第二密鑰對(duì)加密合并文件進(jìn)行加密����,生成密碼文件保存。
[0093]在調(diào)用加密模塊10中���,第一密鑰為可變密鑰��,對(duì)用戶密碼明文數(shù)據(jù)進(jìn)行加密的加密方式包括:AES�、DES���、3DES��、Blowfish�����、CAST-128, IDEA����、Safer-SK, RC2、RC4�����、RC5����。
[0094]在加密合并模塊20中,采用核心密鑰對(duì)密碼文件頭進(jìn)行加密的加密方式包括:AES��、DES���、3DES�����、Blowfish�����、CAST-128, IDEA����、Safer-SK, RC