業(yè)務(wù)系統(tǒng)密碼管理方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域中密碼安全技術(shù)領(lǐng)域�����,具體地�,涉及業(yè)務(wù)系統(tǒng)密碼管理方法和裝置。
【背景技術(shù)】
[0002]隨著信息技術(shù)的發(fā)展��,在給人們帶來高效��、信息共享的同時�����,也給信息安全帶來很多新的問題�����。密碼在信息安全保障中占據(jù)著很重要的位置����,業(yè)務(wù)系統(tǒng)的密碼管理尤為重要。在移動業(yè)務(wù)支撐系統(tǒng)中�����,由于用戶的增長���,業(yè)務(wù)的不斷發(fā)展�,一般存在有多個數(shù)據(jù)庫和大量的應(yīng)用服務(wù)器����,因此它們之間的交互訪問是必不可少的。為了保障業(yè)務(wù)系統(tǒng)的安全�����,操作系統(tǒng)和數(shù)據(jù)庫的密碼管理和設(shè)置是不可或缺的。
[0003]現(xiàn)有的業(yè)務(wù)系統(tǒng)密碼管理方式為傳統(tǒng)的本地管理�����,即系統(tǒng)中所有設(shè)備都在本地管理其密碼�����,應(yīng)用程序通過讀取本地的配置文件�,或者通過訪問數(shù)據(jù)庫中保存的密碼來獲取相應(yīng)主機的操作系統(tǒng)密碼,而密碼在配置文件或者代碼中以明文的形式保存�。
[0004]同時密碼的變更也是在本地進行,如果某個操作系統(tǒng)或者數(shù)據(jù)庫需要變更時����,所有需要訪問的應(yīng)用程序都需要做相應(yīng)的配置變更。如果涉及的應(yīng)用程序較多��,工作量大�、繁瑣,而且容易出錯遺漏�。
[0005]現(xiàn)有業(yè)務(wù)支撐系統(tǒng)中的密碼管理中至少存在如下問題:
[0006]1.安全性欠佳,目前大部分的后臺進程使用明文配置來實現(xiàn)密碼管理,這使得數(shù)據(jù)庫的密碼和主機密碼很容易被泄露���。而且進程分布在不同的主機�,有可能進入一臺主機后通過查看程序的配置就可以在整個系統(tǒng)暢通無阻���,導致整個系統(tǒng)的崩潰。
[0007]2.管理較復雜�����,應(yīng)用進程分布在不同主機上��,導致操作系統(tǒng)和數(shù)據(jù)庫的密碼變更時����,需要在不同的主機上進行密碼配置的變更,繁瑣而且容易遺漏���,導致用戶不敢變更用戶密碼�,這使得系統(tǒng)長時間使用一個密碼���,給系統(tǒng)帶來很大的安全隱患�����。
【發(fā)明內(nèi)容】
[0008]本發(fā)明是為了克服現(xiàn)有技術(shù)中業(yè)務(wù)系統(tǒng)的密碼管理不安全的缺陷���,根據(jù)本發(fā)明的一個方面�����,提出一種業(yè)務(wù)系統(tǒng)密碼管理方法����。
[0009]根據(jù)本發(fā)明實施例的業(yè)務(wù)系統(tǒng)密碼管理方法����,包括:
[0010]調(diào)用業(yè)務(wù)系統(tǒng)中的用戶密碼明文數(shù)據(jù),采用密碼文件頭中的第一密鑰對用戶密碼明文數(shù)據(jù)進行加密生成密碼文件體��;
[0011]采用核心密鑰對密碼文件頭進行加密����,并將加密后的密碼文件頭和密碼文件體寫入同一文件生成加密合并文件;
[0012]采用第二密鑰對加密合并文件進行加密�����,生成密碼文件保存。
[0013]本發(fā)明是為了克服現(xiàn)有技術(shù)中業(yè)務(wù)系統(tǒng)的密碼管理不安全的缺陷���,根據(jù)本發(fā)明的另一個方面���,提出一種業(yè)務(wù)系統(tǒng)密碼管理方法。
[0014]根據(jù)本發(fā)明實施例的業(yè)務(wù)系統(tǒng)密碼管理方法����,包括:
[0015]調(diào)用業(yè)務(wù)系統(tǒng)中的密碼文件�,采用第二密鑰對密碼文件進行解密生成密碼文件頭和密碼文件體;
[0016]采用核心密鑰對密碼文件頭進行解密��,提取解密后的密碼文件頭中存儲的第一密鑰��;
[0017]采用第一密鑰對所述密碼文件體進行解密��,生成用戶密碼明文數(shù)據(jù)�����。
[0018]本發(fā)明是為了克服現(xiàn)有技術(shù)中業(yè)務(wù)系統(tǒng)的密碼管理不安全的缺陷�����,根據(jù)本發(fā)明的一個方面,提出一種業(yè)務(wù)系統(tǒng)密碼管理裝置���。
[0019]根據(jù)本發(fā)明實施例的業(yè)務(wù)系統(tǒng)密碼管理裝置��,包括:
[0020]調(diào)用加密模塊���,用于調(diào)用業(yè)務(wù)系統(tǒng)中的用戶密碼明文數(shù)據(jù),采用密碼文件頭中的第一密鑰對用戶密碼明文數(shù)據(jù)進行加密生成密碼文件體��;
[0021]加密合并模塊����,用于采用核心密鑰對所述密碼文件頭進行加密,并將加密后的密碼文件頭和密碼文件體寫入同一文件生成加密合并文件����;
[0022]加密生成模塊,用于采用第二密鑰對所述加密合并文件進行加密�,生成密碼文件保存。
[0023]本發(fā)明是為了克服現(xiàn)有技術(shù)中業(yè)務(wù)系統(tǒng)的密碼管理不安全的缺陷�,根據(jù)本發(fā)明的一個方面,提出一種業(yè)務(wù)系統(tǒng)密碼管理裝置�����。
[0024]根據(jù)本發(fā)明實施例的業(yè)務(wù)系統(tǒng)密碼管理裝置,包括:
[0025]調(diào)用解密模塊����,用于調(diào)用業(yè)務(wù)系統(tǒng)中的密碼文件,采用第二密鑰對密碼文件進行解密生成密碼文件頭和密碼文件體�����;
[0026]解密提取模塊����,用于采用核心密鑰對密碼文件頭進行解密,提取解密后的密碼文件頭中存儲的第一密鑰����;
[0027]解密生成模塊����,用于采用第一密鑰對所述密碼文件體進行解密,生成用戶密碼明文數(shù)據(jù)�。
[0028]本發(fā)明的業(yè)務(wù)系統(tǒng)密碼管理方法和裝置,采用API訪問本地密碼文件的方式����,應(yīng)用部署簡單方便����,其中核心密鑰保存在API動態(tài)庫中����,可變密碼保存在密碼文件的密碼文體頭中,使得密碼的使用過程可以脫離密碼系統(tǒng)獨立存在�,給應(yīng)用快速部署提供了方便,同時采用3層加密的方式對密碼文件進行加密����,最大限度的保證了密碼的安全。
[0029]本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述��,并且��,部分地從說明書中變得顯而易見���,或者通過實施本發(fā)明而了解��。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書�、權(quán)利要求書��、以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得�����。
[0030]下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述����。
【附圖說明】
[0031]附圖用來提供對本發(fā)明的進一步理解,并且構(gòu)成說明書的一部分����,與本發(fā)明的實施例一起用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的限制����。在附圖中:
[0032]圖1為本發(fā)明業(yè)務(wù)系統(tǒng)密碼管理平臺的結(jié)構(gòu)示意圖;
[0033]圖2為本發(fā)明密碼文件加密解密的結(jié)構(gòu)示意圖�����;
[0034]圖3為本發(fā)明業(yè)務(wù)系統(tǒng)密碼管理平臺的數(shù)據(jù)庫密碼配置和使用的流程圖��;
[0035]圖4為本發(fā)明業(yè)務(wù)系統(tǒng)密碼管理裝置實施例1的結(jié)構(gòu)示意圖����;
[0036]圖5為本發(fā)明業(yè)務(wù)系統(tǒng)密碼管理裝置實施例2的結(jié)構(gòu)示意圖����。
【具體實施方式】
[0037]下面結(jié)合附圖�����,對本發(fā)明的【具體實施方式】進行詳細描述���,但應(yīng)當理解本發(fā)明的保護范圍并不受【具體實施方式】的限制。
[0038]本發(fā)明針對現(xiàn)有業(yè)務(wù)系統(tǒng)中密碼管理不安全的問題��,抽象設(shè)計出通用簡單的集中式的業(yè)務(wù)系統(tǒng)密碼管理平臺�����,通過WEB實現(xiàn)組管理����、主機管理、數(shù)據(jù)庫管理����、口令管理、口令文件管理�、參數(shù)配置和文件發(fā)布查詢與操作日志查詢功能,同時提供C/C++和Java的API供相應(yīng)的應(yīng)用進程使用�����,實現(xiàn)密碼的統(tǒng)一管理和發(fā)布。
[0039]業(yè)務(wù)系統(tǒng)(即業(yè)務(wù)平臺)中使用的密碼文件采用加密格式保存�,采用AES、DES�����、3DES (EDE)���、Blowfish, CAST-128, IDEA��、Safer_SK���、RC2、RC4���、RC5 等加密算法�,整個密碼文件采用了 3層加密方式��,密碼文件包括密碼文件頭和密碼文件體��。首先采用密碼文件頭中的密鑰對密碼文件體進行加密���,而后使用核心密鑰對密碼文件頭進行加密��,密碼文件頭和密碼文件體合并使用固定密鑰進行加密后寫入密碼文件�,考慮到Blowfish算法快速����、安全等級根據(jù)密鑰長度不同可變的特性,整體文件使用固定密碼采用Blowfish算法進行加密���,該密鑰在密碼系統(tǒng)設(shè)計初期就已經(jīng)加載��,如果需要變更必須修改后重新編譯加密動態(tài)庫�,同時重新發(fā)布密碼文件和加密動態(tài)庫�����,其他兩層加密方式可以采用不同加密方法���,保證了密碼的安全性�����。
[0040]本發(fā)明的基本思想是:在業(yè)務(wù)主機部署代理程序�,實現(xiàn)密碼管理裝置和各業(yè)務(wù)主機之間的交互功能;密碼管理裝置根據(jù)配置生成密碼文件�����,通過代理程序?qū)⒚艽a文件發(fā)布到各業(yè)務(wù)主機���;應(yīng)用程序啟動時從各業(yè)務(wù)主機的密碼文件中獲取相應(yīng)的密碼配置�,通過解密功能實現(xiàn)密碼使用�����。
[0041]上述基本思想就是在各業(yè)務(wù)主機部署本地程序需要訪問系統(tǒng)和數(shù)據(jù)庫的密碼文件��,各應(yīng)用進程可以從密碼文件獲取相應(yīng)的密碼文件配置�,同時管理員可以通過Web進行密碼文件的修改發(fā)布。
[0042]如圖1所示���,本發(fā)明的業(yè)務(wù)系統(tǒng)密碼管理平臺包括:
[0043]Web管理服務(wù)模塊:用戶的操作終端通過與Web管理服務(wù)模塊相連接����,提供了一個統(tǒng)一���、直觀��、方便的操作界面給用戶進行更好的進行密碼管理���、以及結(jié)果信息展示等。
[0044]管理中心:用于管理數(shù)據(jù)庫中的各類配置����、用戶密碼和密碼文件、API動態(tài)庫生成���,同時向代理程序下發(fā)密碼文件�����。
[0045]數(shù)據(jù)庫:保存業(yè)務(wù)系統(tǒng)各類密碼配置�、主機配置����、口令配置、配置字典數(shù)據(jù)和用戶操作數(shù)據(jù)的保存等�。
[0046]密碼管理客戶端代理:部署在各業(yè)務(wù)主機上,實現(xiàn)本地管理的密碼文件��、API庫的修改和發(fā)布等。<