本发明属于计算机通信与网络安全技术领域,尤其是涉及堡垒机的ukey代理实现方法。
背景技术:
传统的运维模式中,运维用户直接通过本地设备连接到远程服务器,进行运维管理操作,整个操作过程不可控,存在较大的安全风险。安全运维系统(也称堡垒机)是一种面向运维用户的安全审计产品,运维用户通过堡垒机的集中管理和授权管理功能,完成对大量设备账号的运维管理操作。堡垒机实际上充当了中间代理的角色,运维用户在本地设备先通过与堡垒机连接,建立与远程服务器的间接连接,可以完全记录运维用户的完整运维过程。
而为了确保合法用户才能访问其拥有权限的资源,解决it系统中普遍存在的交叉运维而无法定位到具体人的问题,堡垒机需要具备身份管理和认证功能,以满足满足“谁能做”的授权需求和“谁做的”审计系统要求,usbkey(ukey)就是一种较为可靠的认证方式。
实际应用中,随着企业系统、网络规模的扩大,设备及其管理人员也相应的增多,有的企业甚至会将运维工作交予外部人员;由于运维用户角色及设备功能的不同,会存在同一个运维用户同时管理多台设备,也会存在同一台设备被多个运维用户共同管理。因此,运维人员需要从其所拥有甚至其运维电脑上已插着的众多ukey中选择要运维设备的ukey,目前的堡垒机难以实现快速准确的识别和验证。
技术实现要素:
有鉴于此,本发明旨在提供一种堡垒机的ukey映射方法,实现堡垒机快速获取运维用户电脑的usb设备,并且当运维用户选定运维目标后,高效的将ukey映射到堡垒机,实现高效的ukey认证。该方案的内容包括:
服务器向ukey端发送设备列表请求命令;
ukey端枚举当前usb大容量设备及ukey设备,将设备信息返回服务器;
服务器从设备列表选定待映射的ukey并向ukey端发请求命令;
ukey端加载ukey驱动,以替换原始usb驱动,并将ukey信息返回服务器,将ukey信息存入共享内存;
创建虚拟ukey端登录用户名,虚拟ukey端连接服务器并发送登录用户名存入共享内存;
虚拟ukey端收到服务器转发的ukey端挂载请求,加载所述ukey驱动并将所述登录用户名传入ukey驱动,向ukey端返回挂载成功消息。
作为优选的,ukey端电脑插入usb设备时,自动加载原始usb驱动。
进一步的,若插入的usb设备需要重启才能生效,则提示用户重启电脑,重启后自动加载驱动。
若ukey驱动替换原始usb驱动并加载成功,则连接服务器相应的驱动数据交换端口;若ukey驱动加载失败,则回滚原始usb驱动。
作为优选的,虚拟ukey端向ukey端返回挂载成功消息后,连接服务器相应的驱动数据交换端口,与ukey端建立驱动数据交换连接,开始进行数据交互。
优选的,ukey端,和/或虚拟ukey端收到服务器的卸载请求时,断开驱动数据交换连接,并卸载相应的ukey驱动。
进一步的,若驱动数据交换连接断开,ukey端提示是否卸载相应的ukey驱动,并设置电脑重启后自动卸载该ukey驱动。
再进一步的,虚拟ukey端的登录用户退出或重启后,自动卸载所述ukey驱动。
以上的技术方案,具备以下有益效果:在运维用户的电脑上,通过ukey驱动替换,将ukey相关信息发送至堡垒机服务器,堡垒机进一步将ukey驱动及信息映射到windows虚拟主机,创建相应的虚拟ukey端,运维用户电脑的ukey端与堡垒机的虚拟ukey端进行ukey驱动数据的交互,从而堡垒机实现对远程运维用户ukey的认证;并且可以有效提高一个用户下多个ukey以及一个目标被多人运维场景下,ukey认证的效率和安全性,从而进一步提高运维效率。
具体实施方式
堡垒机的ukey映射方法,包括:
服务器向ukey端发送设备列表请求命令;
ukey端枚举当前usb大容量设备及ukey设备,将设备信息返回服务器;
服务器从设备列表选定待映射的ukey并向ukey端发请求命令;
ukey端加载ukey驱动,以替换原始usb驱动,并将ukey信息返回服务器,将ukey信息存入共享内存;
创建虚拟ukey端登录用户名,虚拟ukey端连接服务器并发送登录用户名存入共享内存;
虚拟ukey端收到服务器转发的ukey端挂载请求,加载所述ukey驱动并将所述登录用户名传入ukey驱动,向ukey端返回挂载成功消息。
作为优选的,ukey端电脑插入usb设备时,自动加载原始usb驱动。
进一步的,若插入的usb设备需要重启才能生效,则提示用户重启电脑,重启后自动加载驱动。
若ukey驱动替换原始usb驱动并加载成功,则连接服务器相应的驱动数据交换端口;若ukey驱动加载失败,则回滚原始usb驱动。
作为优选的,虚拟ukey端向ukey端返回挂载成功消息后,连接服务器相应的驱动数据交换端口,与ukey端建立驱动数据交换连接,开始进行数据交互。
优选的,ukey端,和/或虚拟ukey端收到服务器的卸载请求时,断开驱动数据交换连接,并卸载相应的ukey驱动。
进一步的,若驱动数据交换连接断开,ukey端提示是否卸载相应的ukey驱动,并设置电脑重启后自动卸载该ukey驱动。
再进一步的,虚拟ukey端的登录用户退出或重启后,自动卸载所述ukey驱动。
下面列举一实施例对本技术方案进行详细说明。
本发明的技术方案主要涉及三方设备,分别是ukey端、堡垒机、虚拟ukey端。
ukey端(即插入usb设备的电脑主机)用户下载stub映射工具,连接至linux堡垒机端的控制端口,开始运维;作为一种优选的实施方式,用户可以选择是否进行ukey映射操作,当选择进行映射时,linux堡垒机向ukey端发送请求设备列表的命令。stub进程罗列当前主机的所有usb大容量设备(包括ukey设备),将所有的设备信息发送到linux堡垒机服务器,这些设备信息中包括usb设备的名称,产商,权限信息等。
linux堡垒机将收到的所有信息都存入共享内存的表,该表内的usb设备信息还包括ukey端与堡垒机建立的当前会话id,usb设备id。
ukey端选择要运维的目标设备发起运维操作,堡垒机向ukey端的用户展示当前主机的所有usb设备,用户选定要映射的ukey后,堡垒机发送挂载该设备驱动的请求到stub进程,请求中包含设备信息,用户权限信息,数据端口。stub端进程加载该ukey设备的驱动,替换掉主机的原始usb设备驱动,此时,若插入的设备需要重启,则提示用户重启电脑。ukey端向堡垒机发送当前驱动挂载请求消息。
ukey端发起运维操作的同时,堡垒机在虚拟机创建虚拟ukey端用户,当虚拟ukey端用户收到堡垒机转发的ukey端驱动挂载请求后,将对应的可访问用户名传入驱动信息并向ukey端发送挂载成功的响应。至此,ukey端与虚拟ukey端之间建立起驱动数据交换连接,开始数据交互。
ukey端的驱动卸载机制:若收到linux堡垒机的卸载请求,则断开驱动数据交换连接,卸载驱动;若驱动数据交换链接意外断开,则弹窗提醒用户是否卸载驱动,并设置重启电脑后自动卸载驱动。
虚拟ukey端的驱动卸载机制:若收到linux卸载请求,则断开驱动数据交换连接,卸载驱动;若用户退出后或重启,则自动卸载驱动。
基于上述实施例的一种ukey验证方式:web界面将设备信息,用户权限信息传入ukey验证工具;web插件唤醒虚拟ukey端进程,传入设备信息;虚拟ukey端映射驱动成功后通知ukey验证工具;ukey验证工具根据设备id验证权限信息。
上述的实施例,在运维用户的电脑上,通过ukey驱动替换,将ukey相关信息发送至堡垒机服务器,堡垒机进一步将ukey驱动及信息映射到windows虚拟主机,创建相应的虚拟ukey端,运维用户电脑的ukey端与堡垒机的虚拟ukey端进行ukey驱动数据的交互,从而堡垒机实现对远程运维用户ukey的认证;并且可以有效提高一个用户下多个ukey以及一个目标被多人运维场景下,ukey认证的效率和安全性,从而进一步提高运维效率。
1.堡垒机的ukey映射方法,其特征在于,包括:
服务器向ukey端发送设备列表请求命令;
ukey端枚举当前usb大容量设备及ukey设备,将设备信息返回服务器;
服务器从设备列表选定待映射的ukey并向ukey端发请求命令;
ukey端加载ukey驱动,以替换原始usb驱动,并将ukey信息返回服务器,将ukey信息存入共享内存;
创建虚拟ukey端登录用户名,虚拟ukey端连接服务器并发送登录用户名存入共享内存;
虚拟ukey端收到服务器转发的ukey端挂载请求,加载所述ukey驱动并将所述登录用户名传入ukey驱动,向ukey端返回挂载成功消息。
2.根据权利要求1所述的ukey映射方法,其特征在于,ukey端电脑插入usb设备时,自动加载原始usb驱动。
3.根据权利要求2所述的ukey映射方法,其特征在于,若插入的usb设备需要重启才能生效,则提示用户重启电脑,重启后自动加载驱动。
4.根据权利要求1所述的ukey映射方法,其特征在于,若ukey驱动替换原始usb驱动并加载成功,则连接服务器相应的驱动数据交换端口;若ukey驱动加载失败,则回滚原始usb驱动。
5.根据权利要求1所述的ukey映射方法,其特征在于,虚拟ukey端向ukey端返回挂载成功消息后,连接服务器相应的驱动数据交换端口,与ukey端建立驱动数据交换连接,开始进行数据交互。
6.根据权利要求1所述的ukey映射方法,其特征在于,ukey端,和/或虚拟ukey端收到服务器的卸载请求时,断开驱动数据交换连接,并卸载相应的ukey驱动。
7.根据权利要求6所述的ukey映射方法,其特征在于,若驱动数据交换连接断开,ukey端提示是否卸载相应的ukey驱动,并设置电脑重启后自动卸载该ukey驱动。
8.根据权利要求6所述的ukey映射方法,其特征在于,虚拟ukey端的登录用户退出或重启后,自动卸载所述ukey驱动。
技术总结