[发明专利]一种安全登录方法、装置及系统

说明书

技术领域

本发明涉及互联网领域，尤其涉及一种安全登录方法、装置及系统。

背景技术

随着信息技术的不断发展，在诸如业务系统、网络系统等大型组网系统中，往往需要多台服务器通过内网互联来实现业务功能。为了方便管理员的操作，其可通过ssh客户端连接系统中的服务器，对服务器进行远程管理操作。ssh(Secure Shell，是建立在应用层和传输层基础上的安全协议)是一种专为远程登录会话和其它网络服务提供安全性的协议，利用ssh协议可以有效防止远程管理过程中的信息泄露问题。

在管理员通过ssh客户端连接系统中的服务器时，需要输入用于验证登录者身份的用户名和密码，由于系统中服务器较多，且各服务器的ssh登录用户名或密码设置又各不相同，为了方便管理员ssh远程登录，现有技术中普遍采用互信机制。即管理员通过ssh客户端远程登录系统中的服务器A后，可以服务器A为跳板ssh到该系统内的其它服务器，具体实现为：管理员手动输入用户名密码成功登录服务器A后，A会将预先定义的登录令牌传递给服务器B，由B根据登录令牌确认是否准许管理员登录；如果B准许则管理员在ssh远程登录服务器B时，就无需再次输入登录用户名和密码。

上述的互信机制虽在一定程度上方便了管理员的登录操作，但却存在较大的安全隐患。这主要是因为，系统中的服务器比较多，服务器的安全防护机制参差不齐，如果系统中任何一台防护比较薄弱的服务器被攻击，则攻击者就可以通过被攻击的服务器跳转登录到其它服务器，出现一点攻破全网的情况，严重威胁到系统安全。

发明内容

本发明实施例的安全登录方法、装置及系统，在方便管理者远程登录操作的同时，还能有效提高系统的安全性。

为此，本发明实施例提供如下技术方案：

一种安全登录方法，其特征在于，安全登录装置保存有服务器登录序列，所述方法包括：

接收目的服务器发送的登录请求，所述登录请求包含源服务器标识和目的服务器标识；

根据所述源服务器标识和目的服务器标识判断所述登录请求是否符合所述服务器登录序列；

如果符合，则向所述目的服务器返回验证成功消息，允许登录者登录所述目的服务器；如果否，则向所述目的服务器返回验证失败消息。

优选的，所述安全登录装置还保存有登录索引值，则所述判断所述登录请求是否符合所述服务器登录序列，具体包括：

将所述登录索引值加1作为当前登录索引值，判断所述目的服务器是否为所述当前登录索引值对应在所述服务器登录序列中的待登录服务器；

如果是，则判定所述登录请求符合所述服务器登录序列，并更新所述登录索引值为当前登录索引值。

优选的，所述安全登录装置还保存有服务器登录序列与会话标识间的对应关系，且所述登录请求中还包含会话标识，则在所述判断所述登录请求是否符合所述服务器登录序列之前，所述方法还包括：

根据所述会话标识查找与之对应的服务器登录序列，然后再执行所述判断所述登录请求是否符合所述服务器登录序列的步骤。

优选的，保存所述服务器登录序列、服务器登录序列与会话标识间的对应关系、以及登录索引值的方式为：

接收首次登录服务器发送的会话标识，所述会话标识为所述首次登录服务器在登录者身份验证合法后生成的；

随机生成一组服务器登录序列，并建立所述服务器登录序列与所述会话标识间的对应关系；

建立所述登录索引值与所述服务器登录序列中首次登录服务器间的对应关系，并初始化所述登录索引值为零。

优选的，所述方法还包括：

在所述随机生成一组服务器登录序列之前，

判断所述安全登录装置是否已保存所述会话标识，如果未保存，再执行所述随机生成一组服务器登录序列的步骤。

优选的，所述方法还包括：

所述目的服务器向所述安全登录装置发送所述登录请求之前，

所述目的服务器验证所述源服务器发送的登录令牌，如果所述登录令牌验证合法，则向所述安全登录装置发送所述登录请求。

优选的，所述方法还包括：

记录所述安全登录装置返回所述验证失败消息的次数，如果超过预设值，则重新生成一组服务器登录序列，建立并保存所述新的服务器登录序列与所述会话标识间的对应关系、初始化所述登录索引值。

一种安全登录装置，所述装置包括：

保存单元，用于保存服务器登录序列；