[发明专利]一种SSH秘钥管理的方法和系统

权利要求书

1.一种SSH秘钥管理的方法，其特征在于，包括以下步骤：

1)经由SSH远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息，并将其上报给SSH秘钥管理中心进行公示；

2)经由所述SSH秘钥管理中心的公证及预警模块根据所述公示来验证客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述SSH远程主机的主机公钥指纹；

3)若所述主机公钥指纹通过所述验证，则经由所述公证及预警模块根据所述公示来进一步验证所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的客户端公钥信息与IP信息，若所述主机公钥指纹未通过所述验证，则向客户端发出警告并拒绝访问；和

4)若所述客户端公钥信息与IP信息通过所述进一步验证则容许访问，若未通过，则拒绝访问。

2.根据权利要求1所述的方法，其特征在于，经由远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息包括：所述监控模块通过对所述SSH远程主机的～/.ssh/id_rsa.pub文件进行监控，收集所述主机公钥信息并记录生效时间，并对SSH远程主机秘钥的使用时间进行监控。

3.根据权利要求2所述的方法，其特征在于，当所述SSH远程主机秘钥的所述使用时间超过预定值时，所述监控模块提出所述使用时间超长告警。

4.根据权利要求1所述的方法，其特征在于，经由远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息包括：所述监控模块通过对所述SSH远程主机的～/.ssh/authorized_keys文件进行监控，收集所述客户端公钥信息与IP信息，记录客户端公钥信息的生效时间，并对客户端秘钥的使用时间进行监控。

5.根据权利要求4所述的方法，其特征在于，当所述客户端秘钥的所述使用时间超过预定值时，所述监控模块通知删除所述客户端的秘钥。

6.根据权利要求1所述的方法，其特征在于，所述SSH秘钥管理中心设置在另一个主机中，所述公证及预警模块设置在所述SSH秘钥管理中心内。

7.根据权利要求1所述的方法，其特征在于，根据所述公示来验证客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述SSH远程主机的主机公钥指纹包括：将所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的主机公钥指纹与公示的所述SSH远程主机的主机公钥指纹进行匹配。

8.根据权利要求1所述的方法，其特征在于，经由所述公证及预警模块根据所述公示来进一步验证所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的客户端公钥信息与IP信息包括：将所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述客户端公钥信息和IP信息与公示的所述客户端公钥信息和IP信息进行匹配。

9.一种实现如权利要求1至8所述方法的系统，其特征在于，包括：

监控模块，所述监控模块位于SSH远程主机上并且用于收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息，并将其上报给SSH秘钥管理中心公示；和

SSH秘钥管理中心，所述SSH秘钥管理中心包括：

公证及预警模块，所述公证及预警模块用于根据所述公示来验证客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述SSH远程主机的主机公钥指纹，并且根据所述公示来验证所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的客户端公钥信息与IP信息。

10.根据权利要求9所述的系统，其特征在于，

根据所述公示来验证所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述SSH远程主机的主机公钥指纹包括：将所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述主机公钥指纹与公示的所述SSH远程主机的主机公钥指纹进行匹配；

根据所述公示来验证所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的客户端公钥信息与IP信息包括：将所述客户端访问所述SSH远程主机时上传到所述SSH秘钥管理中心的所述客户端公钥信息和IP信息与公示的所述客户端公钥信息和IP信息进行匹配。