[发明专利]一种SSH秘钥管理的方法和系统

说明书

一种SSH秘钥管理的方法，包括以下步骤：1)经由SSH远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息，并将其上报给SSH秘钥管理中心进行公示；2)经由SSH秘钥管理中心的公证及预警模块根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的SSH远程主机的主机公钥指纹；3)若主机公钥指纹通过验证，则经由公证及预警模块根据公示来进一步验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的客户端公钥信息与IP信息，若主机公钥指纹未通过验证，则向客户端发出警告并拒绝访问；和4)若客户端公钥信息与IP信息通过进一步验证则容许访问，若未通过，则拒绝访问。通过使用该方法能够有效的提高SSH远程连接的安全性。

技术领域

本发明涉及通信领域，并且更具体地涉及一种SSH秘钥管理的方法和系统。

背景技术

SSH协议为Secure Shell(安全外壳程序)的缩写，由IETF的网络工作小组(Network Working Group)所定制，SSH为建立在应用层和传输层基础上的安全协议是目前可靠的、专为远程登录会话和其他网络服务提供安全性的协议。传统的网络服务程序在传输机制和实现原理上没有考虑安全机制，只是使用简单的安全验证方式，因此用户和服务器间传输的数据很容易受到网络黑客的攻击。为了保证数据的安全性，SSH以其更安全的特性渐渐替代了传统的网络服务程序。

SSH用于安全认证的方式，目前来说有两种，第一种是基于口令的安全验证，通过账号和口令，就可以远程登陆到SSH远程主机，所有的传输数据都会被加密，但是不能保证所连接的服务器就是目标服务器，可能会受到“中间人”攻击。第二种是基于秘钥的安全验证，客户端生成秘钥对，将公钥存放于SSH远程主机。客户端链接SSH远程主机时，SSH远程主机会将一段随机字符串发送给客户端，客户端根据自己的私钥将随机字符串加密后，再发送给SSH远程主机，SSH远程主机接收到后，使用公钥解密，如果正确解密，则允许登陆，否则拒绝链接。

但是，这两种安全认证方式不能有效的防备“中间人”攻击，并且不能合理对秘钥进行管理，不能有效的及时更换秘钥，保证秘钥的安全性。

发明内容

有鉴于此，本发明实施例的目的在于提出了一种SSH秘钥管理的方法和系统，能够实现保管SSH远程主机以及客户端的秘钥信息，并对SSH远程主机公钥指纹进行公证，从而建立秘钥数据管理及客户端与SSH主机之间的访问网络信息，并强制周期性更换秘钥，针对客户端公钥与IP不匹配进行秘钥丢失预警，能够有效的提高SSH远程连接的安全性。

基于上述目的，本发明的实施例的一个方面提供了一种SSH秘钥管理的方法，包括以下步骤：

1)经由SSH远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息，并将其上报给SSH秘钥管理中心进行公示；

2)经由SSH秘钥管理中心的公证及预警模块根据公示来验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的SSH远程主机的主机公钥指纹；

3)若主机公钥指纹通过验证，则经由公证及预警模块根据公示来进一步验证客户端访问SSH远程主机时上传到SSH秘钥管理中心的客户端公钥信息与IP信息，若主机公钥指纹未通过验证，则向客户端发出警告并拒绝访问；和

4)若客户端公钥信息与IP信息通过该进一步验证则容许访问，若未通过，则拒绝访问。

根据本发明的一个实施例，经由远程主机的监控模块收集SSH远程主机的主机公钥信息以及客户端公钥信息与IP信息包括：监控模块通过对SSH远程主机的～/.ssh/id_rsa.pub文件进行监控，收集主机公钥信息并记录生效时间，并对SSH远程主机秘钥的使用时间进行监控。

根据本发明的一个实施例，当SSH远程主机秘钥的使用时间超过预定值时，监控模块提出使用时间超长告警。