本發(fā)明涉及網(wǎng)絡(luò)管理領(lǐng)域，尤其涉及設(shè)備弱口令管理方法及裝置。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的快速發(fā)展和普及，各企業(yè)不斷加大互聯(lián)網(wǎng)系統(tǒng)的建設(shè)與投入，使得企業(yè)網(wǎng)絡(luò)系統(tǒng)中的終端設(shè)備數(shù)量不斷增加，相應(yīng)的，網(wǎng)絡(luò)系統(tǒng)中所保存的企業(yè)關(guān)鍵數(shù)據(jù)量也越來(lái)越多。終端賬號(hào)的登錄口令安全作為一個(gè)網(wǎng)絡(luò)系統(tǒng)的重要安全要素，對(duì)企業(yè)網(wǎng)絡(luò)信息安全起到舉足輕重的作用。如果登錄口令的等級(jí)設(shè)置的太過(guò)低，則容易被攻擊者猜測(cè)到或被破解工具破解，進(jìn)而會(huì)對(duì)企業(yè)管理系統(tǒng)中保存的數(shù)據(jù)構(gòu)成較大的威脅，因此，需要對(duì)網(wǎng)絡(luò)中終端賬號(hào)的登錄口令進(jìn)行重點(diǎn)管理。

現(xiàn)有技術(shù)中，在進(jìn)行終端登錄口令檢查時(shí)，通常首先利用口令核查工具獲取目標(biāo)網(wǎng)絡(luò)中各終端賬號(hào)的登錄口令。然后對(duì)獲取的登錄口令進(jìn)行安全等級(jí)進(jìn)行分析，以確定所獲取的登錄口令是否為弱口令；如果所獲取的登錄口令是弱口令，則將登陸口令和設(shè)備賬號(hào)形成分析報(bào)告，展示給網(wǎng)絡(luò)運(yùn)維人員。最后，網(wǎng)絡(luò)運(yùn)維人員根據(jù)該分析報(bào)告，人工開(kāi)啟設(shè)備遠(yuǎn)程連接工具登陸存在弱口令的終端設(shè)備，手動(dòng)執(zhí)行口令修改相關(guān)指令(如，在centos系統(tǒng)中執(zhí)行passwd指令)，或者，將編寫(xiě)好的口令修改腳本發(fā)送給該終端設(shè)備，控制終端設(shè)備執(zhí)行口令修改腳本，以將其終端賬號(hào)登錄口令修改為安全等級(jí)高的登錄口令。

隨著網(wǎng)絡(luò)中的終端設(shè)備不斷增多，可能存在的弱口令修復(fù)工作也在不斷增多，然而，上述采用人工或腳本修復(fù)弱口令的方式，卻需要依賴(lài)于網(wǎng)絡(luò)運(yùn)維人員的操作，因此，會(huì)造成大量的人工消耗，甚至造成某些設(shè)備弱口令修復(fù)工作不夠及時(shí)，影響其設(shè)備內(nèi)部所存儲(chǔ)數(shù)據(jù)的安全性。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)現(xiàn)有技術(shù)中的設(shè)備弱口令修復(fù)工作需要依賴(lài)于網(wǎng)絡(luò)運(yùn)維人員的問(wèn)題，本發(fā)明實(shí)施例提供了一種設(shè)備弱口令管理方法及裝置。

根據(jù)本發(fā)明實(shí)施例的第一方面，提供了一種設(shè)備弱口令管理方法，該方法包括：

根據(jù)預(yù)設(shè)賬戶(hù)登錄口令的安全檢查標(biāo)準(zhǔn)，獲取目標(biāo)設(shè)備中存在的弱口令用戶(hù)賬號(hào)；

根據(jù)預(yù)設(shè)密碼策略，為所述弱口令用戶(hù)賬號(hào)生成符合所述預(yù)設(shè)密碼策略的新登錄口令；

將所述新登錄口令與弱口令字典中的口令進(jìn)行比對(duì)，判斷所述新登錄口令是否存在于所述弱口令字典中；

如果所述新登錄口令未存在于所述弱口令字典中，則將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令。

可選地，所述方法還包括：

獲取所述目標(biāo)設(shè)備的密碼策略；

將所述密碼策略與所述預(yù)設(shè)密碼策略進(jìn)行比對(duì)，判斷所述密碼策略是否符合所述預(yù)設(shè)密碼策略的要求；

如果所述密碼策略不符合所述預(yù)設(shè)密碼策略的要求，則將所述目標(biāo)設(shè)備的密碼策略修改為所述預(yù)設(shè)密碼策略。

可選地，獲取所述目標(biāo)設(shè)備的密碼策略，包括：

獲取所述目標(biāo)設(shè)備的密碼策略文件；

對(duì)所述密碼策略文件進(jìn)行解析，得到所述目標(biāo)設(shè)備的密碼策略。

可選地，將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令之前，所述方法還包括：

將所述弱口令用戶(hù)賬號(hào)的當(dāng)前的登錄口令和所述新登錄口令進(jìn)行存儲(chǔ)。

可選地，將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令之后，所述方法還包括：

將所述弱口令用戶(hù)賬號(hào)和所述新登錄口令發(fā)送至第三方賬號(hào)管理系統(tǒng)。

可選地，將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令之后，所述方法還包括：

重新獲取所述弱口令用戶(hù)賬號(hào)的新登錄口令；

根據(jù)所述預(yù)設(shè)賬戶(hù)登錄口令的安全檢查標(biāo)準(zhǔn)，判斷所述重新獲取的新登錄口令是否為弱口令；

如果所述重新獲取的新登錄口令是弱口令，則為所述弱口令用戶(hù)賬號(hào)重新生成符合所述預(yù)設(shè)密碼策略的登錄口令。

根據(jù)本發(fā)明實(shí)施例的第二方面，還提供了一種設(shè)備弱口令管理裝置，所述裝置包括：

弱口令賬戶(hù)獲取模塊：用于根據(jù)預(yù)設(shè)賬戶(hù)登錄口令的安全檢查標(biāo)準(zhǔn)，獲取目標(biāo)設(shè)備中存在的弱口令用戶(hù)賬號(hào)；

登錄口令生成模塊：用于根據(jù)預(yù)設(shè)密碼策略，為所述弱口令用戶(hù)賬號(hào)生成符合所述預(yù)設(shè)密碼策略的新登錄口令；

登錄口令驗(yàn)證模塊：用于將所述新登錄口令與弱口令字典中的口令進(jìn)行比對(duì)，判斷所述新登錄口令是否存在于所述弱口令字典中；

登錄口令設(shè)置模塊：用于如果所述新登錄口令未存在于所述弱口令字典中，則將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令。

可選地，所述裝置還包括：

密碼策略獲取模塊：用于獲取所述目標(biāo)設(shè)備的密碼策略；

密碼策略分析模塊：用于將所述密碼策略與所述預(yù)設(shè)密碼策略進(jìn)行比對(duì)，判斷所述密碼策略是否符合所述預(yù)設(shè)密碼策略的要求；

密碼策略修改模塊：用于如果所述密碼策略不符合所述預(yù)設(shè)密碼策略的要求，則將所述目標(biāo)設(shè)備的密碼策略修改為所述預(yù)設(shè)密碼策略。

可選地，所述裝置還包括對(duì)外接口模塊，其中：

所述對(duì)外接口模塊，用于將所述弱口令用戶(hù)賬號(hào)和所述新登錄口令發(fā)送至第三方賬號(hào)管理系統(tǒng)。

可選地，所述裝置還包括可視化模塊，其中：

所述可視化模塊，用于將弱口令賬戶(hù)獲取模塊、登錄口令生成模塊、登錄口令驗(yàn)證模塊和登錄口令設(shè)置模塊對(duì)數(shù)據(jù)的處理過(guò)程以及處理結(jié)果進(jìn)行展示。

由以上技術(shù)方案可見(jiàn)，本發(fā)明實(shí)施例提供的一種設(shè)備弱口令管理方法及裝置，根據(jù)預(yù)設(shè)賬戶(hù)登錄口令安全檢查標(biāo)準(zhǔn)，獲取目標(biāo)設(shè)備中存在的弱口令用戶(hù)賬號(hào)；然后，根據(jù)預(yù)設(shè)密碼策略，為所述弱口令用戶(hù)賬號(hào)生成符合所述預(yù)設(shè)密碼策略的新登錄口令，并對(duì)生成的新登錄口令進(jìn)行弱口令檢測(cè)，如果不是弱口令，則將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令。本實(shí)施例提供的方法，可以自動(dòng)化完成弱口令的檢查及自動(dòng)修復(fù)工作，這樣不僅可以減輕運(yùn)維人員的工作，還可以及時(shí)的對(duì)設(shè)備中的弱口令進(jìn)行修正，在最短的時(shí)間內(nèi)杜絕弱口令在網(wǎng)絡(luò)系統(tǒng)中的存在，進(jìn)而避免了因弱口令造成系統(tǒng)數(shù)據(jù)流失而給企業(yè)帶來(lái)的經(jīng)濟(jì)損失。

應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本發(fā)明。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，對(duì)于本領(lǐng)域普通技術(shù)人員而言，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例提供的一種設(shè)備弱口令管理方法的基本流程示意圖；

圖2為本發(fā)明實(shí)施例提供的另一種設(shè)備弱口令管理方法的基本流程示意圖；

圖3為本發(fā)明實(shí)施例提供的又一種設(shè)備弱口令管理方法的基本流程示意圖；

圖4為本發(fā)明實(shí)施例提供的一種設(shè)備弱口令管理裝置的基本結(jié)構(gòu)示意圖。

具體實(shí)施方式

這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說(shuō)明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書(shū)中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。

針對(duì)現(xiàn)有技術(shù)中，在進(jìn)行設(shè)備弱口令管理時(shí)，有設(shè)備弱口令檢查的方法，但是現(xiàn)有方法僅能夠提供弱口令及用戶(hù)賬好相關(guān)的展示功能，不能針對(duì)弱口令的問(wèn)題進(jìn)行自動(dòng)修復(fù)，而是需要人工編寫(xiě)腳本批量執(zhí)行或開(kāi)啟設(shè)備遠(yuǎn)程連接工具，手動(dòng)執(zhí)行口令修改相關(guān)指令方可完成修復(fù)工作，即缺乏自動(dòng)化的技術(shù)手段支撐大量重復(fù)性的修復(fù)工作，導(dǎo)致的修復(fù)效率低、修復(fù)工作不夠及時(shí)等問(wèn)題。本發(fā)明實(shí)施例提供了一種設(shè)備弱口令管理方法及裝置，以自動(dòng)化的完成弱口令的檢查及修復(fù)工作。

圖1為本發(fā)明實(shí)施例提供的一種設(shè)備弱口令管理方法的基本流程示意圖。如圖1所示，該方法具體包括如下步驟：

s110：根據(jù)預(yù)設(shè)賬戶(hù)登錄口令的安全檢查標(biāo)準(zhǔn)，獲取目標(biāo)設(shè)備中存在的弱口令用戶(hù)賬號(hào)。

其中，設(shè)備賬戶(hù)的登錄口令是指一個(gè)字符串，在終端設(shè)備用戶(hù)登錄時(shí)，需要輸入正確的登錄口令才能進(jìn)入該設(shè)備系統(tǒng)。其中，上述字符串中字符的種類(lèi)可以包括：數(shù)字、大寫(xiě)字母、小寫(xiě)字母以及特殊字符等。弱口令即是容易被他人猜測(cè)到或被破解工具破解的口令，如oracle數(shù)據(jù)庫(kù)在安裝后system用戶(hù)的默認(rèn)密碼是“manager”便是弱口令。目標(biāo)設(shè)備可以是網(wǎng)絡(luò)中的主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、防火墻等設(shè)備。

進(jìn)一步的，本實(shí)施例中的用戶(hù)賬號(hào)可以為終端設(shè)備的普通用戶(hù)，也可以是系統(tǒng)管理員的高權(quán)限用戶(hù)。相應(yīng)的，上述登錄口令可以為終端設(shè)備用戶(hù)輸入的普通用戶(hù)級(jí)登錄口令，也可以是系統(tǒng)管理員輸入的高權(quán)限登錄口令，以上兩種登錄口令僅在登錄權(quán)限上存在不同，兩者的口令組成并無(wú)本質(zhì)無(wú)差異。

在本發(fā)明實(shí)施例中，預(yù)設(shè)賬戶(hù)登錄口令的安全等級(jí)檢查標(biāo)準(zhǔn)，該安全檢查標(biāo)準(zhǔn)是判斷用戶(hù)賬號(hào)的登錄口令是否為弱口令的重要標(biāo)準(zhǔn)，具體的，該預(yù)設(shè)賬戶(hù)登錄口令安全檢查標(biāo)準(zhǔn)可以是弱口令字典，但并不限于弱口令字典，例如，還可以弱口令字典結(jié)合密碼策略等。利用該安全等級(jí)檢查標(biāo)準(zhǔn)對(duì)登錄口令的安全等級(jí)進(jìn)行判斷，得出判斷結(jié)果。在具體應(yīng)用中，該安全等級(jí)檢查標(biāo)準(zhǔn)可以由設(shè)備自行生成，也可以由設(shè)備管理員根據(jù)目標(biāo)設(shè)備的特點(diǎn)進(jìn)行人工設(shè)置。

具體的，在進(jìn)行賬戶(hù)弱口令檢查時(shí)，可以通過(guò)telnet、ssh等協(xié)議登錄到目標(biāo)設(shè)備，向目標(biāo)設(shè)備發(fā)送獲取登錄口令的指令，以獲取目標(biāo)設(shè)備返回的登錄口令文件；然后，采用離線(xiàn)形式，根據(jù)預(yù)設(shè)賬戶(hù)登錄口令的安全等級(jí)檢查標(biāo)準(zhǔn)，對(duì)上述登錄口令文件中用戶(hù)賬號(hào)的登錄口令進(jìn)行分析。例如，上述預(yù)設(shè)賬戶(hù)登錄口令的安全檢查標(biāo)準(zhǔn)為弱口令字典時(shí)，則判斷上述登錄口令文件中的登錄口令是否存在于弱口令字典中，如果存在于弱口令字典中，則說(shuō)明該用戶(hù)賬號(hào)的登錄口令為弱口令。

另外，如果上述預(yù)設(shè)賬戶(hù)登錄口令的安全檢查標(biāo)準(zhǔn)為密碼策略結(jié)合弱口令字典的方式時(shí)，則可以先判斷用戶(hù)賬號(hào)的登錄口令是否符合密碼策略，如果不符合密碼策略，則說(shuō)明是弱口令；如果符合密碼策略，則繼續(xù)判斷其是否存在于弱口令字典中；如果存在于弱口令字典中，則說(shuō)明該用戶(hù)賬號(hào)的登錄口令為弱口令，相反，則不是弱口令。利用上述先用密碼策略進(jìn)行初步判斷的方式，與直接利用弱口令字典中判斷相比，可以快速確認(rèn)出一些安全等級(jí)低的密碼，例如，系統(tǒng)的默認(rèn)密碼等。

其中，進(jìn)行是否符合密碼策略判斷時(shí)，可以采用如下判斷步驟：判斷所獲取的登錄口令的字段長(zhǎng)度是否大于預(yù)設(shè)長(zhǎng)度；當(dāng)該登錄口令的字段長(zhǎng)度小于或等于所述預(yù)設(shè)長(zhǎng)度時(shí)，確認(rèn)該登錄口令為弱口令。相反，當(dāng)該登錄口令的字段長(zhǎng)度大于預(yù)設(shè)長(zhǎng)度時(shí)，則判斷該登錄口令是否為連續(xù)重復(fù)的字符段組成，當(dāng)該登錄口令由連續(xù)重復(fù)的字符段組成時(shí)，確認(rèn)該登錄口令為弱口令。相反，當(dāng)所述登錄口令不是由連續(xù)重復(fù)的字符段組成時(shí)，則判斷該登錄口令是否均由大寫(xiě)或小寫(xiě)英文字母組成，當(dāng)所述登錄口令均由大寫(xiě)或小寫(xiě)英文字母組成時(shí)，確認(rèn)該登錄口令為弱口令。相反，當(dāng)所述登錄口令不是均由大寫(xiě)或小寫(xiě)英文字母組成時(shí)，則判斷該登錄口令是否均由阿拉伯?dāng)?shù)字組成，當(dāng)所述登錄口令均由阿拉伯?dāng)?shù)字組成時(shí)，確認(rèn)該登錄口令為弱口令；當(dāng)所述登錄口令不是均由阿拉伯?dāng)?shù)字組成時(shí)，確認(rèn)該登錄口令符合密碼策略，進(jìn)而可以進(jìn)行是否存在于弱口令字典中的判斷步驟。

當(dāng)然，在進(jìn)行目標(biāo)設(shè)備的弱口令檢測(cè)時(shí)，還可以根據(jù)預(yù)設(shè)賬戶(hù)登錄口令的安全檢查標(biāo)準(zhǔn)，采用遠(yuǎn)程連接目標(biāo)設(shè)備反復(fù)嘗試登錄賬號(hào)口令等方式來(lái)獲取目標(biāo)設(shè)備中存在弱口令用戶(hù)賬號(hào)，或者其它的檢查方式，本發(fā)明實(shí)施例在此不再一一贅述。

s120：根據(jù)預(yù)設(shè)密碼策略，為所述弱口令用戶(hù)賬號(hào)生成符合所述預(yù)設(shè)密碼策略的新登錄口令。

其中，密碼策略是設(shè)備登錄口令安全性的標(biāo)志，主要包括密碼長(zhǎng)度限制、密碼復(fù)雜度限制、密碼有效時(shí)限、歷時(shí)密碼限制等因素。

s130：將所述新登錄口令與弱口令字典中的口令進(jìn)行比對(duì)，判斷所述新登錄口令是否存在于所述弱口令字典中。

其中，弱口令字典是指若干弱口令的集合。該弱口令字典可以由專(zhuān)門(mén)的弱口令字典生成工具制成，充分考慮各種弱口令的組合方式，通過(guò)列舉和窮舉的方式生成弱口令字典文件；當(dāng)然，還可以根據(jù)需要校驗(yàn)的目標(biāo)設(shè)備不同，專(zhuān)門(mén)配置有針對(duì)性的弱口令字典。

具體的，在進(jìn)行新登錄口令是否存在于弱口令字典中時(shí)，為了提升大數(shù)據(jù)量口令檢驗(yàn)的效率，可以采用多線(xiàn)程處理與二分查找法相結(jié)合的方式進(jìn)行檢驗(yàn)。首先，將弱口令字典拆分為多個(gè)子弱口令字典，每個(gè)子弱口令字典對(duì)應(yīng)一個(gè)檢驗(yàn)線(xiàn)程，只要不超過(guò)系統(tǒng)的運(yùn)算負(fù)荷量，可以同時(shí)設(shè)置上千條線(xiàn)程甚至更多條線(xiàn)程同時(shí)進(jìn)行對(duì)比。

然后，將各弱口令字典內(nèi)的口令按照一定的規(guī)律進(jìn)行排序，例如排序的方法可以為：數(shù)值排序(1至9)、字母小寫(xiě)排序(a至z)，字母大小寫(xiě)排序(a至z)，各口令從第一位開(kāi)始比較，如首位字符相同則比較第二位，如果第二位字符也相同再比較第三位，以此類(lèi)推，直到可以區(qū)分前后順序?yàn)橹梗纬赏暾男蛄斜怼?/p>

最后，將設(shè)置好的多個(gè)線(xiàn)程利用其對(duì)應(yīng)的已排序的各子弱口令字典，同時(shí)采用二分查找法來(lái)進(jìn)行對(duì)比檢驗(yàn)。比對(duì)時(shí)，先從子弱口令字典的中間位置口令比較，如果比對(duì)結(jié)果在字典列表的上半部分，則定位與上半部分字典的中間位置的口令進(jìn)行比較，再確認(rèn)新登錄口令所需對(duì)比的排序區(qū)域，然后再與中間位置的口令進(jìn)行比較，依次類(lèi)推。如果新登錄口令最終與子弱口令字典中的某個(gè)口令一樣，則判定該新登錄口令存在于弱口令字典中，相反，如果比對(duì)整個(gè)弱口令字典結(jié)束后，未找到相同的口令，則判定該新登錄口令不存在于弱口令字典中。

如果該新登錄口令不存在于弱口令字典中，則執(zhí)行步驟是140，相反，則返回執(zhí)行步驟s120，重新生成新登錄口令。

當(dāng)然，在具體實(shí)施過(guò)程中，還可以采用其它的方式進(jìn)行新生成登錄口令是否存在于弱口令字典的檢驗(yàn)，例如，逐一比對(duì)的方式，本發(fā)明實(shí)施例在此不做具體限定。

s140：如果所述新登錄口令未存在于所述弱口令字典中，則將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令。

具體的，登錄目標(biāo)設(shè)備將弱口令用戶(hù)賬號(hào)的登錄口令修改為該新登錄口令，接收目標(biāo)設(shè)備返回的修改結(jié)果，如果返回的修改結(jié)果為修改成功，則可以退出目標(biāo)設(shè)備登錄，即完成了弱口令用戶(hù)賬號(hào)的登錄口令自動(dòng)修復(fù)工作，相反，如果返回的修改結(jié)果為修改失敗，則可以返回步驟s120中進(jìn)行重新生成新口令。

進(jìn)一步的，為了提高本發(fā)明實(shí)施例的安全性與容錯(cuò)能力，將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令之前，本發(fā)明實(shí)施例還提供了如下步驟：將所述弱口令用戶(hù)賬號(hào)的當(dāng)前的登錄口令和所述新登錄口令進(jìn)行存儲(chǔ)。這樣，可以在修改登錄密碼不成功或者后續(xù)登錄設(shè)備時(shí)，能提供出正確的登錄口令。

另外，在將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令之后，本發(fā)明實(shí)施例還提供了如下步驟：將所述弱口令用戶(hù)賬號(hào)和所述新登錄口令發(fā)送至第三方賬號(hào)管理系統(tǒng)。利用上述步驟，可以將修復(fù)成功登錄口令以接口的形式同步給第三方賬好口令管理系統(tǒng)，與現(xiàn)有技術(shù)中的人工將新口令錄入進(jìn)賬好口令管理系統(tǒng)中的方式相比，可以減少人工運(yùn)維工作量，例如，將修改后的登錄口令發(fā)送給4a(authentication、account、authorization、audit，認(rèn)證、賬號(hào)、授權(quán)、審計(jì))統(tǒng)一安全管理平臺(tái)系統(tǒng)。

本發(fā)明實(shí)施例提供的設(shè)備弱口令管理方法，利用預(yù)設(shè)賬戶(hù)登錄口令安全檢查標(biāo)準(zhǔn)，對(duì)目標(biāo)設(shè)備用戶(hù)賬號(hào)的登錄口令進(jìn)行安全檢查，當(dāng)用戶(hù)賬號(hào)的口令為弱口令時(shí)，則自動(dòng)生成符合所述預(yù)設(shè)密碼策略的新登錄口令，以及將存在弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置成新登錄口令。由上述過(guò)程可見(jiàn)，本實(shí)施例提供的方法，可以自動(dòng)化完成弱口令的檢查及自動(dòng)修復(fù)工作，這樣不僅可以減輕運(yùn)維人員的工作，還可以及時(shí)的對(duì)設(shè)備中的弱口令進(jìn)行修正，在最短的時(shí)間內(nèi)杜絕弱口令在網(wǎng)絡(luò)系統(tǒng)中的存在，進(jìn)而避免了因弱口令造成系統(tǒng)數(shù)據(jù)流失而給企業(yè)帶來(lái)的經(jīng)濟(jì)損失。

為了防止目標(biāo)設(shè)備的密碼策略的配置較低，而使該目標(biāo)設(shè)備新建用戶(hù)賬號(hào)時(shí)，所設(shè)置的登錄密碼依然為弱口令，在后續(xù)需要重復(fù)對(duì)該設(shè)備的登錄口令進(jìn)行修復(fù)的問(wèn)題。本發(fā)明實(shí)施例還提供了對(duì)目標(biāo)設(shè)備的密碼策略進(jìn)行重新配置的方法。

圖2為本發(fā)明實(shí)施例提供的另一種設(shè)備弱口令管理方法的基本流程示意圖。如圖2所示，在步驟s110之后，該方法還包括如下步驟：

s210：獲取所述目標(biāo)設(shè)備的密碼策略。

具體的，可以首選，通過(guò)telnet、ssh等協(xié)議登錄到目標(biāo)設(shè)備，執(zhí)行獲取策略文件指令，獲取目標(biāo)設(shè)備返回的密碼策略文件的具體內(nèi)容。

以centos系統(tǒng)為例，“/etc/pam.d/system-auth”即是該目標(biāo)設(shè)備的密碼策略文件，使用root用戶(hù)執(zhí)行“cat/etc/pam.d/system-auth”指令，既可以獲取目標(biāo)設(shè)備返回的密碼策略文件。

然后，對(duì)所述密碼策略文件進(jìn)行解析，得到所述目標(biāo)設(shè)備的密碼策略。

具體的，可以解析策略文件中的【密碼長(zhǎng)度】、【密碼復(fù)雜度】、【密碼有效時(shí)限】、【歷時(shí)密碼設(shè)置】等相關(guān)配置內(nèi)容。

還是以centos系統(tǒng)為例，獲取到的密碼策略文件包括如下內(nèi)容：

“passwordrequisitepam_cracklib.soretry＝3difok＝3minlen＝10ucredit＝-1lcredit＝-2dcredit＝-1ocredit＝-1”

其中，上述文件中黑色加粗部分即為設(shè)備密碼策略設(shè)置內(nèi)容，譯為：密碼必須至少包含一個(gè)大寫(xiě)字母(ucredit)，兩個(gè)小寫(xiě)字母(lcredit)，一個(gè)數(shù)字(dcredit)和一個(gè)標(biāo)點(diǎn)符號(hào)(ocredit)組成。

利用程序通過(guò)正則表達(dá)式解析出以下內(nèi)容：

ucredit＝-1

lcredit＝-2

dcredit＝-1

ocredit＝-1

s220：將所述密碼策略與所述預(yù)設(shè)密碼策略進(jìn)行比對(duì)，判斷所述密碼策略是否符合所述預(yù)設(shè)密碼策略的要求。

具體的，可以以用戶(hù)定義或模塊內(nèi)置的密碼策略要求為基準(zhǔn)，對(duì)設(shè)備密碼策略設(shè)置具體值進(jìn)行比較，判斷當(dāng)前設(shè)備密碼策略設(shè)置是否安全。

以centos系統(tǒng)為例，當(dāng)前目標(biāo)設(shè)備密碼復(fù)雜度設(shè)置為：

“passwordrequisitepam_cracklib.soretry＝3difok＝3minlen＝10ucredit＝-1lcredit＝-1dcredit＝-1”。

用戶(hù)定義或模塊內(nèi)置的密碼策略要求為：

密碼必須至少包含一個(gè)大寫(xiě)字母，一個(gè)小寫(xiě)字母，一個(gè)數(shù)字和一個(gè)標(biāo)點(diǎn)符號(hào)組成。

經(jīng)過(guò)比對(duì)，設(shè)備上的密碼策略沒(méi)有“一個(gè)標(biāo)點(diǎn)符號(hào)(即ocredit＝-1)”的要求，所以鑒定結(jié)果為密碼策略不安全。

如果目標(biāo)設(shè)備的密碼策略符合預(yù)設(shè)密碼策略的要求，則可以執(zhí)行步驟s120，按照預(yù)設(shè)的密碼策略對(duì)目標(biāo)設(shè)備的登錄口令進(jìn)行修改，當(dāng)然，還可根據(jù)該目標(biāo)設(shè)備的密碼策略生成新的登錄口令，以進(jìn)行目標(biāo)設(shè)備的登錄口令修改工作；相反，則執(zhí)行步驟s230。

s230：如果所述密碼策略不符合所述預(yù)設(shè)密碼策略的要求，則將所述目標(biāo)設(shè)備的密碼策略修改為所述預(yù)設(shè)密碼策略。

當(dāng)判斷為策略不安全時(shí)，程序自動(dòng)完成密碼策略的修改工作。

以centos系統(tǒng)為例，使用root用戶(hù)執(zhí)行如下指令：

“cat/etc/pam.d/system-auth”

程序通過(guò)正則表達(dá)式解析出以下內(nèi)容：

“passwordrequisitepam_cracklib.so”的配置項(xiàng)，將原有配置修改為：

“passwordrequisitepam_cracklib.soretry＝3difok＝3minlen＝10ucredit＝-1lcredit＝-2dcredit＝-1ocredit＝-1”。

其中，黑色加粗部分為增加的配置項(xiàng)，其它部分為原有的配置項(xiàng)。

需要說(shuō)明的是，上述步驟s210并不限于在步驟s110之后執(zhí)行，在具體實(shí)施過(guò)程中，還可以在步驟s110之前執(zhí)行。

進(jìn)一步的，為了進(jìn)一步驗(yàn)證在步驟s140中，將弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為新登錄口令的正確性，本發(fā)明實(shí)施例還提供了根據(jù)修復(fù)結(jié)果，進(jìn)行修復(fù)成功與否的驗(yàn)證的步驟。

圖3為本發(fā)明實(shí)施例提供的又一種設(shè)備弱口令管理方法的基本流程示意圖，如圖3所示，在步驟s140之后，所述方法還包括如下步驟：

s310：重新獲取所述弱口令用戶(hù)賬號(hào)的新登錄口令。

具體的，可以按照步驟s110的方法，獲取所述弱口令用戶(hù)賬號(hào)的新登錄口令。

進(jìn)一步的，還可以利用上述新登錄口令，重新進(jìn)行所述弱口令用戶(hù)賬號(hào)的登錄測(cè)試，如果登錄成功，則說(shuō)明該新登錄口令修改成功，并繼續(xù)執(zhí)行步驟s320；相反，如果未登錄成功，則說(shuō)明該新登錄口令未修改成功，并重新執(zhí)行步驟s120。

s320：根據(jù)所述預(yù)設(shè)賬戶(hù)登錄口令安全檢查標(biāo)準(zhǔn)，判斷所述重新獲取的新登錄口令是否為弱口令。

具體的，可以按照步驟s110的方法，進(jìn)行所獲取登錄口令的等級(jí)判斷，本發(fā)實(shí)施例在此不再贅述。

s330：如果所述重新獲取的新登錄口令是弱口令，則為所述弱口令用戶(hù)賬號(hào)重新生成符合所述預(yù)設(shè)密碼策略的登錄口令。

如果是弱口令，則可以重新執(zhí)行步驟s120；否則，則說(shuō)明修復(fù)結(jié)果有效，結(jié)束整個(gè)流程。

進(jìn)一步的，在上述實(shí)施例一至三中，在執(zhí)行弱口令檢查、密碼策略?xún)?yōu)化、弱口令修復(fù)、修復(fù)驗(yàn)證等步驟(即對(duì)應(yīng)步驟s110至s140、s210至s230、以及s310和s320)的過(guò)程中，還可以生成相關(guān)的運(yùn)行日志、存儲(chǔ)相關(guān)的執(zhí)行結(jié)果與數(shù)據(jù)，并對(duì)該運(yùn)行日志、執(zhí)行的結(jié)果與數(shù)據(jù)通過(guò)可視化模塊進(jìn)行可視化展示，以實(shí)現(xiàn)對(duì)設(shè)備登錄口令管理的整個(gè)過(guò)程進(jìn)行展現(xiàn)的需求。

基于上述方法，本發(fā)明還提供了一種設(shè)備弱口令管理裝置。圖4為本發(fā)明實(shí)施例提供的一種設(shè)備弱口令管理裝置的基本結(jié)構(gòu)示意圖。如圖4所示，該裝置400具體包括如下部分：

弱口令賬戶(hù)獲取模塊410：用于根據(jù)預(yù)設(shè)賬戶(hù)登錄口令的安全檢查標(biāo)準(zhǔn)，獲取目標(biāo)設(shè)備中存在的弱口令用戶(hù)賬號(hào)。

登錄口令生成模塊420：用于根據(jù)預(yù)設(shè)密碼策略，為所述弱口令用戶(hù)賬號(hào)生成符合所述預(yù)設(shè)密碼策略的新登錄口令；

登錄口令驗(yàn)證模塊430：用于將所述新登錄口令與弱口令字典中的口令進(jìn)行比對(duì)，判斷所述新登錄口令是否存在于所述弱口令字典中；

登錄口令設(shè)置模塊440：如果所述新登錄口令未存在于所述弱口令字典中，則將所述弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置為所述新登錄口令。

進(jìn)一步的，為實(shí)現(xiàn)對(duì)弱口令修復(fù)結(jié)果進(jìn)行驗(yàn)證，本發(fā)明實(shí)施例的裝置還包括修復(fù)結(jié)果驗(yàn)證模塊450，其中：

修復(fù)結(jié)果驗(yàn)證模塊450具體用于：重新獲取所述弱口令用戶(hù)賬號(hào)的新登錄口令；根據(jù)所述預(yù)設(shè)賬戶(hù)登錄口令的安全檢查標(biāo)準(zhǔn)，判斷所述重新獲取的新登錄口令是否為弱口令；如果所述重新獲取的新登錄口令是弱口令，則為所述弱口令用戶(hù)賬號(hào)重新生成符合所述預(yù)設(shè)密碼策略的登錄口令。

進(jìn)一步的，修復(fù)結(jié)果驗(yàn)證模塊450還可以用于：在重新獲取所述弱口令用戶(hù)賬號(hào)的新登錄口令后，利用該新登錄口令，進(jìn)行所述弱口令用戶(hù)賬號(hào)的登錄測(cè)試，如果登錄成功，則說(shuō)明該新登錄口令修改成功，并繼續(xù)進(jìn)行新登錄口令是否為弱口令的檢測(cè)；相反，如果未登錄成功，則說(shuō)明該新登錄口令未修改成功，并重新為該弱口令用戶(hù)賬號(hào)生成符合所述預(yù)設(shè)密碼策略的登錄口令。

本發(fā)明實(shí)施例提供的設(shè)備弱口令管理裝置，利用預(yù)設(shè)賬戶(hù)登錄口令安全檢查標(biāo)準(zhǔn)，對(duì)目標(biāo)設(shè)備用戶(hù)賬號(hào)的登錄口令進(jìn)行安全檢查，當(dāng)用戶(hù)賬號(hào)的口令為弱口令時(shí)，則自動(dòng)生成符合所述預(yù)設(shè)密碼策略的新登錄口令，以及將存在弱口令用戶(hù)賬號(hào)的登錄口令設(shè)置成新登錄口令。由上述過(guò)程可見(jiàn)，本實(shí)施例提供的裝置，可以自動(dòng)化完成弱口令的檢查及自動(dòng)修復(fù)工作，這樣不僅可以減輕運(yùn)維人員的工作，還可以及時(shí)的對(duì)設(shè)備中的弱口令進(jìn)行修正，在最短的時(shí)間內(nèi)杜絕弱口令在網(wǎng)絡(luò)系統(tǒng)中的存在，進(jìn)而避免了因弱口令造成系統(tǒng)數(shù)據(jù)流失而給企業(yè)帶來(lái)的經(jīng)濟(jì)損失。

為了防止目標(biāo)設(shè)備的密碼策略的配置較低，而使該目標(biāo)設(shè)備新建用戶(hù)賬號(hào)時(shí)，所設(shè)置的登錄密碼依然為弱口令，在后續(xù)需要重復(fù)對(duì)該設(shè)備的登錄口令進(jìn)行修復(fù)的問(wèn)題。本發(fā)明實(shí)施例還提供了對(duì)目標(biāo)設(shè)備的密碼策略進(jìn)行重新配置的模塊，具體包括：

密碼策略獲取模塊510：用于獲取所述目標(biāo)設(shè)備的密碼策略。

具體的，可以首先獲取所述目標(biāo)設(shè)備的密碼策略文件，對(duì)所述密碼策略文件進(jìn)行解析，得到所述目標(biāo)設(shè)備的密碼策略。

密碼策略分析模塊520：將所述密碼策略與所述預(yù)設(shè)密碼策略進(jìn)行比對(duì)，判斷所述密碼策略是否符合所述預(yù)設(shè)密碼策略的要求；

密碼策略修改模塊530：如果所述密碼策略不符合所述預(yù)設(shè)密碼策略的要求，則將所述目標(biāo)設(shè)備的密碼策略修改為所述預(yù)設(shè)密碼策略。

為修復(fù)成功登錄口令以接口的形式同步給第三方賬好口令管理系統(tǒng)，以減少人工運(yùn)維工作量，所述裝置還包括對(duì)外接口模塊610，其中：

對(duì)外接口模塊610，用于將所述弱口令用戶(hù)賬號(hào)和所述新登錄口令發(fā)送至第三方賬號(hào)管理系統(tǒng)。

為實(shí)現(xiàn)在弱口令檢查、密碼策略?xún)?yōu)化、弱口令修復(fù)、修復(fù)驗(yàn)證等步驟中，可以生成相關(guān)的運(yùn)行日志、存儲(chǔ)相關(guān)的執(zhí)行結(jié)果與數(shù)據(jù)，并對(duì)設(shè)備登錄口令管理的整個(gè)過(guò)程進(jìn)行展現(xiàn)，所述裝置還包括可視化模塊710，其中：

可視化模塊710，用于將弱口令賬戶(hù)獲取模塊、登錄口令生成模塊、登錄口令驗(yàn)證模塊和登錄口令設(shè)置模塊對(duì)數(shù)據(jù)的處理過(guò)程以及處理結(jié)果進(jìn)行展示。

本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其，對(duì)于裝置或系統(tǒng)實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述得比較簡(jiǎn)單，相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。以上所描述的裝置及系統(tǒng)實(shí)施例僅僅是示意性的，其中作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下，即可以理解并實(shí)施。

以上僅是本發(fā)明的具體實(shí)施方式，應(yīng)當(dāng)指出，對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明原理的前提下，還可以做出若干改進(jìn)和潤(rùn)飾，這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。