一种密钥管理系统及变更账户信息的方法

1.一种基于依赖关系变更账户信息的方法，其特征在于，包括：a. 查找与待变更账户信息关联的依赖关系；b. 检查与所述待变更账户信息关联的依赖关系的依赖类型；以及c. 根据所述依赖类型，在所述依赖关系中，变更所述待变更账户信息；所述依赖类型至少包括：应用程序池、计划任务、Windows服务以及配置文件；若所述依赖类型为应用程序池，则所述待变更账户包括如下一个或多个账户：本地系统账户、本地服务账户、网络服务账户及自定义账户； 若所述依赖类型为计划任务或Windows服务，则所述待变更账户包括：本地系统账户；以及若所述依赖类型为配置文件，则所述步骤c包括：根据所述配置文件的文件路径及正则表达式在所述配置文件中找到所述配置文件的账户信息；以及变更所述配置文件的账户信息。
2.如权利要求1所述的方法，其特征在于，所述步骤a包括：查找与待变更账户信息关联的多个依赖关系，并将所述多个依赖关系按一预定规则的顺序添加至一列表中；所述步骤b对应地包括：按所述顺序依次检查所述列表中与所述待变更账户信息关联的依赖关系的依赖类型；所述步骤c对应地包括：按所述顺序，根据所述依赖类型，依次在所述多个依赖关系中，变更所述待变更账户信息。
3.如权利要求1所述的方法，其特征在于，所述依赖关系被分为活动依赖关系和不活动依赖关系，所述方法还包括：不变更所述不活动依赖关系的所述待变更账户信息。
4.如权利要求1所述的方法，其特征在于，所述步骤c之后还包括：重新启动并运行所述依赖关系，以确定所述依赖关系中的待变更账户信息被变更。
5.如权利要求1所述的方法，其特征在于，所述步骤a包括：自动查找与待变更账户信息关联的依赖关系。
6.如权利要求1至5任一项所述的方法，其特征在于，所述依赖关系配置成至少包括：依赖类型；设备名称；以及依赖名称。
7.如权利要求1至5任一项所述的方法，其特征在于，变更所述待变更账户信息至少包括：变更所述待变更账户的密码。
8.一种密钥服务系统，其特征在于，所述密钥管理系统配置成应用权利要求1至7任一项所述的方法来变更账户信息。

一种密钥管理系统及变更账户信息的方法\n技术领域\n[0001] 本发明属于计算机领域，具体涉及一种密钥管理系统及基于依赖关系变更账户信息的方法。\n背景技术\n[0002] 密钥管理系统一般提供密钥管理与服务功能，可以广泛应用于卫生、银行、移动、电信、社保、交通等多个行业的电子计算机网络系统中。例如，在一些密钥管理系统的实现中，密钥管理系统由对称密钥和非对称密钥管理模块组成。非对称密钥管理模块对生命周期内的密钥进行全过程管理的功能，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。对称密钥管理模块是实现对称密钥的生成、下发、更新、销毁，并写入卡片或机具等。\n[0003] 对于企业来说，各种软、硬件设备账户可以通过密钥管理系统进行集中管理。然而，由于密钥管理系统会对账户密码进行变更，当有多个软、硬件使用相同的账户时，特别是服务账户，需要人工输入来对各软、硬件的账户及密码进行变更，密钥管理系统无法对其同一进行变更。如此，造成账户管理的不便。\n发明内容\n[0004] 本发明的目的是根据上述现有技术的不足之处，提供一种变更账户信息的方法，该变更账户信息的方法基于依赖关系实现账户信息的同步变更。\n[0005] 本发明目的实现由以下技术方案完成：\n[0006] 一种基于依赖关系变更账户信息的方法，包括：a. 查找与待变更账户信息关联的依赖关系；b. 检查与所述待变更账户信息关联的依赖关系的依赖类型；以及c. 根据所述依赖类型，在所述依赖关系中，变更所述待变更账户信息。\n[0007] 优选地，所述依赖类型至少包括：应用程序池、计划任务、Windows服务以及配置文件。\n[0008] 优选地，若所述依赖类型为应用程序池，则所述待变更账户包括如下一个或多个账户：本地系统账户、本地服务账户、网络服务账户及自定义账户；若所述依赖类型为计划任务或Windows服务，则所述待变更账户包括：本地系统账户；以及若所述依赖类型为配置文件，则所述步骤c包括：根据所述配置文件的文件路径及正则表达式在所述配置文件中找到所述配置文件的账户信息；以及变更所述配置文件的账户信息。\n[0009] 优选地，所述步骤a包括：查找与待变更账户信息关联的多个依赖关系，并将所述多个依赖关系按一预定规则的顺序添加至一列表中；所述步骤b对应地包括：按所述顺序依次检查所述列表中与所述待变更账户信息关联的依赖关系的依赖类型；所述步骤c对应地包括：按所述顺序，根据所述依赖类型，依次在所述多个依赖关系中，变更所述待变更账户信息。\n[0010] 优选地，所述依赖关系被分为活动依赖关系和不活动依赖关系，所述方法还包括：\n不变更所述不活动依赖关系的所述待变更账户信息。\n[0011] 优选地，所述步骤c之后还包括：重新启动并运行所述依赖关系，以确定所述依赖关系中的待变更账户信息被变更。\n[0012] 优选地，所述步骤a包括：自动查找与待变更账户信息关联的依赖关系。\n[0013] 优选地，所述依赖关系配置成至少包括：依赖类型；设备名称；以及依赖名称。\n[0014] 优选地，变更所述待变更账户信息至少包括：变更所述待变更账户的密码。\n[0015] 本发明还提供一种密钥管理系统，所述密钥管理系统配置成应用上述方法来变更账户信息。\n[0016] 本发明的优点是：\n[0017] 1）通过查找与待变更账户信息关联的依赖关系实现账户信息的自动同步变更；\n[0018] 2）根据不同类型的依赖关系，可以实现不同应用类型中的账户信息的变更；\n[0019] 3）通过将需要变更账户信息的依赖关系按一预定规则的顺序排序，来增加账户信息同步变更的效率；\n[0020] 4）通过将依赖关系分为活动和不活动，来仅对活动的依赖关系进行变更，以增加账户信息同步变更的效率。\n附图说明\n[0021] 图1为本发明实施例的密钥管理系统的结构示意图；\n[0022] 图2为本发明实施例的变更账户信息的方法的流程图；\n[0023] 图3为本发明实施例的新建依赖关系的对话框；\n[0024] 图4为本发明实施例的查找依赖关系形成列表的示意图；\n[0025] 图5为本发明另一实施例的查找依赖关系形成列表的示意图。\n具体实施方式\n[0026] 以下结合附图通过实施例对本发明的特征及其它相关特征作进一步详细说明，以便于同行业技术人员的理解：\n[0027] 如图1，图中标记100-300分别为：密钥管理系统100、设备200、软件300。\n[0028] 实施例：如图1所示，本实施例具体涉及一种密钥管理系统100，密钥管理系统100至少用于管理多个设备200及多个软件300的账户信息。对于设备200，在一个实施例中，多个单独的设备200可以具有其单独的账户信息。在又一实施例中，集成的设备200可以具有多个账户信息。在另一实施例中，多个设备200具有相同的账户信息。对于软件300，在一个实施例中，各软件300分别储存在单独的设备200或集成的设备200中，并具有各自的账户信息。在又一实施例中，软件300可以分布式地储存在多个设备200中，并具有同一账户信息。\n上述设备200及软件300的实施例可以依照具体的应用环境或需求单独或组合使用。\n[0029] 在一些实施例中，密钥管理系统100可以是分布式系统。例如，密钥管理系统100采用分布式处理架构进行处理，通过不同的组件并行或串行完成不同的操作。这种分布式设计有利于密钥管理策略的正确执行和数据的安全。同时，各组件之间采用安全连接进行通信，防止密钥管理策略和数据被篡改。各组件可以独立工作，也可以分布于不同的服务器上，亦可所有组件安装于一台服务器。具体而言，密钥管理系统100可以通过服务器集群实现分布式系统，其同时部署多台服务器来运行密钥管理系统100，服务器集群提供了负载均衡和高可用性。在灾难恢复场景中，服务器集群可以自动转移请求到没有发生故障的服务器上，确保没有停机时间（NO downtime）。此外，负载均衡技术通过多个服务器同时处理请求的能力也提高了密钥管理系统100的性能。\n[0030] 密钥管理系统100可以通过有线或无线的方式与设备200、软件300连接通讯。优选地，密钥管理系统100与设备200、软件300位于同一局域网内。在一个变化例中，密钥管理系统100与设备200、软件300位于不同的网络环境中，并通过无线路由连接通信。\n[0031] 密钥管理系统100管理多个设备200及多个软件300的账户信息时，可定期变更账户信息，以保证各设备200和软件300的账户安全。当账户信息变更时，密钥管理系统100利用本发明提供的基于依赖关系变更账户信息的方法实现对使用该账户信息的设备200和软件300的账户信息进行变更。\n[0032] 以下将结合图2至图5对基于依赖关系变更账户信息的方法进行描述。\n[0033] 图2为本发明实施例的变更账户信息的方法的流程图，其示出了三个步骤：\n[0034] 步骤S210：查找与待变更账户信息关联的依赖关系。\n[0035] 在一个具体实施例中，新建一个依赖关系的对话框如图3所示。其中，设备名称指的依赖关系所处的计算机名称或IP地址。依赖类型包括IIS应用程序池、计划任务、Windows服务或配置文件。依赖名称指的是在远程设备上的依赖关系的名称。特权帐户是密钥管理系统100在变更依赖关系中的账户信息时进行身份验证的帐户，特权帐户需要远程计算机上有编辑依赖关系的权限。依赖关系活动与否表示密钥管理系统100是否会尝试更新依赖关系，例如依赖关系中的账户信息，密钥管理系统100并不更新不活动的依赖关系。具体而言，依赖关系活动指对应的依赖关系是启用的状态。在一个实施例中，若密钥管理系统100可根据设备或软件的使用率，判断该设备或软件的依赖关系是否活动。例如，一设备长时间并未使用，则判断该设备的依赖关系为不活动的依赖关系。在又一些实施例中，可以人工设备依赖关系的活动与否。例如，当一设备损坏或存库待用，则可以人工设置该设备的依赖关系为不活动的依赖关系。优选地，此过程为人工识别，以确定在设置依赖关系时的类型。依赖关系的以上各项内容可以按照具体的应用或需求选填。\n[0036] 在一个具体实施例中，一个新建的依赖关系可以是：\n[0037] 设备名称：192.11.158.99；依赖类型：Windows 服务；依赖关系名称： DOMAIN\admin。\n[0038] 优选地，每当密钥管理系统100需要变更账户信息，例如变更账户密码时，其自动执行步骤S210，查找与待变更账户信息关联的依赖关系。在一些具体实施例中，密钥管理系统100周期性地变更账户信息，则密钥管理系统100周期性地查找与待变更账户信息关联的依赖关系进行变更。在一些变化例中，密钥管理系统100在某一事件（例如系统被攻击或者系统维护等）的触发下需要变更账户信息，则其在该事件的触发下，自动执行查找与待变更账户信息关联的依赖关系来进行变更。\n[0039] 步骤S220：检查与所述待变更账户信息关联的依赖关系的依赖类型。\n[0040] 在步骤S220中确定依赖关系的依赖类型，例如其可以是IIS应用程序池、计划任务、Windows服务或配置文件。\n[0041] 步骤S230：根据所述依赖类型，在所述依赖关系中，变更所述待变更账户信息。\n[0042] 具体而言，若在步骤S220中确定依赖关系的依赖类型为应用程序池，则该待变更账户包括如本地系统账户、本地服务账户、网络服务账户及自定义账户中的一个或多个。若在步骤S220中确定依赖关系的依赖类型为计划任务或Windows服务，则该待变更账户可以包括本地系统账户。若在步骤S220中确定依赖关系的依赖类型为配置文件，则步骤S230包括根据配置文件的文件路径及正则表达式在配置文件中找到配置文件的账户信息并变更配置文件的账户信息。\n[0043] 具体而言，文件路径可以是在远程设备上的配置文件的UNC路径。正则表达式可以是用于在配置文件中找到账户密码的正则表达式。\n[0044] 在一些具体实施例中，依赖关系被分为活动依赖关系和不活动依赖关系，在步骤S230中并不变更不活动依赖关系的待变更账户信息。\n[0045] 优选地，步骤S230之后还包括重新启动并运行依赖关系，以确定依赖关系中的待变更账户信息被变更。\n[0046] 由于一个账户可以同时由多个设备和/或软件使用，因此，在一些实施例中，利用一列表，对查找到的依赖关系排序，并按排序的顺序进行更新。相应地，变更账户信息的方法步骤可以包括：\n[0047] 步骤S211：查找与待变更账户信息关联的多个依赖关系，并将多个依赖关系按一预定规则的顺序添加至一列表中。优选地，该顺序为账户之间的依赖顺序，可以在系统中进行预定义。\n[0048] 步骤S221：按顺序依次检查列表中与待变更账户信息关联的依赖关系的依赖类型。\n[0049] 步骤S231：按顺序，根据依赖类型，依次在多个依赖关系中，变更待变更账户信息。\n其中，变更动作由系统中定义的账户类型进行区分。\n[0050] 一些依赖关系按预定规则的顺序添加至一列表中的实施例参见图4及图5。\n[0051] 如图4，当步骤S211查找出多个依赖关系后，可以按不同的设备对依赖关系进行排序。例如，首先是设备1，其具有与待变更账户信息关联的依赖关系A和依赖关系B；其次是设备2，其具有与待变更账户信息关联的依赖关系B和依赖关系D；然后是设备3，其具有与待变更账户信息关联的依赖关系C。具体而言，依赖关系A、依赖关系B、依赖关系C及依赖关系D分别代表不同的依赖关系的依赖类型，如依赖关系A的依赖类型可以是IIS应用程序池；依赖关系B的依赖类型可以是计划任务；依赖关系C的依赖类型可以是Windows服务；依赖关系D的依赖类型可以是配置文件。这样的顺序，可以使密钥管理系统100按设备对账户信息进行更新。\n[0052] 如图5，当步骤S211查找出多个依赖关系后，可以按不同的依赖类型对依赖关系进行排序，例如依次按一个或多个依赖关系A、一个或多个依赖关系B、一个或多个依赖关系C、一个或多个依赖关系D的顺序排序。这样的顺序，可以使密钥管理系统100按依赖关系的依赖类型对账户信息进行更新。\n[0053] 通过按设备或依赖关系的依赖类型对依赖关系进行排序，可以有效地增加密钥管理系统100变更账户信息的效率。\n[0054] 图4及图5仅为例示性的附图，本发明所提到的顺序并不以此为限。\n[0055] 本发明的优点是：\n[0056] 1）通过查找与待变更账户信息关联的依赖关系实现账户信息的自动同步变更；\n[0057] 2）根据不同类型的依赖关系，可以实现不同应用类型中的账户信息的变更；\n[0058] 3）通过将需要变更账户信息的依赖关系按一预定规则的顺序排序，来增加账户信息同步变更的效率；\n[0059] 4）通过将依赖关系分为活动和不活动，来仅对活动的依赖关系进行变更，以增加账户信息同步变更的效率。\n[0060] 以上具体地示出和描述了本发明的示例性实施方式。应该理解，本发明不限于所公开的实施方式，相反，本发明意图涵盖包含在所附权利要求范围内的各种修改和等效置换。