基于Novell目錄系統的密碼安全傳輸及審計功能分析

楊　楠，高麗芳，楊　超，李寧博，連陽陽

（1.國網河北省電力公司信息通信分公司，石家莊 050021；2.國網河北省電力公司，石家莊 050021）

基于Novell目錄系統的密碼安全傳輸及審計功能分析

楊楠1，高麗芳1，楊超2，李寧博1，連陽陽1

（1.國網河北省電力公司信息通信分公司，石家莊 050021；2.國網河北省電力公司，石家莊 050021）

針對國網河北省電力公司目錄服務系統存在的問題，提出對該系統密碼傳輸及審計功能模塊的改造開發方案，從系統用戶帳號密碼安全性、用戶帳號使用安全審計管理等方面，對目錄服務系統用戶帳號的安全審計監控能力進行分析，通過使用MD5加密存儲、傳輸，增加目錄前端審計代理，優化負載均衡F5配置等關鍵技術，實現了用戶源地址追溯、訪問行為記錄等功能，進一步提升了目錄系統運維管理水平。

目錄服務系統；安全性；審計

通過“SG186”工程的建設，國網河北省電力公司完成目錄系統的建設及深化應用，目前系統已覆蓋國網河北省電力公司，為營銷管理、安全生產管理、財務資金管理、協同辦公等八大業務應用及其他應用系統提供用戶認證、帳號供應、單點登錄等基礎支撐服務，實現了與國家電網公司總部目錄系統的數據級聯同步。

國網河北省電力公司目前采用Novell公司的目錄系統，主要包括3個模塊：目錄服務、身份管理、認證系統。其中“目錄服務、身份管理、認證系統”是一體化集成平臺上下貫穿的一條主線［1］。目錄服務是統一身份管理系統所依賴的主要支撐技術，提供跨平臺身份信息存儲管理和認證支撐服務。身份管理利用集中式數據存儲在應用程序、數據庫和目錄之間同步、轉換和分發信息。認證系統由訪問網關和身份認證管理服務器構成，是國網河北省電力公司及地市公司范圍內企業門戶和大部分應用系統的統一訪問入口，提供了對用戶身份的集中認證和對企業門戶和應用系統的安全訪問［2］。

1　系統情況介紹

目錄服務系統在公司已上線運行近10年，作為業務系統的統一訪問入口（即“單點登錄”入口），用戶的帳號及密碼安全性，及帳號使用安全性對于用戶來說至關重要，鑒于系統在安全性上的特殊需求，技術人員從日常工作中總結出實際運維經驗，對現有的目錄服務系統進行了安全性改造。通過多年運維經驗，發現目錄服務系統存在以下問題。

a.在系統運維過程中，運維人員發現，部分業務系統與目錄服務的密碼傳輸過程為明文傳輸，特別是在“SG186”建設前期上線系統中尤為嚴重，若不對密碼進行加密改造，密碼傳輸過程將存在泄露的風險。

b.運維人員在用戶工單處理過程中發現，存在個人賬號是否被其他人員使用的查詢需求，但目錄系統僅能采集到系統自身網關端的F5地址，無法追蹤到最終用戶。特別對于一些從事敏感崗位的用戶，帳號一旦被他人登陸，公司的重要保密信息將存在泄漏的風險，而且信息泄漏后無法追責。

2　系統密碼安全傳輸及審計功能分析

為提高信息系統訪問的安全性，解決運維過程中發現的安全性問題，需對密碼安全傳輸及審計功能進行開發改造。目錄密碼安全性傳輸主要通過修改目錄系統與業務系統密碼加密同步策略，通過加密機實現傳輸數據的加解密。目錄審計功能基于國網河北省電力公司目錄服務系統已有基礎，在原有架構上增加了審計設備，審計服務實現了用戶源地址的采集、用戶行為審計。

2.1密碼加密傳輸

通過全面調研分析，梳理出需要整改的業務應用系統，并形成系統整改清單和整改計劃，與各業務系統確定整改方案，包括采取何種加密方式進行數據同步。對目錄服務系統同步至業務應用的密碼及存儲數據進行加密，再將與目錄服務系統集成的業務系統的賬號密碼同步策略修改為以MD5加密的同步策略，同時完成數據清理并配合業務系統進行功能模塊改造，提升目錄服務系統集成架構安全性。

2.2用戶登錄源地址審計

對目錄服務系統架構進行技術改造升級，最終通過調整目錄服務系統與F5設備的配置，實現用戶登錄源地址審計，目錄審計服務架構如圖1所示。該審計功能的實現方法是對省公司現有的目錄服務訪問管理模塊進行升級，在F5設備中進行參數配置，用戶在訪問業務系統時，F5設備完成用戶的客戶端信息采集，將采集到的信息存儲在F5設備的header中，目錄服務系統將F5設備header中的源地址IP信息取出，然后存儲在目錄服務系統的“X-Forwarded-For”中，再將該信息存入審計數據庫。通過開發審計展示模塊，展現用戶登錄業務系統時使用的客戶端IP地址信息，使用戶及安全管理部門均能追溯用戶訪問軌跡，實現對關鍵帳號的安全保護。

圖1　用戶登錄源地址審計

2.3用戶操作審計

為監控系統日常運行狀態，對用戶日常登陸行為進行全面分析統計，除開發用戶源地址登陸功能外，又設計了目錄審計服務。目錄審計服務由前端審計代理、審計服務器、審計數據庫等構成。審計事件數據來源主要是身份目錄、認證目錄、訪問網關、身份認證服務。可對審計的各類結果進行綜合分析。目錄服務用戶操作審計過程如圖2所示。

圖2　目錄服務用戶訪問審計

目錄審計功能實現方式如下：客戶登陸業務系統，完成登陸請求操作；AM收到客戶端發來的請求數據包，將接收到的數據包轉發到認證服務系統，并生成隨機數；服務器下發隨機數到客戶端；客戶端通過Active X控件對隨機數進行簽證有效性驗證；證書認證服務器調用LDAP服務來驗證證書有效性；LDAP返回證書有效性結果；證書有效后調用密碼設備對隨機數進行驗簽；將驗簽結果返回給認證服務器；返回認證是否成功的結果給AM；AM完成認證，用戶進入業務系統，服務器采集客戶端信息。

審計管理主要對目錄服務、身份管理、認證系統運行過程的健康狀態進行監控，支持對用戶到業務系統的訪問行為跟蹤、用戶信息變動、賬號開通、禁用等用戶日常維護行為的審計、查詢及統計。

3　應用效果

通過改造目錄審計服務系統密碼存取傳輸機制，利用MD5、SHA等方式實現帳號密碼的加密存儲，對目錄服務系統與集成系統的密碼驗證及密碼存儲功能模塊進行改造，有效防止發生因帳號密碼泄露而導致的信息泄密事件。同時對目錄服務系統的用戶登錄源地址采集、審計功能進行研發，實現了對關鍵帳號異常登錄行為的分析及系統帳號權限分配操作的深度審計，滿足了公司對帳號安全的管理要求。根據用戶賬號即可審計到用戶登錄的業務系統、登錄的IP地址及登錄時間。

4　結束語

通過開發目錄審計服務系統密碼存取傳輸機制，對目錄服務系統與集成系統的密碼驗證及密碼存儲功能模塊進行改造，通過MD5、SHA等方式實現帳號密碼的加密存儲，防止發生因帳號密碼泄露而導致的信息泄密事件。同時對目錄服務系統的審計功能、用戶登錄源地址采集功能進行研發，實現了對帳號操作的深度審計，從而有效的監督賬號登陸等重要操作，進一步提高信息化建設的規范性。

該系統對密碼傳輸安全、密碼使用安全、用戶訪問可追溯、用戶訪問可審計等功能進行完善提升建設，提升了目錄服務系統的安全性及系統的審計分析和風險識別能力，提升了國網河北省電力公司信息系統運維管理水平。

［1］ 溫 超.基于Novell認證系統CA集成的設計與實現［J］.信息安全與容災，2009：189-192.

［2］ 羅健文.Novell網絡的規劃與安裝［J］.廣東廣播電視大學學報，1999，8（3）：22-28.

本文責任編輯：羅曉曉

Analysis on Audit Function and Password Security Transport Based on Novell Directory System

Yang Nan1，Gao Lifang1，Yang Chao2，Li Ningbo1，Lian Yangyang1
（1.State Grid HeBei Information&Telcommication Branch，Shijiazhuang 050021，China；2.State Grid HeBei Electric Power Company，Shijiazhuang 050021，China）

Aiming at the problems of directory service system of State Grid Hebei Electric Power Corporation，this paper proposes reformation project of code transmission and audit module，analyses security audit monitoring ability of user account of Directory System aimed at the problems of password security and security audit management，realizes user source address traced and access behavior recorded by using technologies of MD5 encrypted storage and transmission，increasing Directory front-end audit agency，optimizing configuration of F5 load balance，promotes operation and maintenance management level of Directory System.

directory service system；security；audit

TP391

B

1001-9898（2016）02-0040-03

2016-01-06

楊 楠（1986-），女，工程師，主要從事一體化平臺支撐類系統運行維護工作。