基于Novell目录系统的密码安全传输及审计功能分析

杨　楠，高丽芳，杨　超，李宁博，连阳阳

（1.国网河北省电力公司信息通信分公司，石家庄 050021；2.国网河北省电力公司，石家庄 050021）

基于Novell目录系统的密码安全传输及审计功能分析

杨楠1，高丽芳1，杨超2，李宁博1，连阳阳1

（1.国网河北省电力公司信息通信分公司，石家庄 050021；2.国网河北省电力公司，石家庄 050021）

针对国网河北省电力公司目录服务系统存在的问题，提出对该系统密码传输及审计功能模块的改造开发方案，从系统用户帐号密码安全性、用户帐号使用安全审计管理等方面，对目录服务系统用户帐号的安全审计监控能力进行分析，通过使用MD5加密存储、传输，增加目录前端审计代理，优化负载均衡F5配置等关键技术，实现了用户源地址追溯、访问行为记录等功能，进一步提升了目录系统运维管理水平。

目录服务系统；安全性；审计

通过“SG186”工程的建设，国网河北省电力公司完成目录系统的建设及深化应用，目前系统已覆盖国网河北省电力公司，为营销管理、安全生产管理、财务资金管理、协同办公等八大业务应用及其他应用系统提供用户认证、帐号供应、单点登录等基础支撑服务，实现了与国家电网公司总部目录系统的数据级联同步。

国网河北省电力公司目前采用Novell公司的目录系统，主要包括3个模块：目录服务、身份管理、认证系统。其中“目录服务、身份管理、认证系统”是一体化集成平台上下贯穿的一条主线［1］。目录服务是统一身份管理系统所依赖的主要支撑技术，提供跨平台身份信息存储管理和认证支撑服务。身份管理利用集中式数据存储在应用程序、数据库和目录之间同步、转换和分发信息。认证系统由访问网关和身份认证管理服务器构成，是国网河北省电力公司及地市公司范围内企业门户和大部分应用系统的统一访问入口，提供了对用户身份的集中认证和对企业门户和应用系统的安全访问［2］。

1　系统情况介绍

目录服务系统在公司已上线运行近10年，作为业务系统的统一访问入口（即“单点登录”入口），用户的帐号及密码安全性，及帐号使用安全性对于用户来说至关重要，鉴于系统在安全性上的特殊需求，技术人员从日常工作中总结出实际运维经验，对现有的目录服务系统进行了安全性改造。通过多年运维经验，发现目录服务系统存在以下问题。

a.在系统运维过程中，运维人员发现，部分业务系统与目录服务的密码传输过程为明文传输，特别是在“SG186”建设前期上线系统中尤为严重，若不对密码进行加密改造，密码传输过程将存在泄露的风险。

b.运维人员在用户工单处理过程中发现，存在个人账号是否被其他人员使用的查询需求，但目录系统仅能采集到系统自身网关端的F5地址，无法追踪到最终用户。特别对于一些从事敏感岗位的用户，帐号一旦被他人登陆，公司的重要保密信息将存在泄漏的风险，而且信息泄漏后无法追责。

2　系统密码安全传输及审计功能分析

为提高信息系统访问的安全性，解决运维过程中发现的安全性问题，需对密码安全传输及审计功能进行开发改造。目录密码安全性传输主要通过修改目录系统与业务系统密码加密同步策略，通过加密机实现传输数据的加解密。目录审计功能基于国网河北省电力公司目录服务系统已有基础，在原有架构上增加了审计设备，审计服务实现了用户源地址的采集、用户行为审计。

2.1密码加密传输

通过全面调研分析，梳理出需要整改的业务应用系统，并形成系统整改清单和整改计划，与各业务系统确定整改方案，包括采取何种加密方式进行数据同步。对目录服务系统同步至业务应用的密码及存储数据进行加密，再将与目录服务系统集成的业务系统的账号密码同步策略修改为以MD5加密的同步策略，同时完成数据清理并配合业务系统进行功能模块改造，提升目录服务系统集成架构安全性。

2.2用户登录源地址审计

对目录服务系统架构进行技术改造升级，最终通过调整目录服务系统与F5设备的配置，实现用户登录源地址审计，目录审计服务架构如图1所示。该审计功能的实现方法是对省公司现有的目录服务访问管理模块进行升级，在F5设备中进行参数配置，用户在访问业务系统时，F5设备完成用户的客户端信息采集，将采集到的信息存储在F5设备的header中，目录服务系统将F5设备header中的源地址IP信息取出，然后存储在目录服务系统的“X-Forwarded-For”中，再将该信息存入审计数据库。通过开发审计展示模块，展现用户登录业务系统时使用的客户端IP地址信息，使用户及安全管理部门均能追溯用户访问轨迹，实现对关键帐号的安全保护。

图1　用户登录源地址审计

2.3用户操作审计

为监控系统日常运行状态，对用户日常登陆行为进行全面分析统计，除开发用户源地址登陆功能外，又设计了目录审计服务。目录审计服务由前端审计代理、审计服务器、审计数据库等构成。审计事件数据来源主要是身份目录、认证目录、访问网关、身份认证服务。可对审计的各类结果进行综合分析。目录服务用户操作审计过程如图2所示。

图2　目录服务用户访问审计

目录审计功能实现方式如下：客户登陆业务系统，完成登陆请求操作；AM收到客户端发来的请求数据包，将接收到的数据包转发到认证服务系统，并生成随机数；服务器下发随机数到客户端；客户端通过Active X控件对随机数进行签证有效性验证；证书认证服务器调用LDAP服务来验证证书有效性；LDAP返回证书有效性结果；证书有效后调用密码设备对随机数进行验签；将验签结果返回给认证服务器；返回认证是否成功的结果给AM；AM完成认证，用户进入业务系统，服务器采集客户端信息。

审计管理主要对目录服务、身份管理、认证系统运行过程的健康状态进行监控，支持对用户到业务系统的访问行为跟踪、用户信息变动、账号开通、禁用等用户日常维护行为的审计、查询及统计。

3　应用效果

通过改造目录审计服务系统密码存取传输机制，利用MD5、SHA等方式实现帐号密码的加密存储，对目录服务系统与集成系统的密码验证及密码存储功能模块进行改造，有效防止发生因帐号密码泄露而导致的信息泄密事件。同时对目录服务系统的用户登录源地址采集、审计功能进行研发，实现了对关键帐号异常登录行为的分析及系统帐号权限分配操作的深度审计，满足了公司对帐号安全的管理要求。根据用户账号即可审计到用户登录的业务系统、登录的IP地址及登录时间。

4　结束语

通过开发目录审计服务系统密码存取传输机制，对目录服务系统与集成系统的密码验证及密码存储功能模块进行改造，通过MD5、SHA等方式实现帐号密码的加密存储，防止发生因帐号密码泄露而导致的信息泄密事件。同时对目录服务系统的审计功能、用户登录源地址采集功能进行研发，实现了对帐号操作的深度审计，从而有效的监督账号登陆等重要操作，进一步提高信息化建设的规范性。

该系统对密码传输安全、密码使用安全、用户访问可追溯、用户访问可审计等功能进行完善提升建设，提升了目录服务系统的安全性及系统的审计分析和风险识别能力，提升了国网河北省电力公司信息系统运维管理水平。

［1］ 温 超.基于Novell认证系统CA集成的设计与实现［J］.信息安全与容灾，2009：189-192.

［2］ 罗健文.Novell网络的规划与安装［J］.广东广播电视大学学报，1999，8（3）：22-28.

本文责任编辑：罗晓晓

Analysis on Audit Function and Password Security Transport Based on Novell Directory System

Yang Nan1，Gao Lifang1，Yang Chao2，Li Ningbo1，Lian Yangyang1
（1.State Grid HeBei Information&Telcommication Branch，Shijiazhuang 050021，China；2.State Grid HeBei Electric Power Company，Shijiazhuang 050021，China）

Aiming at the problems of directory service system of State Grid Hebei Electric Power Corporation，this paper proposes reformation project of code transmission and audit module，analyses security audit monitoring ability of user account of Directory System aimed at the problems of password security and security audit management，realizes user source address traced and access behavior recorded by using technologies of MD5 encrypted storage and transmission，increasing Directory front-end audit agency，optimizing configuration of F5 load balance，promotes operation and maintenance management level of Directory System.

directory service system；security；audit

TP391

B

1001-9898（2016）02-0040-03

2016-01-06

杨 楠（1986-），女，工程师，主要从事一体化平台支撑类系统运行维护工作。