基于LDAP的园区网数据安全防护研究.pdfVIP

基于LDAP的园区网数据安全防护 方璞辜丽川 周健 合肥工业大学，合肥，230009 摘要提出一种保护园区网络核心数据源的强化安全模式，解决实际应用中越来越多的网络应 用子系统对核心数据源的访问所导致的核心数据安全性降低的问题。通过LDAP目录服务，动态 El令等技术来实现安全的标准登录模块。应用子系统统一调用标准登录模块来获得对核心数据源 的访问． 关键词LDAP目录服务，动态口令．安全登录 1 引言 在园区网络数据中心的建设中，几乎所有的数据源维护人员都会认识到越来越多的应用 子系统会要求访问我们企业核心数据源，例如ERP、邮件系统等等。而且现有的网络数据中心 也需要这些应用子系统来完善我们的网络应用。软件包不是定制开发的软件系统。即便是定 制开发的软件也会随着时间的推移，实际系统的需要，导致部分业务需求不能满足，这些就需 要添加或者升级现有的应用子系统。 这些越来越独立的应用子系统是如何去获得权限访问企业网络的核心数据呢?传统的办 法是分发数据库的用户和口令，这也是信息系统的标准开发模式现实当中，我们会遇到以下问 题： (1)随着应用的增多，我们无法有效地去阻止企业核心数据源口令的扩散。这也就增加了 别有用心的人通过利用子系统获得口令，非法访问企业核心数据的机会。 (2)为了在口令扩散或者别破解之前就更改口令，我们需要定期的进行口令更改工作。这 样势必导致非常大的工作量，而且得不到良好的效果，因为使用同一用户名和口令的人太多 了。 (3)无论如何对使用网络应用系统的工作人员进行教育，他们总是喜欢使用简单的密码， 这很容易通过暴力破解猜测的出来。 (4)如果企业应用子系统交给外包商来开发，或者扩展，外包商在进行售后软件调试的时 候，会获取口令和密码。如果每次都改，这太麻烦，实际上大部分时候我们对外包商都不设防。 2 基于LDAP的安全防护方案 本文提出的解决方案是通过LDAP目录服务器实现资源访问的统一身份认证，并通过自 己开发的标准登录模块实现对核心数据源的安全访问。外围子系统必须通过调用标准登录模 块来获取动态的数据源登录口令，从而获得对数据源的访问。 357 服务器来完成。 (2)标准登录模块标准登录模块通过应用子系统提供的认证信息，对LDAP目录系统 进行访问，并请求获得核心数据源的用户名和口令。 (3)动态口令生成模块动态口令生成模块主要负责 定时生成动态口令，并保证LDAP目录系统和核心数据源 定时进行更新。 如图l所示，园区网的应用子系统在需要访问核心数据 源时： 囝1 (1)子系统调用标准登录模块，发出登录请求，此过程 必须提供给LDAP目录服务器访问所需的认证信息，这一信息通常是发出请求的人的简单的 id。 (2)标准登录模块用子系统提供的认证信息登录进入LDAP目录系统，请求获得访问核 心数据源的用户名和口令。而该请求是否成功则取决于数据源管理员是否在目录系统中给其 对应的id访问核心数据源的权限。 (3)如果请求成功，LDAP目录系统向标准登录模块反馈动态口令。 (4)标准登录模块利用获得的用户名和口令登录进入核心数据源中，完成对数据源的访 问和使用。 3模块具体实现 区网内，主要有邮件服务，ERP政务系统，代理服务等应用子系统，在LDAP统一身份认证系 统内，它们都是目录系统的资源。通过规划目录树，和安全性配置，实现统一身份认证。在合肥 以及ERP政务办公系统它们所需要的认证工作统一地指向我们的目录服务器。同时通过对 LDAP的安全性进行了较高地配置，基于ip地址进行了登录限制，大大提高了目录系统的安 全性。 (2)标准登录模块采用c语言编写了标准登录模块的调用函数库，供应用子系统调用 以及外包开发商使用。 程序主要清单stdlogin．c #includes珂io．c #includeldaD．c I LDAP*ld： Char*MysqlUserPasswd；NULL；