劉志軍 賀鎮(zhèn)海 陳 寧

中興通訊股份有限公司 上海 201208

引言

密碼管控不嚴格導致的黑客入侵事件是常見的一類安全事件。計算機和通信行業(yè)中實施主機賬號密碼管控時常常出現(xiàn)密碼維護困難，如IPTV(Internet Protocol Television，網(wǎng)絡協(xié)定電視)、OTT(Over The Top)等產(chǎn)品中主機數(shù)量龐大，產(chǎn)品工程安全規(guī)范實施不到位出現(xiàn)弱密碼，進而會因為工程資料泄露導致密碼泄露。賬號密碼的申請、回收、審計等過程操作繁瑣，進一步加大了系統(tǒng)被入侵的可能性。

在現(xiàn)有技術(shù)中，關(guān)于賬號管理，可以預先將賬號及其對應的密碼保存在預定的系統(tǒng)中，待使用時直接從系統(tǒng)中獲取。例如：通過將用戶的登錄信息(賬號、密碼)與訪問對象進行關(guān)聯(lián)后存儲，當用戶指定了需要對某個訪問對象進行登錄操作時，通過在系統(tǒng)中讀取出與之關(guān)聯(lián)的用戶名和密碼等信息來執(zhí)行登錄操作，這樣的方式不需要用戶手動地輸入登錄信息來完成登錄，由此提高了用戶網(wǎng)絡活動的效率。

但是，上述賬號管理方式是對預先確定好的賬號和密碼的管理，若系統(tǒng)信息泄露，則賬號和密碼也將會泄露，從而造成安全隱患。

本文提供了一種賬戶分配方法，可以在很大程度上防止系統(tǒng)帳號和密碼的泄漏，并且也降低了維護的成本，方法的大體流程如下。

在操作員對設備進行操作前會先向管理設備發(fā)起操作請求，管理設備接收到操作員的請求后會對該操作請求進行審批，審批通過后為該操作員的本次操作選取一個賬戶并為這個賬戶生成一個臨時密碼，臨時密碼是由一系列的隨機算法計算得出的一個隨機串，此后管理設備會向操作員要操作的設備發(fā)起一個預設密碼請求，將設備的對應賬戶的密碼修改。其中，管理端選取的賬戶可以是新創(chuàng)建的賬戶，也可以是被操作設備系統(tǒng)中的現(xiàn)有賬戶，賬戶的臨時密碼被設置為具有一個有效期，僅在某個時間窗內(nèi)有效，超出時間窗后密碼失效。通過采用本文方法，避免了設備賬戶和密碼在系統(tǒng)中保存而存在的泄漏風險，操作審批和密碼有效期的存在也讓操作員對設備的操作更加規(guī)范可控，有效地降低了維護成本。

1 賬戶分配裝置說明

本文提供了一種賬戶分配方法，采用的賬戶分配裝置的結(jié)構(gòu)圖如圖1所示，以下結(jié)合圖1對本方法進行進一步的詳細說明[1]。

圖1 賬戶分配裝置結(jié)構(gòu)圖

1) 設備操作單元210，用于針對要操作的設備發(fā)起操作請求。

2) 安全管理單元220，用于接收設備操作單元針對設備發(fā)起的操作請求，并對請求進行審批。

3) 密碼管理單元230，用于根據(jù)操作請求，為設備操作單元生成臨時賬戶，以及在設備操作單元基于臨時賬戶對設備操作完畢后，禁止臨時賬戶繼續(xù)登錄設備。該單元的具體作用為：向設備發(fā)送密碼修改指令；接收設備根據(jù)密碼修改指令所修改的密碼；將設備反饋的密碼作為臨時賬戶中的密碼并存入數(shù)據(jù)庫中。臨時賬戶中的密碼僅在指定的操作終止時間到達之前有效。此外，密碼管理單元的作用還包括：從指定的操作開始時間開始，判斷是否接收到來自設備操作單元210發(fā)送的密碼回收請求，若是，則禁止密碼登錄設備，若否，則繼續(xù)判斷，直至達到操作終止時間為止；當?shù)竭_操作終止時間時，判斷設備操作單元210對設備是否有操作，若是，則向安全管理單元220發(fā)送告警信號，若否，則禁止密碼登錄設備。

4) 平臺管理單元240，用于在接收設備操作單元210針對設備發(fā)起的操作請求之前，為每個安全管理單元220關(guān)聯(lián)一個或多個設備；在設備操作單元210發(fā)起操作請求后，由與設備關(guān)聯(lián)的安全管理單元220接收操作請求。該安全管理單元接收后并對設備操作單元210發(fā)起的操作請求進行審批；密碼管理單元230還用于當操作請求審批通過后，利用預設的密碼生成策略，獲得臨時賬戶登錄設備的密碼，其中預設密碼的生成策略在管理端采用加密的方式存儲。

5) 密碼傳輸單元250，用于將密碼發(fā)送給設備操作單元210，以使設備操作單元210在規(guī)定的時間內(nèi)基于該密碼登錄設備進行操作。

6) 除了上述單元外，賬戶分配裝置中還有一個進行操作審計的單元，這個單元就是審計管理單元260，用于對平臺管理單元240、安全管理單元220和/或設備操作單元210的操作行進行審計。

2 賬戶分配應用實例

圖2給出了該賬戶分配裝置在實際工作流執(zhí)行時的應用，具體的執(zhí)行步驟如下。

圖2 賬戶分配方法的系統(tǒng)流程圖

圖2是本文賬戶分配方法的流程圖，主要包括四個步驟，詳細說明如下。

1) 步驟S110，預先設置具有不同權(quán)限的多個單元。權(quán)限單元包括：平臺管理單元、安全管理單元、審計管理單元和設備操作單元。其中，安全管理單元的數(shù)量、設備操作單元的數(shù)量可以是一個或多個。每個單元根據(jù)各自的權(quán)限，實現(xiàn)臨時賬戶的分配和回收，防止因賬戶信息泄露而引起的安全性問題。進一步地，每個單元可以對應具體的操作用戶。例如：平臺管理單元可以對應平臺管理用戶，安全管理單元可以對應安全管理用戶；審計管理單元可以對應審計管理用戶；設備操作單元可以對應設備操作用戶。

平臺管理單元用于為每個安全管理單元關(guān)聯(lián)一個或多個設備，以及用于安全管理單元、審計管理單元和設備操作單元各自對應用戶權(quán)限的分配和回收。具體而言，平臺管理單元能夠在裝置中創(chuàng)建或?qū)朐O備信息，至少包括主機名、地址、網(wǎng)元信息和地理位置信息；平臺管理單元將設備與安全管理用戶進行關(guān)聯(lián)，使該安全管理用戶負責與其關(guān)聯(lián)的一個或多個設備的安全管理。進一步地，當需要裝置中設備的數(shù)量較多時，可以設置多個安全管理單元，平臺管理單元可以將設備按照區(qū)域或者類型分別劃分為各個安全管理單元，也就是說，為每個安全管理單元關(guān)聯(lián)一個或多個設備。更進一步地，平臺管理單元可以指定用戶作為安全管理用戶、審計管理用戶或設備操作用戶。例如：現(xiàn)有用戶A、B、C，平臺管理單元可以指定用戶A作為安全管理用戶，指定用戶B作為審計管理用戶，指定用戶C作為設備操作用戶，平臺管理用戶還可以撤銷用戶所具有的權(quán)限。

當需要對設備進行操作時，設備操作單元用于向該設備關(guān)聯(lián)的安全管理單元發(fā)起操作請求，以此來獲得臨時賬戶，依據(jù)獲得的臨時賬戶，執(zhí)行設備操作。例如對設備進行業(yè)務升級、故障排查等。

安全管理單元用于對設備操作單元發(fā)起的操作請求進行審批[2]，以及負責所管轄/關(guān)聯(lián)的一個或多個設備的安全，如安全策略下發(fā)、安全監(jiān)控等。

審計管理單元用于審計平臺管理單元、安全管理單元和/或設備操作單元的操作行為，及時發(fā)現(xiàn)可疑的操作痕跡，進而發(fā)現(xiàn)平臺管理用戶、安全管理用戶和/或設備操作用戶的非法操作行為。進一步地，審計管理單元可以對平臺管理單元為每個安全管理單元關(guān)聯(lián)一個或多個設備的操作進行審計，對安全管理單元審批操作請求的操作進行審計，以及對設備操作單元對設備進行的操作進行審批，進而發(fā)現(xiàn)平臺管理單元、安全管理單元和設備操作單元的非法操作行為。其中，審計是指根據(jù)裝置收集的信息，判斷單元(如：平臺管理單元、安全管理單元和設備操作單元)針對設備執(zhí)行的操作是否合法，并給出判斷結(jié)果。

2) 步驟S120，接收設備操作單元針對設備發(fā)起的操作請求。因為在接收設備操作單元針對設備發(fā)起操作請求之前，平臺管理單元為每個安全管理單元關(guān)聯(lián)一個或多個設備，所以，當設備需要操作、維護時，設備操作單元需要向與該設備關(guān)聯(lián)的安全管理單元發(fā)起操作請求，在設備操作單元發(fā)起操作請求后，由與設備關(guān)聯(lián)的安全管理單元接收操作請求。操作請求用于請求獲得操作設備時所需的臨時賬戶[3]，臨時賬戶包括登錄設備所需的賬號和密碼。

3) 步驟S130，根據(jù)操作請求，為設備操作單元生成臨時賬戶。臨時賬戶是指在指定的時間段內(nèi)有效的賬戶，在指定時間段之外的時間，該賬戶均無效。

在臨時賬戶中，設備的賬號是已知信息，密碼是未知信息。賬號可以通過查詢每個設備對應的賬號而獲得，密碼可以利用算法來生成?；诓樵儷@得的賬號和生成的密碼形成臨時賬戶，將臨時賬戶發(fā)送給設備操作單元。設備操作單元利用臨時賬戶登錄設備，并對設備進行操作。

具體而言，安全管理單元接收到該操作請求后，利用預設的密碼生成策略，獲得臨時賬戶中的密碼，或由安全管理單元對設備操作單元發(fā)起的操作請求進行審批，當操作請求審批通過后，利用預設的密碼生成策略，獲得臨時賬戶登錄設備的密碼。針對該操作請求進行審批，即判斷是否允許該設備操作單元對該設備執(zhí)行操作，以此增加設備的安全性。進一步地，審批通過的操作請求是指允許設備操作單元對該設備執(zhí)行操作，審批未通過的操作請求，則不允許設備操作單元對設備執(zhí)行操作。

裝置將生成的臨時賬戶中的密碼進行存儲，但是，該密碼不直接顯示在裝置中，而是加密保存在數(shù)據(jù)庫中[4](加密采用的是3DES算法)，對平臺管理單元、安全管理單元、審計管理單元和設備操作單元都不可見，也就是說，該密碼對平臺管理用戶、安全管理用戶、審計管理用戶和設備操作用戶都不可見。

利用預設的密碼生成策略而生成的密碼可以僅在操作時間窗口內(nèi)使用有效。該操作時間窗口為一個時間長度，該時間長度可以是經(jīng)驗值。安全管理單元可以對該時間長度進行設置。進一步地，針對設備操作單元的操作請求，為該設備操作單元指定操作開始時間和操作終止時間，允許設備操作單元在操作開始時間和操作終止時間之間的時間段(操作時間窗口)內(nèi)進行設備操作。這樣，臨時賬戶中的密碼僅在指定的操作終止時間到達之前有效。

在獲得密碼后，裝置將密碼發(fā)送給設備操作單元，以使設備操作單元基于該密碼對設備進行運維操作。裝置通過預定的方式將臨時賬戶(密碼)傳送給設備操作單元。例如，通過郵件、短信等單獨渠道傳送給設備操作單元，對其他單元均不可見。由于臨時賬戶和密碼具有操作時間窗口，僅在預設的操作終止時間到達之前有效，因此設備操作單元需要在操作時間窗口內(nèi)，利用臨時賬戶(密碼)，執(zhí)行設備的操作，這種操作為有效操作，否則，該操作為無效操作，且為非法操作。

4) 步驟S140，在設備操作單元基于臨時賬戶對設備操作完畢后，禁止該臨時賬戶登錄該設備。即對臨時賬戶進行回收，在設備側(cè)撤銷該臨時賬戶，當再次使用該臨時賬戶登錄設備時，則登錄失敗。例如：設備修改當前密碼，則使用原密碼將無法登錄成功。

具體而言，設備操作單元對設備操作完畢后，在裝置中提交密碼回收請求，裝置將再次向設備發(fā)送密碼修改指令，或者裝置將再次根據(jù)預先設置的密碼生成算法生成一個密碼，使設備修改當前密碼，這樣使用原密碼將無法登錄設備。設備密碼修改成功后將修改后的密碼返回裝置，由裝置對該密碼加密后存入數(shù)據(jù)庫。

由于密碼僅在操作時間窗口內(nèi)使用有效，則從指定的操作開始時間開始，判斷是否接收到來自設備操作單元發(fā)送的密碼回收請求，若是，則禁止密碼登錄設備；若否，則繼續(xù)判斷，直至到達操作終止時間為止；當?shù)竭_操作終止時間時，判斷設備操作單元對設備是否有操作，若是，則向安全管理單元發(fā)送告警信號，若否，則禁止密碼登錄設備。安全管理單元接收到告警信號后，視情況進行安全策略下發(fā)。例如：發(fā)現(xiàn)設備操作單元為可疑單元，則鎖定設備；若設備出現(xiàn)不易排查的故障，則延長操作時間窗口[5]，其中安全策略的下發(fā)是通過Agent代理程序接口從管理端下發(fā)到被管理設備的，接口傳輸采用的是私有協(xié)議，保證了數(shù)據(jù)傳輸?shù)陌踩?/p>

以下再以一實施方式進行說明：如圖3所示，本實施方式中賬戶分配裝置(管理平臺)采用如Linux操作系統(tǒng)。被管理的設備上安裝Agent代理程序模塊，我們稱之為安全代理，管理平臺與下面管理的設備通過Agent代理程序的接口進行信息交互來保證通訊的安全。管理平臺主要完成如下任務：處理操作員提出的操作申請并對這些申請進行批準并準備好此次操作使用的賬戶和密碼、對于發(fā)出告警的監(jiān)控設備下發(fā)相應的安全策略。通過應用本系統(tǒng)提供的賬戶分配方法，在保證運維效率的基礎(chǔ)上整個系統(tǒng)的安全性和保密性大大加強，創(chuàng)造了良好的經(jīng)濟效益[5]。

圖3 賬戶分配裝置的系統(tǒng)部署圖

本文提到的這種賬戶分配方法引入分權(quán)模式的賬戶管理方式，通過分配六種角色單元，使各個單元各司其職，防止某一類角色由于對設備權(quán)限過大而造成不可控制的安全影響。方法中通過申請臨時賬號的方式，有效地解決了大批量設備賬號的管理負擔問題，降低了維護成本。除此之外，臨時賬戶密碼的分配和存儲都由裝置管理，平臺管理單元、安全管理單元和審計管理單元均無法獲知密碼，而且設備操作單元也只能在有限時間窗內(nèi)使用密碼，有效地避免了密碼泄露造成的安全事件，降低運維人員的安全管理負擔。

3 結(jié)束語

如何對設備進行安全有效的管理并且在管理過程中對設備密碼進行有效的控制、保障環(huán)境的安全，是日常運維過程中運維人員最為關(guān)注的問題，未來運維管理中設備會越來越多，管理的人員會越來越少，更加高效安全的賬戶管理系統(tǒng)是一個必然的發(fā)展趨勢。傳統(tǒng)的管理方式通過在數(shù)據(jù)庫中預先存儲設備密碼的方式會由于系統(tǒng)信息的泄漏而引發(fā)安全問題，本文針對運維管理的特點并結(jié)合實際的需求和操作流程引入了賬戶申請和密碼有效期的概念,對傳統(tǒng)的帳號管理的缺陷進行了分析，通過隨機生成密碼、操作前申請賬戶、管理員批準賬戶和賬戶密碼設置有效期的方式消除了傳統(tǒng)管理方式的安全隱患，在保證了系統(tǒng)安全性的同時也讓運維的管理變得可控且規(guī)范。隨著運維管理中設備數(shù)量的增多及種類的豐富，未來的系統(tǒng)更要關(guān)注設備的類型，并采用分類的方式，在現(xiàn)有的基礎(chǔ)上根據(jù)設備的業(yè)務類型更加有效地管理設備。

參考文獻

[1]葉永生.基于ITIL方法的運維服務系統(tǒng)研究與設計[J].現(xiàn)代計算機(專業(yè)版),2012(3):114-125

[2]鄧集波,洪帆.基于任務的訪問控制模型[J].軟件學報,2003,14(1):76-82

[3]陳曦,李振宇,謝高崗.一種基于P2P-SIP的可管理和可運維VoIP系統(tǒng)架構(gòu)[J].計算機研究與發(fā)展,2010(7):135-146

[4]鄧集波,洪帆.基于任務的訪問控制模型[J].軟件學報,2003,14(1):76-82

[5]胡錦敏,張申生.支持企業(yè)動態(tài)聯(lián)盟的敏捷工作流系統(tǒng)[J].計算機研究與發(fā)展,1999,36(12):1517-1223