段 婕，戎 麗

（國網(wǎng)山西省電力公司信息通信分公司，山西 太原 030001）

安全認(rèn)證技術(shù)在山西電力通信網(wǎng)中的應(yīng)用研究

段 婕，戎 麗

（國網(wǎng)山西省電力公司信息通信分公司，山西 太原 030001）

隨著山西電力信息化建設(shè)的不斷深入，數(shù)據(jù)通信網(wǎng)所承載的業(yè)務(wù)日趨復(fù)雜，數(shù)據(jù)網(wǎng)的安全性與穩(wěn)定性影響著各項(xiàng)核心業(yè)務(wù)、基礎(chǔ)業(yè)務(wù)和日常辦公。以“提高網(wǎng)絡(luò)安全性”為宗旨，建立一套獨(dú)立的終端管理系統(tǒng)，將傳統(tǒng)的AAA認(rèn)證（AAA認(rèn)證包括三部分，認(rèn)證A u t h e n ti c ati on、授權(quán)A u t ho r i z ati on和記賬A cc oun ti ng）與R S A（雙因素認(rèn)證系統(tǒng)）相結(jié)合，既增強(qiáng)了終端用戶管理的靈活性，又提高了網(wǎng)絡(luò)安全性，是信息安全管控的必然趨勢。

認(rèn)證；授權(quán)；記賬；雙因素認(rèn)證系統(tǒng)；安全認(rèn)證技術(shù)

0 引言

山西電力數(shù)據(jù)通信網(wǎng)絡(luò)蓬勃發(fā)展，截至2015年，山西省骨干數(shù)據(jù)通信路由器超過300臺，市級路由器達(dá)到2 000臺，采取何種安全訪問措施來管理網(wǎng)絡(luò)設(shè)備路由器顯得越來越重要。最基本的安全訪問策略是基于路由器中用戶信息數(shù)據(jù)庫對用戶進(jìn)行認(rèn)證授權(quán)，如圖1所示，用戶輸入的用戶名和口令通過PAP和CHAP協(xié)議加密，以銘文密鑰傳送給路由器，路由器對用戶名和口令進(jìn)行驗(yàn)證。這種安全方式容易被攻擊者截獲破譯，而且路由器自身維護(hù)一張用戶信息表，充當(dāng)驗(yàn)證服務(wù)器的功能，增加了路由器負(fù)擔(dān)，降低了其數(shù)據(jù)轉(zhuǎn)發(fā)的效率。因此，有必要增加專用認(rèn)證服務(wù)器，使用戶信息數(shù)據(jù)庫和路由器分離，并且對路由器和認(rèn)證服務(wù)器之間的認(rèn)證信息進(jìn)行加密，加強(qiáng)信息傳遞安全性[1]。

圖1 路由器本地認(rèn)證示意圖

1 AAA認(rèn)證

路由器在信息管理方面能力差，設(shè)置用戶數(shù)據(jù)庫時(shí)需手動逐條輸入命令，不便于用戶信息管理。隨著業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的增大，為每臺路由器配置用戶信息數(shù)據(jù)庫顯然不可行。增加專用的AAA服務(wù)器設(shè)置AAA認(rèn)證，可以使用戶數(shù)據(jù)庫和路由器分離，并且AAA服務(wù)器有圖形管理界面、詳細(xì)的統(tǒng)計(jì)分析信息，便于用戶信息管理與故障分析。

1.1 AAA認(rèn)證方式原理

AAA 認(rèn)證包括三部分[1]：認(rèn)證（Authentication）、授權(quán) （Authorization） 和記賬（Accounting）。

認(rèn)證。認(rèn)證用以確定用戶的身份，核查是否允許他們訪問網(wǎng)絡(luò)設(shè)備。認(rèn)證使網(wǎng)絡(luò)管理員可以有效地管理合法操作者、阻止入侵者訪問路由器。

授權(quán)。授權(quán)可以界定每個(gè)用戶可獲得的操作權(quán)限。根據(jù)不同的用戶對不同的網(wǎng)絡(luò)設(shè)備管理需求，設(shè)置不同的管理等級，方便網(wǎng)絡(luò)設(shè)備的日常維護(hù)以及保證網(wǎng)絡(luò)的安全性。

記賬。使用統(tǒng)計(jì)的系統(tǒng)日志來跟蹤試圖進(jìn)入網(wǎng)絡(luò)的用戶，并且保存他們對路由器的操作，為設(shè)備故障處理提供依據(jù)。

AAA認(rèn)證使用TACACS+或RADIUS協(xié)議在路由器和認(rèn)證服務(wù)器之間傳遞數(shù)據(jù)包，TACACS+和RADIUS協(xié)議使用安全性高的算法協(xié)議對數(shù)據(jù)包部分加密，同時(shí)將用戶信息以加密的形式存儲在認(rèn)證服務(wù)器上，增加了認(rèn)證的安全性。AAA認(rèn)證使用授權(quán)列表控制用戶的操作權(quán)限，同時(shí)記錄用戶的操作。

1.2 AAA認(rèn)證實(shí)現(xiàn)方式

用戶向路由器發(fā)起連接請求，路由器得到這些用戶信息后發(fā)送給AAA服務(wù)器[2]，AAA服務(wù)器在收到用戶信息后，首先將用戶名和密碼信息提取出來，然后對比AAA服務(wù)器中的用戶信息數(shù)據(jù)庫，找到相匹配用戶條目，核查用戶名和密碼是否正確。若正確，則找到用戶被授權(quán)的操作列表，返回驗(yàn)證通過的信息，路由器收到這個(gè)回應(yīng)信息后發(fā)送信息給用戶，表明用戶獲得授權(quán)并允許用戶訪問路由器。若AAA服務(wù)器核實(shí)用戶名或密碼信息錯(cuò)誤，則驗(yàn)證無法通過，將直接回應(yīng)一個(gè)拒絕的數(shù)據(jù)包，路由器會切斷用戶的連接請求。

AAA服務(wù)器還可以承載路由器的計(jì)費(fèi)功能。當(dāng)路由器收到允許用戶連接的回應(yīng)后，向AAA服務(wù)器發(fā)送一個(gè)針對該用戶的計(jì)費(fèi)開始的請求，AAA服務(wù)器收到這個(gè)請求后，則開啟相應(yīng)的計(jì)費(fèi)操作，同時(shí)發(fā)送計(jì)費(fèi)開始的應(yīng)答信息。當(dāng)用戶斷開連接后，路由器將給AAA服務(wù)器發(fā)送一個(gè)計(jì)費(fèi)結(jié)束的請求，AAA服務(wù)器在完成結(jié)束計(jì)費(fèi)操作后，向路由器發(fā)送一個(gè)結(jié)束應(yīng)答。

1.3 配置AAA認(rèn)證過程

山西省電力數(shù)據(jù)通信骨干網(wǎng)設(shè)備主要以思科路由器為主，市級網(wǎng)設(shè)備部分部署了華為路由器，配置過程以思科路由器為例簡要說明。

a）開啟AAA服務(wù)aaanew-model。

b）配置ACS（思科安全認(rèn)證服務(wù)器）地址和AAA client密碼。

tacacs-serverhost***.***.***.***

tacacs-serverkey***

c）對用戶訪問進(jìn)行認(rèn)證。

aaa anthentication login [default/list_name] method1method2…

d）對用戶操作進(jìn)行授權(quán)。

aaa authorization [exec|commands level_*] [default/list_name]method1method2…

e）對用戶操作進(jìn)行記賬。

aaa accouting [exec|commands level_*] [default|list_name] [start-stop|stop-only] method1 method2…

f）在界面上應(yīng)用AAA認(rèn)證。

Line[console0|vty 0 15]

Login authentication[console|vty]

1.4 AAA認(rèn)證的優(yōu)勢與不足

在山西省電力數(shù)據(jù)通信網(wǎng)獨(dú)立配置AAA認(rèn)證服務(wù)器，可以達(dá)到以下預(yù)期目標(biāo)。

a）增強(qiáng)數(shù)據(jù)通信網(wǎng)的安全性。相對傳統(tǒng)路由器認(rèn)證方式，AAA認(rèn)證服務(wù)器將用戶數(shù)據(jù)庫與路由器分離，不僅提高了路由器的性能，而且增強(qiáng)了安全性。

b)認(rèn)證的可擴(kuò)性強(qiáng)。改變過去的安全訪問機(jī)制，不需要每一臺路由器上都配置用戶數(shù)據(jù)庫，將用戶數(shù)據(jù)信息集中在AAA認(rèn)證服務(wù)器上進(jìn)行管理，從而可以簡單靈活地實(shí)現(xiàn)增添或變更網(wǎng)絡(luò)設(shè)備的安全配置。

c）加強(qiáng)用戶管理靈活性。可以根據(jù)用戶對不同設(shè)備的操作需求，靈活地對不同用戶在不同網(wǎng)絡(luò)設(shè)備的操作限定權(quán)限。

d）記錄用戶的所有操作?？梢杂涗浻脩粜畔⒁约皩β酚善髯鲞^的詳細(xì)的操作指令。

雖然增設(shè)AAA認(rèn)證服務(wù)器有以上四大優(yōu)勢，但是AAA認(rèn)證技術(shù)采用的還是單純的用戶名+口令的認(rèn)證機(jī)制，弊端如下。

a）靜態(tài)口令不易更換、不方便管理，成為網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。

b）網(wǎng)絡(luò)上存在大量破解靜態(tài)口令的工具。

c）對于第三方的維護(hù)和開發(fā)人員，管理員不得不開放自身超級用戶口令，存在巨大安全隱患。

d）口令管理工作量大，經(jīng)常更換靜態(tài)口令會造成出現(xiàn)大量的口令維護(hù)管理工作。

2 RSA雙因素認(rèn)證

考慮到只啟用AAA認(rèn)證存在網(wǎng)絡(luò)安全隱患并且用戶管理工作量大，在AAA認(rèn)證的基礎(chǔ)上集成RSA系統(tǒng)，實(shí)現(xiàn)靜態(tài)密碼與動態(tài)密碼相結(jié)合，可解決密碼安全與管理問題。

2.1 RSA雙因素認(rèn)證方式原理

RSA（雙因素認(rèn)證系統(tǒng)）由服務(wù)器、代理、令牌（SecurID Token）三部分構(gòu)成[3]（見圖2）。

圖2 RSA雙因素認(rèn)證系統(tǒng)圖

RSA服務(wù)器，是認(rèn)證系統(tǒng)的引擎，由網(wǎng)絡(luò)安全管理員進(jìn)行管理。RSA服務(wù)器可以向合法的用戶簽發(fā)認(rèn)證令牌卡，設(shè)置并實(shí)施安全策略，保護(hù)對專用網(wǎng)絡(luò)系統(tǒng)的訪問，并定義允許的失敗訪問次數(shù)，以阻止非法用戶的攻擊。

RSA代理，是實(shí)現(xiàn)認(rèn)證功能的中間代理軟件，是認(rèn)證服務(wù)器上訪問控制及安全策略等的具體實(shí)施主體。

RSA SecurID認(rèn)證令牌有硬件、軟件和智能卡等多種形式[4]。山西電力數(shù)據(jù)通信網(wǎng)采用的認(rèn)證令牌形式是鑰匙鏈?zhǔn)降挠布钆?，擁有?nèi)置芯片和一個(gè)可以顯示多位數(shù)字的LCD窗口，體積小巧，攜帶方便。Token使用64位種子，每60 s會使用某種特定的算法組合種子，生成一串隨機(jī)的數(shù)字，使用Token時(shí)會被系統(tǒng)要求設(shè)置4～8位的PIN碼，即RSA認(rèn)證的靜態(tài)密碼（見圖3）。

圖3 RSA雙因素認(rèn)證系統(tǒng)圖

RSA安全解決方案是使用“雙因素認(rèn)證”，就是一個(gè)簡單的靜態(tài)口令外加隨機(jī)的令牌密碼。Token每分鐘動態(tài)生成的一串?dāng)?shù)字（code）加上每個(gè)Token的PIN碼的唯一性，便可高度確信該用戶即是擁有RSA安全認(rèn)證令牌的合法用戶，從而實(shí)現(xiàn)相對高度可靠的用戶認(rèn)證。

當(dāng)用戶試圖訪問受保護(hù)的路由器時(shí)，RSA系統(tǒng)的代理將生成一個(gè)認(rèn)證請求，用戶必須輸入用戶名、PIN和令牌碼。認(rèn)證請求信息被加密，然后轉(zhuǎn)發(fā)給RSA的認(rèn)證服務(wù)器。RSA認(rèn)證服務(wù)器接到認(rèn)證請求后，將查詢RSA服務(wù)器中的用戶信息數(shù)據(jù)庫，在定位用戶名后，將收到的PIN和令牌碼與數(shù)據(jù)庫記錄進(jìn)行比對，若PIN和令牌碼均有效，則授權(quán)其訪問路由器。若PIN不匹配或令牌碼錯(cuò)誤，RSA服務(wù)器會要求用戶重試，網(wǎng)絡(luò)安全管理員可以設(shè)置在鎖定用戶和建立報(bào)警日志前所允許的重復(fù)次數(shù)。

2.2 AAA和RSA的集成部署

RSA系統(tǒng)可以完成網(wǎng)絡(luò)設(shè)備訪問認(rèn)證功能，但是不支持強(qiáng)大的授權(quán)和記賬功能，所以最優(yōu)的策略是集成RSA系統(tǒng)與AAA系統(tǒng)，既具備了RSA系統(tǒng)的動態(tài)口令認(rèn)證的優(yōu)勢，增強(qiáng)了網(wǎng)絡(luò)的安全性，同時(shí)實(shí)現(xiàn)了AAA系統(tǒng)的授權(quán)和記賬功能，方便管理網(wǎng)絡(luò)設(shè)備的用戶權(quán)限，并且為網(wǎng)絡(luò)設(shè)備維護(hù)提供依據(jù)。

3 在山西電力數(shù)據(jù)通信網(wǎng)安全訪問中的應(yīng)用

山西電力數(shù)據(jù)通信網(wǎng)的各個(gè)地區(qū)網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)設(shè)備的管理維護(hù)權(quán)限需求不同，例如太原網(wǎng)絡(luò)維護(hù)人員只需要對太原市市級網(wǎng)絡(luò)設(shè)備執(zhí)行配置操作，對于省級網(wǎng)絡(luò)只需要進(jìn)入路由器的特權(quán)模式進(jìn)行查看等操作，所以我們根據(jù)地域劃分用戶組與網(wǎng)絡(luò)設(shè)備組，結(jié)合維護(hù)需求，不同的用戶組對應(yīng)不同的網(wǎng)絡(luò)設(shè)備組設(shè)置不同的訪問權(quán)限，從而保證網(wǎng)絡(luò)安全。

3.1 工作方式

如圖4所示，AAA認(rèn)證服務(wù)器和RSA服務(wù)器與山西電力數(shù)據(jù)通信網(wǎng)的核心路由器直連，各個(gè)地市以及省中心網(wǎng)絡(luò)維護(hù)人員通過數(shù)據(jù)通信網(wǎng)遠(yuǎn)程訪問目的路由器，目的路由器接收到訪問請求后立即啟用AAA認(rèn)證和RSA認(rèn)證，認(rèn)證過程分為4個(gè)步驟。

a）步驟1：網(wǎng)絡(luò)維護(hù)人員通過終端機(jī)PC向目的路由器發(fā)送訪問請求，同時(shí)輸入個(gè)人信息（包括用戶名、PIN和令牌碼）。

b）步驟2：目的路由器將訪問者的個(gè)人信息傳送給AAA認(rèn)證服務(wù)器，AAA認(rèn)證服務(wù)器服務(wù)器不做任何處理，通過透明模式發(fā)送給RSA服務(wù)器。

c）步驟3：RSA服務(wù)器將獲得的訪問者信息與數(shù)據(jù)庫中的用戶信息進(jìn)行比對，并將比對結(jié)果發(fā)送給AAA認(rèn)證服務(wù)器。

d）步驟4：AAA認(rèn)證服務(wù)器根據(jù)RSA服務(wù)器發(fā)送的比對結(jié)果判斷訪問者的身份是否合法，若為合法訪問者，AAA認(rèn)證服務(wù)器同時(shí)獲取訪問者的授權(quán)信息，將驗(yàn)證通過信息和授權(quán)信息反饋給目的路由器；若為非法入侵者，AAA認(rèn)證服務(wù)器將發(fā)送驗(yàn)證不通過信息給目的路由器，目的路由器收到信息后斷開與用戶的連接。

圖4 AAA和RSA認(rèn)證技術(shù)在數(shù)據(jù)通信網(wǎng)中的應(yīng)用示意圖

為了保證山西電力數(shù)據(jù)通信網(wǎng)的維護(hù)工作正常進(jìn)行，在省中心同時(shí)設(shè)置2臺AAA認(rèn)證服務(wù)器和2臺RSA服務(wù)器。AAA認(rèn)證服務(wù)器主備用同步運(yùn)行，在主設(shè)備發(fā)生故障時(shí)，備用設(shè)備實(shí)現(xiàn)無縫切換。2臺RSA服務(wù)器運(yùn)行采用熱備用方式，從而可以有效地保證訪問者認(rèn)證工作的順利進(jìn)行。為了避免認(rèn)證系統(tǒng)故障造成運(yùn)維工作難以實(shí)施，在路由器設(shè)置為：當(dāng)AAA認(rèn)證服務(wù)器沒有回應(yīng)時(shí)，啟用路由器本地認(rèn)證，為路由器的安全管理設(shè)置最后一道防線。

3.2 實(shí)施效果

使用口令卡通過雙因子認(rèn)證的方式登陸管理數(shù)據(jù)網(wǎng)終端設(shè)備已經(jīng)近一年，網(wǎng)絡(luò)維護(hù)安全性較之前的登陸認(rèn)證方式有了很大的提高。

目前已經(jīng)實(shí)現(xiàn)在登陸數(shù)據(jù)網(wǎng)終端設(shè)備時(shí)，除需輸入靜態(tài)的用戶名和靜態(tài)密碼外，還需要輸入動態(tài)密碼才能進(jìn)入路由器配置界面。動態(tài)密碼1min更改1次，極大程度上降低了嘗試性和惡意性登陸數(shù)據(jù)通信網(wǎng)設(shè)備的操作對數(shù)據(jù)網(wǎng)的安全所造成的影響。除此之外，根據(jù)維護(hù)人員的工作職能劃分了相應(yīng)的權(quán)限等級，目前省中心網(wǎng)絡(luò)班維護(hù)人員權(quán)限等級最高，可以訪問和管理整個(gè)數(shù)據(jù)網(wǎng)所有可達(dá)的路由器。地市分公司擬分配3～4名維護(hù)人員負(fù)責(zé)管理市級網(wǎng)絡(luò)所管轄的路由器。為方便地市維護(hù)人員網(wǎng)絡(luò)排錯(cuò)，除開放訪問、管理市級網(wǎng)絡(luò)路由器外，還開放了省級骨干網(wǎng)核心路由器的排錯(cuò)權(quán)限。

4 結(jié)論

采用RSA和AAA集成認(rèn)證的方式，不僅保證了網(wǎng)絡(luò)安全性，規(guī)范了數(shù)據(jù)通信網(wǎng)終端管理，有效地避免外來用戶的惡意攻擊，還可以記錄用戶登陸、操作日志，為網(wǎng)絡(luò)設(shè)備維護(hù)提供依據(jù)。由此可見，在數(shù)據(jù)通信網(wǎng)部署RSA和AAA集成認(rèn)證是保障信息安全的必然趨勢。

[1]霍英.基于INTERNET的遠(yuǎn)程訪問控制中AAA問題的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2001(5):86-92.

[2]高昆.ACS網(wǎng)絡(luò)安全管理[J].中國科技信息，2006(2):102-106.

[3]楊修蘭，蔣澤軍.基于LDAP和雙因素身份認(rèn)證的統(tǒng)一認(rèn)證[J].計(jì)算機(jī)工程與科學(xué)，2008（4）:16-24.

[4]張鍵紅，韋永壯，王育民.基于RSA的雙重?cái)?shù)字簽名[J].通信學(xué)報(bào)，2003（2）:12-16.

Secure Authentication Technology in Shanxi Electric Power Communication Network

DUAN Jie，RONG Li
（State Grid Information and Communications Company of SEPC，Taiyuan，Shanxi 030001，China）

With the deepening of information construction in Shanxi power communication network,the security and stability of network data affects the core business，basic business and daily work.In order to improve network security，the traditional AAA authentication and RSA two-factor authentication are combined on the purpose of establishing an independent terminalmanagement system.This terminalmanagementsystem both enhances the flexibility of theend-usermanagementand improvesnetwork security，which willbecomean inevitable trend for information securitymanagement.

authentication；authorization；accounting；two-factorauthentication system；security certification technology

TP309

A

1671-0320（2015）05-0041-04

2015-07-07，

2015-08-04

段 婕（1987），女，山西臨汾人，2012年畢業(yè)于北京郵電大學(xué)電磁場與微波技術(shù)專業(yè)，碩士，工程師，從事電力通信網(wǎng)絡(luò)運(yùn)行、維護(hù)工作；

戎 麗（1982），女，山西大同人，2009年畢業(yè)于華北電力大學(xué)通信工程專業(yè)，碩士，從事電力通信傳輸運(yùn)行、維護(hù)工作。