安全认证技术在山西电力通信网中的应用研究

段 婕，戎 丽

（国网山西省电力公司信息通信分公司，山西 太原 030001）

安全认证技术在山西电力通信网中的应用研究

段 婕，戎 丽

（国网山西省电力公司信息通信分公司，山西 太原 030001）

随着山西电力信息化建设的不断深入，数据通信网所承载的业务日趋复杂，数据网的安全性与稳定性影响着各项核心业务、基础业务和日常办公。以“提高网络安全性”为宗旨，建立一套独立的终端管理系统，将传统的AAA认证（AAA认证包括三部分，认证A u t h e n ti c ati on、授权A u t ho r i z ati on和记账A cc oun ti ng）与R S A（双因素认证系统）相结合，既增强了终端用户管理的灵活性，又提高了网络安全性，是信息安全管控的必然趋势。

认证；授权；记账；双因素认证系统；安全认证技术

0 引言

山西电力数据通信网络蓬勃发展，截至2015年，山西省骨干数据通信路由器超过300台，市级路由器达到2 000台，采取何种安全访问措施来管理网络设备路由器显得越来越重要。最基本的安全访问策略是基于路由器中用户信息数据库对用户进行认证授权，如图1所示，用户输入的用户名和口令通过PAP和CHAP协议加密，以铭文密钥传送给路由器，路由器对用户名和口令进行验证。这种安全方式容易被攻击者截获破译，而且路由器自身维护一张用户信息表，充当验证服务器的功能，增加了路由器负担，降低了其数据转发的效率。因此，有必要增加专用认证服务器，使用户信息数据库和路由器分离，并且对路由器和认证服务器之间的认证信息进行加密，加强信息传递安全性[1]。

图1 路由器本地认证示意图

1 AAA认证

路由器在信息管理方面能力差，设置用户数据库时需手动逐条输入命令，不便于用户信息管理。随着业务的发展，网络规模的增大，为每台路由器配置用户信息数据库显然不可行。增加专用的AAA服务器设置AAA认证，可以使用户数据库和路由器分离，并且AAA服务器有图形管理界面、详细的统计分析信息，便于用户信息管理与故障分析。

1.1 AAA认证方式原理

AAA 认证包括三部分[1]：认证（Authentication）、授权 （Authorization） 和记账（Accounting）。

认证。认证用以确定用户的身份，核查是否允许他们访问网络设备。认证使网络管理员可以有效地管理合法操作者、阻止入侵者访问路由器。

授权。授权可以界定每个用户可获得的操作权限。根据不同的用户对不同的网络设备管理需求，设置不同的管理等级，方便网络设备的日常维护以及保证网络的安全性。

记账。使用统计的系统日志来跟踪试图进入网络的用户，并且保存他们对路由器的操作，为设备故障处理提供依据。

AAA认证使用TACACS+或RADIUS协议在路由器和认证服务器之间传递数据包，TACACS+和RADIUS协议使用安全性高的算法协议对数据包部分加密，同时将用户信息以加密的形式存储在认证服务器上，增加了认证的安全性。AAA认证使用授权列表控制用户的操作权限，同时记录用户的操作。

1.2 AAA认证实现方式

用户向路由器发起连接请求，路由器得到这些用户信息后发送给AAA服务器[2]，AAA服务器在收到用户信息后，首先将用户名和密码信息提取出来，然后对比AAA服务器中的用户信息数据库，找到相匹配用户条目，核查用户名和密码是否正确。若正确，则找到用户被授权的操作列表，返回验证通过的信息，路由器收到这个回应信息后发送信息给用户，表明用户获得授权并允许用户访问路由器。若AAA服务器核实用户名或密码信息错误，则验证无法通过，将直接回应一个拒绝的数据包，路由器会切断用户的连接请求。

AAA服务器还可以承载路由器的计费功能。当路由器收到允许用户连接的回应后，向AAA服务器发送一个针对该用户的计费开始的请求，AAA服务器收到这个请求后，则开启相应的计费操作，同时发送计费开始的应答信息。当用户断开连接后，路由器将给AAA服务器发送一个计费结束的请求，AAA服务器在完成结束计费操作后，向路由器发送一个结束应答。

1.3 配置AAA认证过程

山西省电力数据通信骨干网设备主要以思科路由器为主，市级网设备部分部署了华为路由器，配置过程以思科路由器为例简要说明。

a）开启AAA服务aaanew-model。

b）配置ACS（思科安全认证服务器）地址和AAA client密码。

tacacs-serverhost***.***.***.***

tacacs-serverkey***

c）对用户访问进行认证。

aaa anthentication login [default/list_name] method1method2…

d）对用户操作进行授权。

aaa authorization [exec|commands level_*] [default/list_name]method1method2…

e）对用户操作进行记账。

aaa accouting [exec|commands level_*] [default|list_name] [start-stop|stop-only] method1 method2…

f）在界面上应用AAA认证。

Line[console0|vty 0 15]

Login authentication[console|vty]

1.4 AAA认证的优势与不足

在山西省电力数据通信网独立配置AAA认证服务器，可以达到以下预期目标。

a）增强数据通信网的安全性。相对传统路由器认证方式，AAA认证服务器将用户数据库与路由器分离，不仅提高了路由器的性能，而且增强了安全性。

b)认证的可扩性强。改变过去的安全访问机制，不需要每一台路由器上都配置用户数据库，将用户数据信息集中在AAA认证服务器上进行管理，从而可以简单灵活地实现增添或变更网络设备的安全配置。

c）加强用户管理灵活性。可以根据用户对不同设备的操作需求，灵活地对不同用户在不同网络设备的操作限定权限。

d）记录用户的所有操作。可以记录用户信息以及对路由器做过的详细的操作指令。

虽然增设AAA认证服务器有以上四大优势，但是AAA认证技术采用的还是单纯的用户名+口令的认证机制，弊端如下。

a）静态口令不易更换、不方便管理，成为网络安全的薄弱环节。

b）网络上存在大量破解静态口令的工具。

c）对于第三方的维护和开发人员，管理员不得不开放自身超级用户口令，存在巨大安全隐患。

d）口令管理工作量大，经常更换静态口令会造成出现大量的口令维护管理工作。

2 RSA双因素认证

考虑到只启用AAA认证存在网络安全隐患并且用户管理工作量大，在AAA认证的基础上集成RSA系统，实现静态密码与动态密码相结合，可解决密码安全与管理问题。

2.1 RSA双因素认证方式原理

RSA（双因素认证系统）由服务器、代理、令牌（SecurID Token）三部分构成[3]（见图2）。

图2 RSA双因素认证系统图

RSA服务器，是认证系统的引擎，由网络安全管理员进行管理。RSA服务器可以向合法的用户签发认证令牌卡，设置并实施安全策略，保护对专用网络系统的访问，并定义允许的失败访问次数，以阻止非法用户的攻击。

RSA代理，是实现认证功能的中间代理软件，是认证服务器上访问控制及安全策略等的具体实施主体。

RSA SecurID认证令牌有硬件、软件和智能卡等多种形式[4]。山西电力数据通信网采用的认证令牌形式是钥匙链式的硬件令牌，拥有内置芯片和一个可以显示多位数字的LCD窗口，体积小巧，携带方便。Token使用64位种子，每60 s会使用某种特定的算法组合种子，生成一串随机的数字，使用Token时会被系统要求设置4～8位的PIN码，即RSA认证的静态密码（见图3）。

图3 RSA双因素认证系统图

RSA安全解决方案是使用“双因素认证”，就是一个简单的静态口令外加随机的令牌密码。Token每分钟动态生成的一串数字（code）加上每个Token的PIN码的唯一性，便可高度确信该用户即是拥有RSA安全认证令牌的合法用户，从而实现相对高度可靠的用户认证。

当用户试图访问受保护的路由器时，RSA系统的代理将生成一个认证请求，用户必须输入用户名、PIN和令牌码。认证请求信息被加密，然后转发给RSA的认证服务器。RSA认证服务器接到认证请求后，将查询RSA服务器中的用户信息数据库，在定位用户名后，将收到的PIN和令牌码与数据库记录进行比对，若PIN和令牌码均有效，则授权其访问路由器。若PIN不匹配或令牌码错误，RSA服务器会要求用户重试，网络安全管理员可以设置在锁定用户和建立报警日志前所允许的重复次数。

2.2 AAA和RSA的集成部署

RSA系统可以完成网络设备访问认证功能，但是不支持强大的授权和记账功能，所以最优的策略是集成RSA系统与AAA系统，既具备了RSA系统的动态口令认证的优势，增强了网络的安全性，同时实现了AAA系统的授权和记账功能，方便管理网络设备的用户权限，并且为网络设备维护提供依据。

3 在山西电力数据通信网安全访问中的应用

山西电力数据通信网的各个地区网络管理人员对网络设备的管理维护权限需求不同，例如太原网络维护人员只需要对太原市市级网络设备执行配置操作，对于省级网络只需要进入路由器的特权模式进行查看等操作，所以我们根据地域划分用户组与网络设备组，结合维护需求，不同的用户组对应不同的网络设备组设置不同的访问权限，从而保证网络安全。

3.1 工作方式

如图4所示，AAA认证服务器和RSA服务器与山西电力数据通信网的核心路由器直连，各个地市以及省中心网络维护人员通过数据通信网远程访问目的路由器，目的路由器接收到访问请求后立即启用AAA认证和RSA认证，认证过程分为4个步骤。

a）步骤1：网络维护人员通过终端机PC向目的路由器发送访问请求，同时输入个人信息（包括用户名、PIN和令牌码）。

b）步骤2：目的路由器将访问者的个人信息传送给AAA认证服务器，AAA认证服务器服务器不做任何处理，通过透明模式发送给RSA服务器。

c）步骤3：RSA服务器将获得的访问者信息与数据库中的用户信息进行比对，并将比对结果发送给AAA认证服务器。

d）步骤4：AAA认证服务器根据RSA服务器发送的比对结果判断访问者的身份是否合法，若为合法访问者，AAA认证服务器同时获取访问者的授权信息，将验证通过信息和授权信息反馈给目的路由器；若为非法入侵者，AAA认证服务器将发送验证不通过信息给目的路由器，目的路由器收到信息后断开与用户的连接。

图4 AAA和RSA认证技术在数据通信网中的应用示意图

为了保证山西电力数据通信网的维护工作正常进行，在省中心同时设置2台AAA认证服务器和2台RSA服务器。AAA认证服务器主备用同步运行，在主设备发生故障时，备用设备实现无缝切换。2台RSA服务器运行采用热备用方式，从而可以有效地保证访问者认证工作的顺利进行。为了避免认证系统故障造成运维工作难以实施，在路由器设置为：当AAA认证服务器没有回应时，启用路由器本地认证，为路由器的安全管理设置最后一道防线。

3.2 实施效果

使用口令卡通过双因子认证的方式登陆管理数据网终端设备已经近一年，网络维护安全性较之前的登陆认证方式有了很大的提高。

目前已经实现在登陆数据网终端设备时，除需输入静态的用户名和静态密码外，还需要输入动态密码才能进入路由器配置界面。动态密码1min更改1次，极大程度上降低了尝试性和恶意性登陆数据通信网设备的操作对数据网的安全所造成的影响。除此之外，根据维护人员的工作职能划分了相应的权限等级，目前省中心网络班维护人员权限等级最高，可以访问和管理整个数据网所有可达的路由器。地市分公司拟分配3～4名维护人员负责管理市级网络所管辖的路由器。为方便地市维护人员网络排错，除开放访问、管理市级网络路由器外，还开放了省级骨干网核心路由器的排错权限。

4 结论

采用RSA和AAA集成认证的方式，不仅保证了网络安全性，规范了数据通信网终端管理，有效地避免外来用户的恶意攻击，还可以记录用户登陆、操作日志，为网络设备维护提供依据。由此可见，在数据通信网部署RSA和AAA集成认证是保障信息安全的必然趋势。

[1]霍英.基于INTERNET的远程访问控制中AAA问题的研究与实现[J].计算机技术与发展，2001(5):86-92.

[2]高昆.ACS网络安全管理[J].中国科技信息，2006(2):102-106.

[3]杨修兰，蒋泽军.基于LDAP和双因素身份认证的统一认证[J].计算机工程与科学，2008（4）:16-24.

[4]张键红，韦永壮，王育民.基于RSA的双重数字签名[J].通信学报，2003（2）:12-16.

Secure Authentication Technology in Shanxi Electric Power Communication Network

DUAN Jie，RONG Li
（State Grid Information and Communications Company of SEPC，Taiyuan，Shanxi 030001，China）

With the deepening of information construction in Shanxi power communication network,the security and stability of network data affects the core business，basic business and daily work.In order to improve network security，the traditional AAA authentication and RSA two-factor authentication are combined on the purpose of establishing an independent terminalmanagement system.This terminalmanagementsystem both enhances the flexibility of theend-usermanagementand improvesnetwork security，which willbecomean inevitable trend for information securitymanagement.

authentication；authorization；accounting；two-factorauthentication system；security certification technology

TP309

A

1671-0320（2015）05-0041-04

2015-07-07，

2015-08-04

段 婕（1987），女，山西临汾人，2012年毕业于北京邮电大学电磁场与微波技术专业，硕士，工程师，从事电力通信网络运行、维护工作；

戎 丽（1982），女，山西大同人，2009年毕业于华北电力大学通信工程专业，硕士，从事电力通信传输运行、维护工作。