基于公钥认证技术提升设备远程管理安全性探究

叶水勇，汪 静，洪海霞，温永亮，罗志丰，郭小东，方 军

（国网黄山供电公司，安徽 黄山 245000）

0 引言

某地市供电公司遵循网省公司信息安全的各项要求，根据相关规定，通过ssh2 技术、ACl 控制技术、使用特定的管理主机等方式， 严格控制设备的远程管理权限［1-2］。 但随着网络设备的日益增多及各项运维调试工作的进行，发现管理主机使用混乱，不同的运维人员使用同一个管理主机去维护各自的系统，存在重大安全隐患，出现问题或故障时，无法准确溯源，而针对每个系统使用彼此独立的专用管理主机，则存在着资源浪费和不易管理的情况， 通常这种情况下采用堡垒机是最好的方式。 但堡垒机功能多种多样，操作繁杂，需要专人部署维护，且独立的硬件产品价格较昂贵。 所以某地市公司通过引入公钥认证的方式，对网络设备的远程管理进一步加固，常见的密钥加密算法有 DES、RSA 等［3-4］，本次某地市公司使用基于RSA 的方式实现该项功能。

1 主要管理做法

1.1 技术原理

RSA 是目前最有影响力的公钥加密算法， 它能够抵抗到目前为止已知的绝大多数密码攻击，RSA与传统加密方式不同的是，其非对称加密，可以在不直接传递密钥的情况下，完成解密［5-6］。 这能够确保信息的安全性， 避免了直接传递密钥所造成的被破解的风险。

某地市公司对现有网络设备根据重要性进行设备分级，并分别建立查看账户和管理账户，为每个账户赋予不同的权限，在网络设备端上传公钥，对应的私钥加密后保存在网络管理员手中，有调试需要时，将加密后的密钥及私钥加密密码提供给调试人员，调试人员通过RSA 认证方式登录管理主机。

1.2 设备分级

某供电公司根据设备的重要级别进行定级，同一级别的设备使用同一密钥对，实现分级管理，防止运维操作人员越级登录无关设备， 或采取不当操作导致的网络问题。

设备分级标准： 根据设备的重要级别可将目前公司内网、外网设备分为一级和二级两种级别。其中一级设备为公司系统重要、核心的设备，如内网核心设备、外网核心设备、广域网核心设备。 二级设备为公司系统除核心设备之外的一般设备，如内网接入设备、外网接入设备、广域网PE 设备、广域网CE 设备。

设备分级原则： 所谓一级设备就是一旦停运就会造成公司网络瘫痪，所有用户都无法上网，并会产生信息安全考核事件。 所谓二级设备就是一旦停运只会造成公司部分网络中断， 造成部分用户无法上网，不会产生信息安全考核事件。

1.3 按设备级别建立管理账户和查看账户及相应密钥对

为保障安全性， 某公司为每台设备分别建立管理账户和查看账户， 通过在网络设备内不同账户赋权等级的不同，实现权限区分，当需要执行巡检任务时， 给操作员提供查看账户和相应的RSA 私钥，仅能查看设备信息，无法进入配置模式，实现配置的增加、删除、修改，当需要完成设备配置调整时，给操作员提供管理账户和相应的RSA 私钥，密钥和设备账号由相应负责人统一管理［7-8］。 设备的管理账户和查看账户表如表1 所示。

密钥是一种参数， 它是在明文转换为密文或将密文转换为明文的算法中输入的参数。 密钥分为对称密钥与非对称密钥。

密钥对是区别于用户名加密码的远程登录Linux 实例认证方式。 SSH 密钥对通过加密算法生成一对密钥，默认采用RSA 2 048 位的加密方式。

私钥就是自己的，必须非常小心保存，最好加上密码。私钥是用来解密／签章，就Key 的所有权来说，私钥只有个人拥有。

公钥就是给大家用的， 你可以通过电子邮件发布， 可以通过网站让别人下载。 公钥其实是用来加密/验章用的。

表1 设备的管理账户和查看账户表

2 操作配置方法

以H3C 交换机为例阐述操作配置方法。

2.1 生成RSA密钥对

通过密钥生成工具，生成本地密钥对，本处使用Xshell 自带的生成工具 （putty 等其他工具同样可实现相同功能）。

1）运行Xshell 工具，并依次选择工具-新建用户密钥生成向导，出现以下向导界面，如图1 所示。密钥类型选择RSA，密钥长度可根据需要选择，长度越长，密钥复杂度及安全性越高［9-10］，但相应认证所消耗时间和资源会增加，建议使用2 048 位，然后执行下一步。

图1 用户密钥生成向导图

2）自动生成密钥对，待生成后，执行下一步，如图2 所示。

图2 自动生成密钥对图

3）根据需要输入密钥的名称，如用于广域网核心的管理私钥，输入密钥名称“GM1”，并可设置私钥加密密码，让私钥使用必须使用密码，防止对应私钥落入恶意人员手中被滥用，然后执行下一步［11-12］，如图3 所示。

图3 用户密钥生成图

4） 将生成的公钥格式调整为 “SSH2-IETF SECSH”，保存为文件“GM1”，并点击完成，如图 4所示。

5）选择Xshell 软件中选择工具-用户密钥管理，出现以下界面，选择我们生成的私钥GM1，并导出，用于后期私钥的管理和不同管理主机的认证登录［13-14］，如图 5 所示。

图4 公钥注册图

图5 私钥注册图

2.2 生成RSA密钥对

登录H3C交换机，创建管理用户“manager”，并配置SSH+公钥+密码认证。

1）启动ssh服务器。

system-view

［Switch］public-key local create rsa

［Switch］ssh server enable

2）设置SSH 用户登录界面的认证方式为AAA认证。

［Switch］user-interface vty 0 4

［Switch-ui-vty0-4］authentication-mode scheme

［Switch-ui-vty0-4］protocol inbound ssh

［Switch-ui-vty0-4］quit

3）创建管理用户“manager”，并设置权限。

［Switch］local-user manager

［Switch-luser-manager］password simple aabbcc

［Switch-luser-manager］service-type ssh level 3

［Switch-luser-manager］quit

4） 将公钥文件 GM1.pub 通过ftp/tftp 等方式上传到服务器端。

5）从文件GM1.pub 中导入公钥，并自定义命名，本处使用gm1。

［Switch］public-key peer gm1 import sshkey GM1.pub

6） 设置SSH 用户 manager 的认证方式为 publickey，并指定公钥为gm1。

［Switch］ssh user manager service-type stelnet authentication-type publickey assign publickey gm1

2.3 登录验证

1）打开Xshell 软件，建立一个新的连接，输入要管理设备的信息，如图6 所示。

图6 登录验证图

2）选择用户身份验证，方法使用“Public key”，用户名使用“manager”，用户密钥处点击浏览，选用本地保存的私钥“GM1”，如在其他管理主机进行远程操作，可导入前面步骤中导出的私钥“GM1”［15］，如图7 所示。

图7 导出的私钥图

3）点击确定，就可通过新建的连接完成对远端设备的管理。

3 结束语

公钥认证在网络设备远程管理上的应用是充分调研各供电公司现状的情况下编写的， 各供电公司或多或少存在管理主机一机多用的现象， 而采用专业的堡垒机等运维管理设备，又存在设备昂贵、操作复杂等问题。通过此方案，可以很好地解决现有环境下的问题，实施成本低，见效快，具有推广价值。公司通过使用公钥认证的方式对现有网络设备进行远程管理，使得公司在设备管理安全性上更进一步，加强了信息安全管控水平，确保各项业务可靠运行。