文山供电局网络设备集中授权管理的探索与实践

文山供电局网络设备集中授权管理的探索与实践

娄宇

然而当网络规模逐步扩张的时候，IT基础架构也随之扩大，网络设备的管理与维护也变得复杂化，对多个设备或网络服务进行重复认证与控制，增加了额外的工作成本。且仅使用口令认证存在很高的信息建设安全隐患，非法人员只要获得管理员的口令就意味着可以进入这些网络设备随意做修改。因此企业需要能够对整个网络做出统一的身份认证与访问控制，从而有效提高IT运维工作的效率及管理操作的安全性。当前文山供电局也正面临着这一现状。

关键词：供电局；网络设备；授权管理

文山供电局网络设备管理面临挑战

文山供电局担负着文山市下辖马关县、麻栗坡县的供电任务。公司整个网络系统中部署有近百个路由器及交换机，网络架构复杂，承载着大量的核心业务。目前在信息建设中面临着以下问题：

安全挑战：对设备管理员的弱身份鉴别，以及在控制对其访问权限上的缺失或不力，带来了巨大的安全漏洞；

管理挑战：相对复杂的网络架构使得设备管理员在日常的IT运维工作中存在多次重复认证过程，影响管理工作效率。

为响应国家政策、提交企业信息安全、加固网络设备及生产系统密码保护，文山供电局尝试采用宁盾双因素认证登录解决方案，为网络设备（交换机、路由器等）提供统一身份认证及动态密码安全保护。

经测试和实施，本方案实现了对文山供电局基础网络环境中所有重要设备的集中授权管理，并可对管理人员的身份认证进行双重鉴别及访问权限控制，有效增强了信息安全保护，确保公司的整个网络系统能够安全稳定的运行。

下文将详细介绍本方案中文山供电局在网络设备的集中授权管理方向上的探索与实践，包括宁盾双因素认证系统介绍、实施方案、技术原理及系统价值。

宁盾双因素认证系统介绍

静态口令只能对用户身份的真实性进行弱鉴别。宁盾双因素认证系统（NDDKEY）是一套提供动态密码生成、认证和审计功能的软件系统，将动态密码与原有静态口令认证结合，实现双因素认证，提升账号安全，有效保护企业信息网络，同时能够帮助企业实现用户登录审计。

采用向导式安装，在windowsserver下部署只需按照向导提示即可安装，完成后系统服务会自动启动。Linux下只需解压安装程序即可，将程序启动方式设置为自动启动方式。

系统是基于浏览器访问的web应用程序，所有的管理工作或配置工作均可以在浏览器里面完成，无需再安装额外的插件或客户端软件。

系统完全集成RADIUS协议，实现网络中的准入和身份认证功能，兼容所有标准RADIUS协议产品。内建MySQL数据库，系统所用配置信息、身份信息、报表数据、认证日志、令牌绑定关系等数据均保存在内建数据中。

文山供电局网络设备双因素认证实施方案

通过在文山供电局信息机房的s5560-s1交换机中接入宁盾双因素认证服务器（NDDKEY），配置网络系统中的所有交换机、路由器设备采用RADIUS协议将认证指向宁盾服务器来实现双因素认证。文山供电局网络设备双因素认证系统拓扑架构如图所示：

这些网络设备账号绑定了宁盾动态令牌后，仅获得授权的管理员可进行访问，从而达成保障网络设备登录安全的目的。文山供电局网络设备双因素认证登录流程图：

当管理员需要登录时，须输入用户名和动态密码（①），然后由这些网络设备通过RADIUS协议将动态密码发送到宁盾认证服务器进行身份认证（②）。如果是合法用户则可以获得访问权限，否则就会被拒绝在外。

双因素认证技术原理

宁盾双因素认证服务器（DKEYSERVER）负责动态密码的生成及验证，动态密码形式包括硬件令牌、短信令牌及手机令牌等。硬件令牌在业务响应度上更有优势，适合登录频度较高的场景。文山供电局采用了硬件令牌的形式，兼顾了设备管理员的工作特性及双因素认证使用体验。这里对硬件令牌进行说明。

宁盾硬件令牌是一种基于时间的动态密码生成设备。硬件令牌每60秒会自动产生一个6位的随机密码且一次使用有效。硬件令牌与宁盾双因素认证服务器端具有相同的OPT（One-timepassword）算法，确保这个6位随机密码可以被服务器确认。

设备管理员在登录时需输入静态密码+硬件令牌上显示的动态密码，同时验证通过方可（单步认证）。文山供电局网络设备双因素认证登录界面如下图所示：

文山供电局网络设备集中授权管理系统价值

①增加网络设备密码安全：通过动态密码技术加固网络设备密码强度，所有帐号通过RADIUS协议实现静态密码+动态密码的双因素认证登录保护，杜绝非法授权访问问题，保障核心业务持续安全运行。

②访问控制分级授权管理：对网络设备管理人员采用分级授权管理机制，支持对不同帐号、不同身份级别的用户设定不同的访问及操作权限。

③实名认证可审计：网络设备管理人员的登入、登出时间，在宁盾认证服务器后台都会有相应的操作记录，有效控制帐号泄漏及共享，出现安全问题可进行追溯，实现实名制审计。

④网络设备管理收益：对网络设备的集中式认证和授权管理，帮助提升了日常运维管理工作效率，降低密码管理成本及管理风险。