第十六卷增刊 安徽电气工程职业技术学院学报 2011年l0月 October 201 1 Vo1.16,Supplement JOURNAL OF ANHUI ELECTRICAL ENGINEERING PROFESSIONAL TECHNIQUE COLLEGE RSA双因素身份动态认证技术在信息安全管理中的应用 张晓晖 (蚌埠供电公司,安徽摘蚌埠233000) 要:针对当前网络主机账号人工管理难以满足复杂度、周期变更的要求,账号保管不当可 能导致泄密的风险,适时引入双因素身份动态认证技术,提高了账号管理的规范化水平与工作 效率,增强了网络主机安全登陆管控水平。 关键词:RSA;双因素;动态口令;信息安全 中图分类号:TP393.08 文献标识码: A 文章编号: 1672—9706(2011)增刊一0145-04 pplication of RSA Double Factors Identity Authentication Technology for Information Security Management ZHANG Xiao.hui (Bengbu Power Supply Company,Bengbu 233000,China) Abstract:In view of the current network,manual management of host account can not meet the needs of complexity and cyclical changing,improper management may lead to leak the account risk.The double fac— tors identity authentication technology is introduced timely,improving the standardization efficiency of the account management,and enhancing the network host safety landing CO Key words:RSA;double factors;dynamic password;information security 0 引言 随着信息网络技术飞速发展,企业对网络信息资源的依赖达到前所未有的程度。由于网络的开放 性,随之而来的各种安全威胁也纷至沓来,用户网络身份认证引发的安全问题尤为突出。认证是指验证 用户标识的有效性,通常以用户登录口令方式实现,目前大多数网络主机系统仍然采用用户名加口令的 认证方式,常见不外乎单因素或双因素的静态身份认证,静态身份认证最大的缺点在于必须严格防范口 令泄密或非授权使用,而动态口令却具有更高的安全级别。 应用系统安全范围通常被定义为5大类安全技术:身份认证、访问控制、数据保密性、数据完整性以 及不可否认性。身份认证之所以是排在首位的安全管理技术,原因在于它是对一个用户合法身份的管 理,是进入网络信息系统大门的第一道通行证,它授权系统内外部用户对系统资源或敏感信息的访问。 “十一五”期间,国家电网公司系统信息化呈现出快速发展态势,以SG186为主体的重大信息化工 程项目相继建设投运,由于信息系统应用范围覆盖市、县、乡镇供电所,蚌埠供电公司的网络规模、主机 数量迅速增长,加之国网公司信息安全等级保护要求网络主机账号要设置足够强度,以三个月为周期进 行更换,在账号多达上百之后人工管理实属不易:密码设置要符合强度要求,不少于8位的字母、数字、 特殊字符组合,三个月要重新更换一遍,不能重复、不能具有规律性,保管不当会造成泄密,但人工创建 收稿日期:2011一O7.1O 作者简介:张晓晖(1977-),男,安徽来安人,工程师。从事供电企业信息管理工作。 E—mail:bodz@sohu.corn ・145・ 安徽电气工程职业技术学院学报 第十六卷增刊 的口令在使用过程中总会存在各种风险。因此,采用动态口令认证既是技术的需要,更是精益化管理的 要求。 1 RSA双因素动态认证简介 目前,动态口令双因素安全认证技术主要有RSA、Safeword等公司产品。作为信息安全认证行业的 领跑者,RSA公司成立于1982年,在信息安全领域有20多年经验,占有身份认证领域74%的市场份 额,世界500强中80%、超过10亿份软件内置有RSA信息安全公司的技术。 双因素身份认证系统可以对网络主机实现动态令牌加密认证,从而保护网络设备与服务器的安全 运行,解决传统安全管理存在的不足。双因素认证是指用“所知道的”加上“所能拿到的”二个要素组合 在一起才能确认身份是否合法。基于RSA技术的双因素令牌要求使用者第一次使用令牌前预设一个 静态PIN码,即“所知道的”,以后每次登录系统时先输入PIN码,接着输入所看到的令牌码,令牌是“所 能拿到的”,二个因素组合即通常所说的强认证。令牌码SecurID在认证服务器与令牌上每60秒就产 生一个不同的6位代码,因此,双因素认证提供了比单纯密码更加安全的模式,其安全程度更远远超出 了传统意义上的静态密码。 目前,RSA双因素认证体系已得到众多的行业应用,如网上委托系统身份认证、拨号登录访问、对 网页访问安全控制、证券、银行、NETwARE/NT/UNIX系统登录、ORACLE/SQL SERVER大型数据库的 用户访问控制等众多网络信息安全领域。 2 系统方案设计及实施 2.1系统原理及架构 套司瓷蠢 ~ 以图1为例,左边的令牌就是一个RSA令牌, 已固化了芯片和电池,并内置唯一的128位种子文 圆盔圆 件作为初始值,后台认证服务器与这块令牌采用相 圆圈圈圜-囝匿圈同的算法、种子文件和时间标准,该算法与时间密 切关联,以确保每分钟服务器与令牌产生的值是唯 一 圆叠豳蜀 + 鹪 圆圈瞳盈一匡瞳譬翟图1 双因素身份认证同步技术架构 且相同的,这就是RSA公司独有的时间同步专利 技术,RSA双因素身份认证就是依赖这个看似简单 的原理来实现强认证的。 在使用RSA公司SecurID解决方案之后,一个完整的 口令称之为PASSCODE,它是由用户预先设定的4到8位 PIN码与动态令牌码构成,PIN码可以由字母、数字或特殊 字符组成,动态令牌码则由6位随机数组成,这样一来可 以构成长达14位的字母、数字组合,而且下一分钟将产生 不同的口令,因此基本没有破译的可能。 2.2安装配置 弹子 第一阶段:RSA认证服务器环境搭建 克整把理固囊口令搀PiN舟(翥户苗} Jil々舯们时I蠹设窿)和々砷丹壤电捌一超构成的 RSA Server是集中的双因素认证中心,支持Solaris、 每次认证请求,以备日后审计。 图2双因素口令构成示意图 AIX、HP—UX和Windows多种操作系统平台,通过RSA Server管理员进行安全策略的定义,记录用户的 蚌埠公司在虚拟化服务器环境下部署了windows2003 SERVER双因素身份认证系统,根据安装手 册指导,先运行RSA Authentication Manager.msi安装包,若只有一台认证服务器,安装选项中设置为主 认证服务器;再运行RSA RADIUS Server.msi安装包,对应选择“Primary”选项,通过安装好的管理平台 添加Agent host主机(即待管理网络设备、服务器设备的IP、设备名等信息),添加种子文件,添加用户并 为用户分配令牌,生成配置文件,即完成认证服务器端的部署与配置工作。 第二阶段:配置网络设备RSA双因素认证 登录到网络设备后,基于radius协议和AAA认证开启相关配置,完成网络设备的双因素认证,命令 .146. 张晓晖:RSA双因素身份动态认证技术在信息安全管理中的应用 如F: aaa new.model aaa authentication login auth group radius local//配置登陆认证的优先级 radius—server host 139.123.252.245 auth-port 1812 acct—port 1813//配置RADIUS服务器IP地址和端口 radius.server retransmit 3 radius—server key ZDBF%51 line vty 0 4 login authentication auth //配置密码 第三阶段:配置服务器基于RSA双因素认证 在需要采用RSA方式认证的服务器上运行RSA Windows Agent安装文件,前提是该服务器IP、主 机名等信息已经写人到RSA Server的host文件中,删除该服务器多余的系统账号,增加用户管理账号, 并赋予其administrator组的权限,启用操作系统的令牌认证,重启系统后双因素认证生效。 需要特别注意的是,为防止单一认证服务器故障导致系统无法登录的情况,事先在待实施服务器上 预留一个管理员权限的账号,将其密码设置足够的强度,在RSA Server上将该预留账号排除在动态认 证之外,这样在认证服务器故障情况下,仍然可以用该预留账号顺利登录并访问所需资源,因此该账号 的妥善保管至关重要。 2.3结果测试 测试目的:对蚌埠供电公司RSA双因素认证系统进行功能性测试,检验动态认证是否达到预期效果。 测试环境:在公司实际运行的网络环境下,对已经实 施的30台网络交换机、20台服务器进行测试,看动态认 证是否成功;对未实施的交换机、服务器进行测试,看是否 因项目实施造成不良影响。 测试项目:在RSA认证服务器运行的情况下,使用 RSA令牌登录交换机、登录服务器,经测试实施后的所有交 换机、服务器登录正常,密码验证约1秒钟左右;手工将 RSA认证服务器关机,模拟服务器宕机情况,令牌上的动态 口令已无法使用,采用原先保留的本地用户登录交换机、服 务器正常,密码验证稍有延迟,约2秒钟左右可以登录。 图3 基于RSA双因素认证的服务器登录界面 测试结论:RSA双因素身份认证系统所生成的动态密码在测试次数内登录成功率100%,测试期内 未发现有重复生成密码的情况,理论计算表明随机生成的密码要694天才会出现重复,密码强度符合信 息安全管理要求。 3认证服务器故障及应急处理 对于一般的应用场合,只要在实施过程中预留了网络设备、服务器设备的本地认证功能,即便认证 服务器出现故障,通过本地认证依然可以正常登录。 对于认证服务器的服务器数据库(server database)和日志数据库(1og database)的备份,可以设置认 证服务器定时按照所选方式将日志数据库保存到归档的文件中,系统提供有命令行方式的在线备份或 离线备份功能,可以通过计划任务,实现每日定时的自动备份,减轻管理员的负担,若认证服务器硬件故 障或者数据库出现问题,可以根据不同情况按照以下步骤处理: (1)替换备份认证服务器数据库。在主认证服务器上重新创建备份服务器包,重新启动备份认证 服务器的服务进程,系统提供的DBPush灾难恢复机制会将新的数据库发布到备份认证服务器。 (2)替换备份认证服务器硬件。重做操作系统,并使用原先的机器名、IP地址,再按照步骤1替换 数据库来完成恢复。 (3)替换主认证服务器数据库。从备份认证服务器中选出最新更新的一台服务器,导出数据库再 导人到主认证服务器,更新备份服务器包即可。 ・147・ 安徽电气工程职业技术学院学报 第十六卷增刊 (4)替换主认证服务器硬件。选择一台备份认证服务器提升到主认证服务器,将备份认证服务器 的机器名和IP地址改成故障主认证服务器的机器名和IP地址,然后为每个备份认证服务器重新创建 备份服务器包即可。 当然,若仅部署了一台主认证服务器,并且该服务器出现损坏的情况下,可以考虑重做服务器操作 系统,安装好必要的RSA Server程序,将之前备份的server database、log database拷贝过来,覆盖相应的 目录后即可恢复认证服务了。 4应用成效分析 2010年底,蚌埠供电公司成功实施了RSA双因素身份认证系统,对全部3O台局域网交换机与2O 台服务器采用RSA动态密码身份认证,较传统账号管理具有如下优势: (1)RSA双因素身份认证系统的实施增强了服务器和网络设备的安全登陆管控能力,缩减了人工 管理账号密码的工作量,降低了口令泄密的几率; (2)对交换机同时启用AAA认证,配合radiu server,使用户在登录交换机时统一采用动态加密技 术,进一步提高了网络设备管理的安全性; (3)服务器采用RSA令牌对绑定用户进行管理,并预留本地用户组进行管理,即便在RSA服务器 故障情况下,仍然可以用传统方法登陆; (4)RSA双因素身份认证具有高可靠性、高安全性,RSA加密算法安全稳定可靠,采用高强度非对 称加密系统,密钥长度512至2048位,目前尚未有破解超过1024位以上的RSA加密记录; (5)该认证系统操作简便,RSA身份认证系统操作简单明了,便于网络主机运行管理员掌握。 S结语 RSA双因素身份认证系统在蚌埠供电公司的应用,增强了服务器和网络设备的安全登陆管控水 平,较好地解决了管理规范与工作便捷之间的矛盾,缩减了人工管理账号密码的工作量,降低了口令泄 密的几率,具有良好的经济社会效益,适用于网络主机设备众多且对信息安全管理有严格要求的企业。 参考文献: [1][美]科尔.网络信息安全宝典(2版)[M].曹继军,林龙信,译.北京:清华大学出版社,2010:90-92. [2]吴长锋.RSA 6.1管理员手册[EB/OL].http://Hexic.CN,2009—04-10. [3][美]Egan,M.,Mather,T.没有任何漏洞——信息安全实施指南[M].李彦智,译.北京:电子工业出 版社.2006:27-29. ・148・
