RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)在信息安全管理中的運(yùn)用

高陽(yáng) 曹進(jìn)平 肖萬(wàn)幸 胡美慧

（國(guó)網(wǎng)新疆電力有限公司信息通信公司 新疆維吾爾自治區(qū)烏魯木齊市 830000）

在網(wǎng)絡(luò)信息技術(shù)運(yùn)用中，網(wǎng)絡(luò)安全管理信息技術(shù)的整合是較為重要的，通過(guò) RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)的使用，可以保證網(wǎng)絡(luò)信息技術(shù)使用的價(jià)值，為網(wǎng)絡(luò)開(kāi)放性以及安全性的使用提供支持。但是，在信息安全技術(shù)管理中，存在著網(wǎng)絡(luò)身份認(rèn)證安全管理不合理以及網(wǎng)絡(luò)泄密等問(wèn)題，若這些問(wèn)題不能及時(shí)解決，會(huì)影響網(wǎng)絡(luò)安全管理的整體效果。將 RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)運(yùn)用在信息安全管理系統(tǒng)中，可以通過(guò)身份認(rèn)證、訪問(wèn)控制以及數(shù)據(jù)保密性等技術(shù)的綜合運(yùn)用，對(duì)網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行精細(xì)化的管理，充分保證網(wǎng)絡(luò)系統(tǒng)使用的安全性。在電力企業(yè)運(yùn)行中，由于信息化技術(shù)的發(fā)展，企業(yè)管理者應(yīng)該認(rèn)識(shí)到網(wǎng)絡(luò)安全信息保護(hù)的重要性，研究中，結(jié)合電力業(yè)務(wù)的相關(guān)內(nèi)容，通過(guò)身份識(shí)別以及賬號(hào)風(fēng)險(xiǎn)等系統(tǒng)的構(gòu)建，降低系統(tǒng)安全隱患的出現(xiàn)，以期達(dá)到電力系統(tǒng)風(fēng)險(xiǎn)控制的目的，為電力系統(tǒng)網(wǎng)絡(luò)信息安全的運(yùn)用提供參考。

1 概念分析

1.1 RSA

RSA算法是一種依賴(lài)大數(shù)因子分解的非對(duì)稱(chēng)密碼計(jì)算方法。計(jì)算過(guò)程如下，第一，RSA數(shù)據(jù)加密。當(dāng)系統(tǒng)接收到對(duì)方的公鑰之后，會(huì)自動(dòng)對(duì)該內(nèi)容進(jìn)行加密處理，之后通過(guò)網(wǎng)絡(luò)傳輸?shù)姆椒▽⑿畔魉徒o接收方。接收方在獲得密鑰信息之后，可以自動(dòng)解密文件，從而得到相關(guān)的數(shù)據(jù)內(nèi)容。第二，RSA數(shù)字簽名。對(duì)于信息發(fā)送者，會(huì)通過(guò)散列函數(shù)的方法將信息生成散列值，并使用私鑰對(duì)散列值進(jìn)行加密處理形成數(shù)字簽名。對(duì)于報(bào)文的接收方，需要計(jì)算出原始的散列值，之后利用發(fā)送方公鑰對(duì)報(bào)文的附加數(shù)據(jù)進(jìn)行解密處理，若發(fā)現(xiàn)兩個(gè)散列數(shù)值相同，意味著接收方可以確認(rèn)數(shù)字簽名。第三，RSA可以同時(shí)發(fā)現(xiàn)秘密通信及數(shù)字簽名。在這種技術(shù)支持下，可以保證信息數(shù)據(jù)處理的機(jī)密性、完整性。

1.2 雙因素身份動(dòng)態(tài)認(rèn)證

對(duì)于認(rèn)證而言，主要是接收方明確發(fā)送方身份并對(duì)其驗(yàn)證的過(guò)程。認(rèn)證機(jī)制一般包括：第一，用戶(hù)所知道的，如知識(shí)、密碼等；第二，用戶(hù)所擁有的，如身份證等；第三，用戶(hù)個(gè)人特征，如指紋、聲音等。雙因素動(dòng)態(tài)身份認(rèn)證系統(tǒng)會(huì)對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行動(dòng)態(tài)指令的認(rèn)證，保護(hù)網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)服務(wù)系統(tǒng)的安全運(yùn)行，系統(tǒng)運(yùn)行的過(guò)程中會(huì)及時(shí)對(duì)網(wǎng)絡(luò)異常處理，保證系統(tǒng)運(yùn)行的安全性。

2 RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)的系統(tǒng)組成

2.1 認(rèn)證令牌

對(duì)于認(rèn)證設(shè)備，主要是指雙因素認(rèn)證的令牌，該種令牌的種類(lèi)較多，用戶(hù)在證明自己身份之后所獲得訪問(wèn)權(quán)。令牌中的隨機(jī)用戶(hù)“種子值”每60s會(huì)變更一次，充分滿(mǎn)足用戶(hù)數(shù)據(jù)的保護(hù)需求。例如，在RSA 700型令牌運(yùn)行中，該令牌中設(shè)置了電池以及芯片，芯片固化RSA算法，將這種算法與時(shí)間融合，可以實(shí)現(xiàn)各個(gè)種子文件的穩(wěn)步運(yùn)行，而且，系統(tǒng)也會(huì)在特定的時(shí)間內(nèi)容同步計(jì)算，以60s為一個(gè)周期，形成動(dòng)態(tài)令牌碼。對(duì)于不同的動(dòng)態(tài)令牌碼而言，可以充分滿(mǎn)足不同信息發(fā)布者的需求，之后設(shè)定個(gè)人識(shí)別碼（PIN），最終得到雙因素口令。在認(rèn)證令牌系統(tǒng)中，認(rèn)證的主要目的是掌握請(qǐng)求網(wǎng)絡(luò)服務(wù)的身份信息，認(rèn)證服務(wù)器在接收到相關(guān)的代理請(qǐng)求之后，只需要輸入認(rèn)證令牌的指令，在與用戶(hù)信息一致之后，系統(tǒng)會(huì)判斷用戶(hù)是否合法[1]。

2.2 代理軟件

通過(guò)代理認(rèn)證軟件使用狀況的分析，將其運(yùn)用在認(rèn)證服務(wù)系統(tǒng)之上，可以通過(guò)系統(tǒng)軟件的集中管理以及認(rèn)證引擎的結(jié)合，形成系列針對(duì)性的認(rèn)證程序，提高用戶(hù)及認(rèn)證設(shè)備使用的有效性。而且，在認(rèn)證服務(wù)器中，如用戶(hù)輸入了正確的指令，就可以讓用戶(hù)在有效的資源下進(jìn)行訪問(wèn)，保證網(wǎng)絡(luò)信息技術(shù)使用的穩(wěn)定性及安全性。而且，該軟件對(duì)終端用戶(hù)以及需要保護(hù)的網(wǎng)絡(luò)資源具有一定的作用。例如，若用戶(hù)需要訪問(wèn)某一系統(tǒng)，代理軟件會(huì)向管理器發(fā)送請(qǐng)求，在得到認(rèn)證之后自動(dòng)放行。

2.3 管理服務(wù)器

管理服務(wù)器一般需要將優(yōu)質(zhì)認(rèn)證引擎以及集中管理方案進(jìn)行結(jié)合，用戶(hù)在輸入正確指令之后可以自動(dòng)訪問(wèn)，若輸入指令錯(cuò)誤，三次之后原始密碼失去保護(hù)價(jià)值。

3 RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)的實(shí)施

3.1 網(wǎng)絡(luò)設(shè)備認(rèn)證

在電力系統(tǒng)的網(wǎng)絡(luò)安全管理中，通過(guò)網(wǎng)絡(luò)設(shè)備認(rèn)證系統(tǒng)的設(shè)計(jì)，可以保證網(wǎng)絡(luò)信息管理的穩(wěn)步進(jìn)行。一般情況下，在網(wǎng)絡(luò)設(shè)備認(rèn)證系統(tǒng)設(shè)計(jì)中應(yīng)該做到：第一，打開(kāi)服務(wù)器終端，將認(rèn)證交換機(jī)的IP地質(zhì)以及hostname添加之后進(jìn)行保存。第二，在RSA程序中打開(kāi)RSA Authentiaction Manager Control Panel，并在菜單欄中找到name所對(duì)應(yīng)的設(shè)備名稱(chēng)，確認(rèn)對(duì)話(huà)所出現(xiàn)的內(nèi)容，之后進(jìn)行服務(wù)器認(rèn)證。第三，將設(shè)備添加到用戶(hù)組之中，選擇SWITCH組中所對(duì)應(yīng)的內(nèi)容，最終確定對(duì)話(huà)框中的用戶(hù)賬號(hào)，對(duì)認(rèn)證管理的交換機(jī)進(jìn)行處理[2]。

3.2 添加服務(wù)器認(rèn)證

添加服務(wù)器認(rèn)證中應(yīng)該做到：第一，服務(wù)器操作端。首先，系統(tǒng)需要打開(kāi)服務(wù)器終端，對(duì)需要認(rèn)證的交換機(jī)IP地址以及hostname保存；其次，按照RSA程序?qū)Σ藛蝺?nèi)容以及程序內(nèi)容進(jìn)行對(duì)比，并在Windows操作系統(tǒng)中選擇Net OS Aget項(xiàng)目，對(duì)話(huà)框會(huì)自動(dòng)彈出認(rèn)證服務(wù)器。最后，在添加設(shè)備的群組里，應(yīng)該結(jié)合認(rèn)證項(xiàng)目選擇適合的群組，將需要認(rèn)證的服務(wù)項(xiàng)目添加在管理系統(tǒng)之中。第二，Agent端操作。對(duì)于該系統(tǒng)而言，為了提高添加服務(wù)器認(rèn)證的整體效果，應(yīng)該做到：首先，操作人員應(yīng)該結(jié)合電力信息管理系統(tǒng)的操作特點(diǎn)添加賬號(hào)，在PC管理系統(tǒng)中建立登錄賬號(hào)，并將所添加的賬號(hào)放置在相關(guān)系群組之后創(chuàng)建RSA組。其次，系統(tǒng)會(huì)在服務(wù)器上拷貝相關(guān)文件并發(fā)送到Agent終端，為之后的系統(tǒng)操作提供支持。最后，根據(jù)系統(tǒng)安全管理狀況安裝Agent代理系統(tǒng)[3]。

3.3 添加及刪除用戶(hù)

一般情況下，在添加或是刪除用戶(hù)系統(tǒng)的項(xiàng)目設(shè)計(jì)中，應(yīng)該做到以下內(nèi)容：首先，在RSA系統(tǒng)中打開(kāi)程序，系統(tǒng)會(huì)自動(dòng)彈出對(duì)話(huà)框，之后打開(kāi)Assign Token選項(xiàng)，之后選擇Set程序。其次，測(cè)試賬號(hào)，在添加及刪除用戶(hù)程序結(jié)束之后，應(yīng)該對(duì)添加的內(nèi)容進(jìn)行測(cè)試；最后，賬號(hào)禁用設(shè)置。當(dāng)系統(tǒng)連續(xù)輸入三次密碼失敗之后，設(shè)備無(wú)法正常登陸，相關(guān)操作人員應(yīng)該在服務(wù)器終端重新進(jìn)行驗(yàn)證，以保證用戶(hù)在之后操作中的正常登陸。

3.4 應(yīng)急處理

通過(guò)對(duì)電力企業(yè)網(wǎng)絡(luò)安全管理技術(shù)的分析，認(rèn)證服務(wù)器的故障以及應(yīng)急處理系統(tǒng)的設(shè)計(jì)是較為重要的，在一般的應(yīng)用場(chǎng)合中，通過(guò)預(yù)留網(wǎng)絡(luò)設(shè)備以及服務(wù)器設(shè)備的使用，可以及時(shí)發(fā)現(xiàn)認(rèn)證系統(tǒng)中的故障，保持網(wǎng)絡(luò)本地網(wǎng)絡(luò)系統(tǒng)的正常操作及穩(wěn)步運(yùn)行。對(duì)于電力信息網(wǎng)絡(luò)安全系統(tǒng)，通過(guò)認(rèn)證服務(wù)器數(shù)據(jù)庫(kù)以及日志數(shù)據(jù)庫(kù)的設(shè)計(jì)，可以對(duì)系統(tǒng)進(jìn)行備份處理，并按照系統(tǒng)提供的指令以及在線備份的方法進(jìn)行離線處理，保證電力系統(tǒng)運(yùn)行的穩(wěn)定性。但是應(yīng)該注意的是，在認(rèn)證服務(wù)器以及應(yīng)急處理系統(tǒng)中，應(yīng)該根據(jù)不同的設(shè)備情況確定處理方案：第一，在替換備份認(rèn)證的服務(wù)器數(shù)據(jù)庫(kù)中，系統(tǒng)需要在主動(dòng)認(rèn)證的狀況下進(jìn)行備份操作。第二，在替換備份認(rèn)證服務(wù)器硬件系統(tǒng)中，需要重做操作系統(tǒng)，并按照原有的設(shè)備名稱(chēng)、IP地址等回復(fù)數(shù)據(jù)庫(kù)。第三，在替換認(rèn)證服務(wù)器數(shù)據(jù)系統(tǒng)中，應(yīng)該根據(jù)備份認(rèn)證系統(tǒng)的運(yùn)行狀況選擇最優(yōu)的服務(wù)器，之后導(dǎo)出數(shù)據(jù)參數(shù)，并對(duì)備份系統(tǒng)中的服務(wù)設(shè)備進(jìn)行更換處理，以提高系統(tǒng)應(yīng)急處理的整體效果[4]。

4 RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)在信息安全管理中的運(yùn)用

4.1 工程概況

研究中根據(jù)某電力公司動(dòng)態(tài)認(rèn)證系統(tǒng)操作狀況，系統(tǒng)中的安全管理設(shè)備包括防火墻、路由器以及CIOCO交換機(jī)等。根據(jù)RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)在信息安全管理中的運(yùn)用，對(duì)系統(tǒng)的安全管理進(jìn)行分析。

4.2 技術(shù)運(yùn)用

4.2.1 RSA SecurID認(rèn)證服務(wù)器

結(jié)合電力企業(yè)信息安全管理系統(tǒng)的設(shè)計(jì)狀況，為保證硬件安裝環(huán)境的安全性，選擇了HP DL380G52服務(wù)器，服務(wù)器按照標(biāo)準(zhǔn)對(duì)認(rèn)證服務(wù)器以及從屬服務(wù)器的運(yùn)行狀況進(jìn)行處理，不同服務(wù)器之間在同步運(yùn)算中，會(huì)完成對(duì)信息的修改及處理，并對(duì)各項(xiàng)認(rèn)證參數(shù)進(jìn)行調(diào)整，保持兩個(gè)系統(tǒng)操作的一致性。在兩個(gè)服務(wù)器運(yùn)行中，其中一個(gè)發(fā)生故障，不會(huì)中斷系統(tǒng)的運(yùn)行模式，但是，應(yīng)該注意系統(tǒng)發(fā)生終端的原因，例如，在RSA認(rèn)證系統(tǒng)運(yùn)行中，當(dāng)rimary Ace系統(tǒng)出現(xiàn)故障，信息在這種情況下無(wú)法進(jìn)行修改，相關(guān)操作人員應(yīng)該考慮系統(tǒng)升級(jí)或是備份恢復(fù)，以保證RSA認(rèn)證系統(tǒng)的穩(wěn)步運(yùn)行[5]。

4.2.2 主機(jī)保護(hù)

在電力系統(tǒng)的服務(wù)器運(yùn)行中，應(yīng)該根據(jù)供電企業(yè)的運(yùn)行狀況對(duì)服務(wù)器的關(guān)鍵系統(tǒng)以及存儲(chǔ)系統(tǒng)進(jìn)行保護(hù)，以保證電力系統(tǒng)的安全、穩(wěn)定運(yùn)行。由于電力企業(yè)相關(guān)系統(tǒng)運(yùn)行的特殊性，一些服務(wù)器只需要簡(jiǎn)單的身份驗(yàn)證就可以，這種現(xiàn)象增加電力系統(tǒng)運(yùn)行的安全性。因此，在服務(wù)器主機(jī)保護(hù)系統(tǒng)設(shè)計(jì)中，應(yīng)該結(jié)合電力系統(tǒng)的運(yùn)行狀況以及數(shù)據(jù)使用需求等，對(duì)計(jì)算機(jī)的設(shè)備、設(shè)施等進(jìn)行保護(hù)，以更好的避免系統(tǒng)安全隱患以及網(wǎng)絡(luò)攻擊現(xiàn)象的發(fā)生。例如，在RSA系統(tǒng)中，不僅可以為Windows系統(tǒng)提供軟件代理，而且也可以支持IBM AIX以及SUN Solaris系統(tǒng)的正常運(yùn)行，增強(qiáng)電力系統(tǒng)運(yùn)行的安全性。而且，當(dāng)服務(wù)器主機(jī)保護(hù)系統(tǒng)安裝了RSA技術(shù)之后，RSA會(huì)按照用戶(hù)的需求對(duì)身份進(jìn)行驗(yàn)證，也就是說(shuō)，當(dāng)用戶(hù)登錄到主機(jī)系統(tǒng)之后，會(huì)現(xiàn)實(shí)正確的用戶(hù)信息及密碼，在方便用戶(hù)登錄的同時(shí)實(shí)現(xiàn)信息安全保護(hù)。若用在登錄系統(tǒng)中出現(xiàn)密碼輸入錯(cuò)誤的現(xiàn)象，系統(tǒng)會(huì)拒絕用戶(hù)的訪問(wèn)。

4.2.3 數(shù)據(jù)庫(kù)保護(hù)系統(tǒng)

電力行業(yè)在網(wǎng)絡(luò)系統(tǒng)構(gòu)建中，通過(guò)數(shù)據(jù)庫(kù)保護(hù)系統(tǒng)的設(shè)計(jì)，可以通過(guò)相關(guān)軟件的使用，為系統(tǒng)提供保護(hù)裝置。例如，在RSA技術(shù)中，若用戶(hù)想訪問(wèn)數(shù)據(jù)庫(kù)，系統(tǒng)會(huì)自動(dòng)加密，并進(jìn)行安全檢查，RSA服務(wù)器的技術(shù)會(huì)通過(guò)用戶(hù)身份認(rèn)證，確定安全選項(xiàng)以及安全令牌，保證系統(tǒng)的安全運(yùn)行[6]。

4.2.4 無(wú)線網(wǎng)絡(luò)

結(jié)合RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)，通過(guò)無(wú)線網(wǎng)絡(luò)技術(shù)的使用，用戶(hù)可以在這種環(huán)境下需要登錄無(wú)線網(wǎng)網(wǎng)絡(luò)，并采用雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)，在驗(yàn)證合格之后用戶(hù)可以登錄公司系統(tǒng)。

4.3 保護(hù)應(yīng)用

在RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)中，為了實(shí)現(xiàn)電力系統(tǒng)的安全運(yùn)行，電力企業(yè)可以使用Oracle程序，RSA會(huì)結(jié)合系統(tǒng)狀況，提供AM插件，將插件與Oracle程序融合，可以幫助電力企業(yè)使用令牌對(duì)用戶(hù)進(jìn)行雙因素動(dòng)態(tài)化身份認(rèn)證。電力企業(yè)相關(guān)操作者在這種環(huán)境下，只需要提供一個(gè)認(rèn)真就可以進(jìn)入應(yīng)用程序，提高程序登錄的效率，同時(shí)也避免不安全因素對(duì)系統(tǒng)造成的影響。應(yīng)該注意的是，Oracle程序是一種相對(duì)獨(dú)立的形式，用戶(hù)在該種程序中，應(yīng)該保持各項(xiàng)參數(shù)使用的一致性，若出現(xiàn)信息輸入不一致的問(wèn)題，系統(tǒng)會(huì)進(jìn)行自動(dòng)保護(hù)[7]。

5 結(jié)束語(yǔ)

總而言之，在電力企業(yè)運(yùn)行中，為增強(qiáng)網(wǎng)絡(luò)安全系統(tǒng)管理及使用的安全性，相關(guān)管理者需要認(rèn)識(shí)到RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)優(yōu)勢(shì)，結(jié)合電力系統(tǒng)網(wǎng)絡(luò)通信系統(tǒng)的運(yùn)行狀況，分析影響系統(tǒng)安全運(yùn)行的因素并根據(jù)電力企業(yè)的運(yùn)行模式，積極設(shè)計(jì)RSA雙因素身份動(dòng)態(tài)認(rèn)證技術(shù)，結(jié)合認(rèn)證令牌、代理軟件以及管理服務(wù)器的操作狀況，創(chuàng)新硬件、軟件的安全管理方案，保證電力企業(yè)信息安全管理的有效性，實(shí)現(xiàn)行業(yè)的安全、穩(wěn)步發(fā)展。