2016 年（第五届）电力安全与信息技术研讨会 382 利用 RSA 双因素身份认证技术实现安全防护 黄山供电公司， 叶水勇、汪淑芬、汪路、陈晏 摘 要：随着信息化的不断发展，黄山供电公司的网络设备数量也急剧增长。但所有网络设备、安全设备登陆均采 用静态口令验证的方式，存在着一定的安全隐患。公司利用 RSA 双因素身份认证技术，建立一套安全、稳定可靠并易于 使用和管理的安全口令防护系统，最大限度减小因为弱口令所带来的安全隐患问题，从而提升公司信息安全管理水平， 确保公司网络及各应用系统能够安全稳定运行，为公司各类业务的正常开展提供有效保证。 关键词：双因素令牌；认证代理软件；认证服务器 引言 电力行业作为国家重要的能源基础性行业，肩 负着十分重要的政治责任、经济责任和社会责任 [1]。随着公司信息化的不断发展，黄山供电公司及 下属五个县公司的网络规模也随之得到快速发展， 网络已经覆盖公司系统所有办公大楼、二级单位、 营业网点及变电站，并已利用千兆光纤环网链路实 现内、外网完全隔离独立运行；同时已开发、建设 完成各类应用系统并投入运行，为公司各类生产、 经营业务提供服务。伴随着信息化的快速发展，很 多安全隐患也在整个网络中产生了，例如非授权访 问，有意避开系统访问控制机制，对网络设备及资 源进行非正常使用或者擅自扩大权限等[2]。其中身 份验证便是最重要的一个，一旦网络设备或服务器 操作系统的密码被盗，就意味着设备的物理安全都 无法保障，一切安全措施都将成为泡影。 1 公司网络与服务器设备运维安全概况及存在问题 从网络层次体系上，可以将网络安全分成物理安 全、逻辑安全、操作系统安全和联网 4 个层次。其中 物理安全是所有防护基础[3]。公司目前所有网络、 安全设备以及服务器均采用静态口令验证的方式，现 有的身份验证方式存在以下几点安全隐患：第一许多 设备登陆密码都是相同的，这样虽然便于管理，但是 一旦有密码泄露，所有设备的管理安全都将被攻破。 第二现有的身份验证系统没有给每一管理人员建立 一个登陆账号，这样会经常发生多人使用一个账号登 陆的情况，一旦设备配置出现问题所有的操作都将无 据可查。第三由于每个设备都在自有的系统上记录各 自单独的用户名和密码，这样不管是增加、删除或更 改用户账号的密码，都需要在每一个设备上单独进行 操作，增加了管理员的工作量且容易造成误操作，大 大增加了管理的复杂度。 第四现有设备均为静态口 令验证，容易遗忘和被破解，定期更改密码也给网络 管理人员造成极大的工作负担。 2 RSA双因素身份认证技术选择 目前常用的认证方式是用户名密码认证，为了 安全需要就需要频繁的更换密码，这就给用户运维 增加了很多负担。为了获得最大的安全性，使用一 次性口令。一次性口令系统中，用户的口令是按某 种规律时刻变化的， RSA 是采用双重认证的方式来识 别合法用户。非法用户获得静态口令，但是没有动 态一次性口令的情况下起不到任何作用。同样，获 得动态一次性口令，没有静态口令的情况下也没什 么用处。并且一次性有时间限制，很难获得。 2.1 RSA SecurID双因素认证系统组成 RSA SeucrID 由认证设备以及认证应用编程接口 （API） 、 代理软件 RSA AM/Agent、 认证服务器 RSA AM 组成(如图 1 所示)。