基于公鑰認(rèn)證技術(shù)提升設(shè)備遠(yuǎn)程管理安全性探究

葉水勇，汪 靜，洪海霞，溫永亮，羅志豐，郭小東，方 軍

（國(guó)網(wǎng)黃山供電公司，安徽 黃山 245000）

0 引言

某地市供電公司遵循網(wǎng)省公司信息安全的各項(xiàng)要求，根據(jù)相關(guān)規(guī)定，通過(guò)ssh2 技術(shù)、ACl 控制技術(shù)、使用特定的管理主機(jī)等方式， 嚴(yán)格控制設(shè)備的遠(yuǎn)程管理權(quán)限［1-2］。 但隨著網(wǎng)絡(luò)設(shè)備的日益增多及各項(xiàng)運(yùn)維調(diào)試工作的進(jìn)行，發(fā)現(xiàn)管理主機(jī)使用混亂，不同的運(yùn)維人員使用同一個(gè)管理主機(jī)去維護(hù)各自的系統(tǒng)，存在重大安全隱患，出現(xiàn)問(wèn)題或故障時(shí)，無(wú)法準(zhǔn)確溯源，而針對(duì)每個(gè)系統(tǒng)使用彼此獨(dú)立的專用管理主機(jī)，則存在著資源浪費(fèi)和不易管理的情況， 通常這種情況下采用堡壘機(jī)是最好的方式。 但堡壘機(jī)功能多種多樣，操作繁雜，需要專人部署維護(hù)，且獨(dú)立的硬件產(chǎn)品價(jià)格較昂貴。 所以某地市公司通過(guò)引入公鑰認(rèn)證的方式，對(duì)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理進(jìn)一步加固，常見(jiàn)的密鑰加密算法有 DES、RSA 等［3-4］，本次某地市公司使用基于RSA 的方式實(shí)現(xiàn)該項(xiàng)功能。

1 主要管理做法

1.1 技術(shù)原理

RSA 是目前最有影響力的公鑰加密算法， 它能夠抵抗到目前為止已知的絕大多數(shù)密碼攻擊，RSA與傳統(tǒng)加密方式不同的是，其非對(duì)稱加密，可以在不直接傳遞密鑰的情況下，完成解密［5-6］。 這能夠確保信息的安全性， 避免了直接傳遞密鑰所造成的被破解的風(fēng)險(xiǎn)。

某地市公司對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備根據(jù)重要性進(jìn)行設(shè)備分級(jí)，并分別建立查看賬戶和管理賬戶，為每個(gè)賬戶賦予不同的權(quán)限，在網(wǎng)絡(luò)設(shè)備端上傳公鑰，對(duì)應(yīng)的私鑰加密后保存在網(wǎng)絡(luò)管理員手中，有調(diào)試需要時(shí)，將加密后的密鑰及私鑰加密密碼提供給調(diào)試人員，調(diào)試人員通過(guò)RSA 認(rèn)證方式登錄管理主機(jī)。

1.2 設(shè)備分級(jí)

某供電公司根據(jù)設(shè)備的重要級(jí)別進(jìn)行定級(jí)，同一級(jí)別的設(shè)備使用同一密鑰對(duì)，實(shí)現(xiàn)分級(jí)管理，防止運(yùn)維操作人員越級(jí)登錄無(wú)關(guān)設(shè)備， 或采取不當(dāng)操作導(dǎo)致的網(wǎng)絡(luò)問(wèn)題。

設(shè)備分級(jí)標(biāo)準(zhǔn)： 根據(jù)設(shè)備的重要級(jí)別可將目前公司內(nèi)網(wǎng)、外網(wǎng)設(shè)備分為一級(jí)和二級(jí)兩種級(jí)別。其中一級(jí)設(shè)備為公司系統(tǒng)重要、核心的設(shè)備，如內(nèi)網(wǎng)核心設(shè)備、外網(wǎng)核心設(shè)備、廣域網(wǎng)核心設(shè)備。 二級(jí)設(shè)備為公司系統(tǒng)除核心設(shè)備之外的一般設(shè)備，如內(nèi)網(wǎng)接入設(shè)備、外網(wǎng)接入設(shè)備、廣域網(wǎng)PE 設(shè)備、廣域網(wǎng)CE 設(shè)備。

設(shè)備分級(jí)原則： 所謂一級(jí)設(shè)備就是一旦停運(yùn)就會(huì)造成公司網(wǎng)絡(luò)癱瘓，所有用戶都無(wú)法上網(wǎng)，并會(huì)產(chǎn)生信息安全考核事件。 所謂二級(jí)設(shè)備就是一旦停運(yùn)只會(huì)造成公司部分網(wǎng)絡(luò)中斷， 造成部分用戶無(wú)法上網(wǎng)，不會(huì)產(chǎn)生信息安全考核事件。

1.3 按設(shè)備級(jí)別建立管理賬戶和查看賬戶及相應(yīng)密鑰對(duì)

為保障安全性， 某公司為每臺(tái)設(shè)備分別建立管理賬戶和查看賬戶， 通過(guò)在網(wǎng)絡(luò)設(shè)備內(nèi)不同賬戶賦權(quán)等級(jí)的不同，實(shí)現(xiàn)權(quán)限區(qū)分，當(dāng)需要執(zhí)行巡檢任務(wù)時(shí)， 給操作員提供查看賬戶和相應(yīng)的RSA 私鑰，僅能查看設(shè)備信息，無(wú)法進(jìn)入配置模式，實(shí)現(xiàn)配置的增加、刪除、修改，當(dāng)需要完成設(shè)備配置調(diào)整時(shí)，給操作員提供管理賬戶和相應(yīng)的RSA 私鑰，密鑰和設(shè)備賬號(hào)由相應(yīng)負(fù)責(zé)人統(tǒng)一管理［7-8］。 設(shè)備的管理賬戶和查看賬戶表如表1 所示。

密鑰是一種參數(shù)， 它是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的參數(shù)。 密鑰分為對(duì)稱密鑰與非對(duì)稱密鑰。

密鑰對(duì)是區(qū)別于用戶名加密碼的遠(yuǎn)程登錄Linux 實(shí)例認(rèn)證方式。 SSH 密鑰對(duì)通過(guò)加密算法生成一對(duì)密鑰，默認(rèn)采用RSA 2 048 位的加密方式。

私鑰就是自己的，必須非常小心保存，最好加上密碼。私鑰是用來(lái)解密／簽章，就Key 的所有權(quán)來(lái)說(shuō)，私鑰只有個(gè)人擁有。

公鑰就是給大家用的， 你可以通過(guò)電子郵件發(fā)布， 可以通過(guò)網(wǎng)站讓別人下載。 公鑰其實(shí)是用來(lái)加密/驗(yàn)章用的。

表1 設(shè)備的管理賬戶和查看賬戶表

2 操作配置方法

以H3C 交換機(jī)為例闡述操作配置方法。

2.1 生成RSA密鑰對(duì)

通過(guò)密鑰生成工具，生成本地密鑰對(duì)，本處使用Xshell 自帶的生成工具 （putty 等其他工具同樣可實(shí)現(xiàn)相同功能）。

1）運(yùn)行Xshell 工具，并依次選擇工具-新建用戶密鑰生成向?qū)?，出現(xiàn)以下向?qū)Ы缑?，如圖1 所示。密鑰類型選擇RSA，密鑰長(zhǎng)度可根據(jù)需要選擇，長(zhǎng)度越長(zhǎng)，密鑰復(fù)雜度及安全性越高［9-10］，但相應(yīng)認(rèn)證所消耗時(shí)間和資源會(huì)增加，建議使用2 048 位，然后執(zhí)行下一步。

圖1 用戶密鑰生成向?qū)D

2）自動(dòng)生成密鑰對(duì)，待生成后，執(zhí)行下一步，如圖2 所示。

圖2 自動(dòng)生成密鑰對(duì)圖

3）根據(jù)需要輸入密鑰的名稱，如用于廣域網(wǎng)核心的管理私鑰，輸入密鑰名稱“GM1”，并可設(shè)置私鑰加密密碼，讓私鑰使用必須使用密碼，防止對(duì)應(yīng)私鑰落入惡意人員手中被濫用，然后執(zhí)行下一步［11-12］，如圖3 所示。

圖3 用戶密鑰生成圖

4） 將生成的公鑰格式調(diào)整為 “SSH2-IETF SECSH”，保存為文件“GM1”，并點(diǎn)擊完成，如圖 4所示。

5）選擇Xshell 軟件中選擇工具-用戶密鑰管理，出現(xiàn)以下界面，選擇我們生成的私鑰GM1，并導(dǎo)出，用于后期私鑰的管理和不同管理主機(jī)的認(rèn)證登錄［13-14］，如圖 5 所示。

圖4 公鑰注冊(cè)圖

圖5 私鑰注冊(cè)圖

2.2 生成RSA密鑰對(duì)

登錄H3C交換機(jī)，創(chuàng)建管理用戶“manager”，并配置SSH+公鑰+密碼認(rèn)證。

1）啟動(dòng)ssh服務(wù)器。

system-view

［Switch］public-key local create rsa

［Switch］ssh server enable

2）設(shè)置SSH 用戶登錄界面的認(rèn)證方式為AAA認(rèn)證。

［Switch］user-interface vty 0 4

［Switch-ui-vty0-4］authentication-mode scheme

［Switch-ui-vty0-4］protocol inbound ssh

［Switch-ui-vty0-4］quit

3）創(chuàng)建管理用戶“manager”，并設(shè)置權(quán)限。

［Switch］local-user manager

［Switch-luser-manager］password simple aabbcc

［Switch-luser-manager］service-type ssh level 3

［Switch-luser-manager］quit

4） 將公鑰文件 GM1.pub 通過(guò)ftp/tftp 等方式上傳到服務(wù)器端。

5）從文件GM1.pub 中導(dǎo)入公鑰，并自定義命名，本處使用gm1。

［Switch］public-key peer gm1 import sshkey GM1.pub

6） 設(shè)置SSH 用戶 manager 的認(rèn)證方式為 publickey，并指定公鑰為gm1。

［Switch］ssh user manager service-type stelnet authentication-type publickey assign publickey gm1

2.3 登錄驗(yàn)證

1）打開(kāi)Xshell 軟件，建立一個(gè)新的連接，輸入要管理設(shè)備的信息，如圖6 所示。

圖6 登錄驗(yàn)證圖

2）選擇用戶身份驗(yàn)證，方法使用“Public key”，用戶名使用“manager”，用戶密鑰處點(diǎn)擊瀏覽，選用本地保存的私鑰“GM1”，如在其他管理主機(jī)進(jìn)行遠(yuǎn)程操作，可導(dǎo)入前面步驟中導(dǎo)出的私鑰“GM1”［15］，如圖7 所示。

圖7 導(dǎo)出的私鑰圖

3）點(diǎn)擊確定，就可通過(guò)新建的連接完成對(duì)遠(yuǎn)端設(shè)備的管理。

3 結(jié)束語(yǔ)

公鑰認(rèn)證在網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理上的應(yīng)用是充分調(diào)研各供電公司現(xiàn)狀的情況下編寫(xiě)的， 各供電公司或多或少存在管理主機(jī)一機(jī)多用的現(xiàn)象， 而采用專業(yè)的堡壘機(jī)等運(yùn)維管理設(shè)備，又存在設(shè)備昂貴、操作復(fù)雜等問(wèn)題。通過(guò)此方案，可以很好地解決現(xiàn)有環(huán)境下的問(wèn)題，實(shí)施成本低，見(jiàn)效快，具有推廣價(jià)值。公司通過(guò)使用公鑰認(rèn)證的方式對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理，使得公司在設(shè)備管理安全性上更進(jìn)一步，加強(qiáng)了信息安全管控水平，確保各項(xiàng)業(yè)務(wù)可靠運(yùn)行。