基于多因素認證的電力安全認證方案設計

孫強強, 連耿雄

(深圳供電局有限公司， 深圳 518000)

0 引言

隨著電力移動應用的增多，保障電網內部移動業務訪問的安全性，是當前思考的重點。而移動業務訪問中，終端是安全隱患的主要來源，也是最大的一個來源。并且移動終端安全隱患存在多渠道、多類型和不確定性的特點，給當前的移動終端安全接入帶來困擾[1-3]。因此，研究基于移動環境的安全接入方案也是迫切需求的。本文在安全接入平臺基礎上，提出一種多因素的安全認證方案，并對其進行詳細設計和試驗驗證，以探討該方案在電網移動業務訪問安全寶藏的可行性。

1 安全接入平臺整體網絡拓撲結構

本文所設計的電力安全認證系統主要目的在于移動終端用戶在訪問電力移動應用的過程中的安全接入。移動終端主要借助安全網關中設立的站點來實現移動終端對內網交換機的訪問，以此達到訪問內網業務系統服務器的目的。移動終端在訪問安全網關時，將根據所在組對安全網關類型進行分配，僅能對其所在組分配網關進行分配，無法對其他網關進行訪問。同時系統將根據終端用戶身份，對用戶身份進行識別認證，以此確保終端用戶安全可信。具體安全接入網絡架構如圖1所示。

圖1 電力安全接入平臺整體網絡拓撲結構

如圖1所示，安全接入平臺的整體架構主要分為4個區域，分別為移動終端區、安全接入平臺外網區、安全接入平臺內網區以及國內網區。其中，身份認證服務器主要位于安全接入平臺內網區域中，通常是在電力公司機房內對其進行部署，以此確保身份認證服務器物理環境的安全性。安全接入平臺的移動終端用戶為經過身份認證之后的系統用戶，只有移動終端用戶才能登錄至安全接入平臺中，對安全接入平臺內網進行訪問，并且具備對更深層次業務訪問的權利。

2 身份認證模型構建

2.1 身份認證架構設計

身份認證的目的，是識別終端用戶的身份，以保障終端用戶在對內網的移動應用進行訪問的安全性。因此，根據以上需求，本文 采用身份認證的方式對終端用戶進行識別[4]。同時為保證安全，引入TPM認證體系對身份進行認證[5-7]。具體架構如圖2所示。

圖2 終端用戶身份認證整體架構

2.2 服務器功能模塊設計

根據圖2的架構，本文將系統服務器功能設計為：用戶認證管理模塊、終端安全管理模塊、系統日志模塊以及系統設置模塊。具體系統功能模塊設計如圖3所示。

圖3 系統功能模塊設計

如圖3所示，電力安全認證系統各大功能模塊之下又由多個小部分功能構成，以下將對系統各功能模塊進行詳細分析。

(1) 用戶認證管理模塊

用戶認證管理模塊由用戶分組以及用戶管理兩大功能構成，該功能模塊主要作用于對終端用戶進行管理。由于電力安全認證系統中具備多種終端類型，因此需要用戶認證管理模塊的用戶分組功能對不同屬性的終端進行分化。由此，用戶分組功能主要起到劃分終端、展示分組及顯示所選用戶信息的作用。除此以外，用戶分組功能還具備添加、修改及刪除用戶分組的權利；用戶管理功能主要是對系統所用用戶信息、遍歷用戶列表進行刪除與修改。

(2) 終端安全管理

終端安全管理模塊主要由安全策略管理、安全策略分配以及終端用戶注冊三大功能構成。其中，安全策略管理功能主要起到制定、查看、修改及刪除安全策略的作用；安全策略分配功能主要起到規劃用戶分組以及劃分安全策略的作用；終端用戶注冊功能主要負責系統終端用戶注冊登記工作，將用戶注冊信息登記并錄入至系統后臺數據庫中，便于系統后續對用戶身份的驗證。

(3) 系統日志

系統日志功能模塊主要由系統日志查詢功能構成，該功能模塊主要起到記錄終端用戶訪問信息的作用。在電力安全認證系統中，日志信息主要包括用戶名、操作時間、驗證信息等。

(4) 系統設置

系統設置功能模塊主要由設備狀態、網絡配置以及管理員設置三大功能構成。其中，設備狀態功能主要是對電力安全認證系統設備狀態信息進行顯示與設備的啟動及工作刷新；網絡配置功能主要起到電力安全認證系統網絡配置的作用，具體包括IP配置以及子網掩碼設置；管理員設置功能主要起到幫助系統管理人員進行日常運維的作用。具體包括添加、編輯、刪除以及鎖定等工作。在電力安全認證系統中，Admin管理員為系統最初設置管理員，該管理員并不具備修改、刪除及鎖定等操作權限。

2.3 數據庫設計

電力安全認證系統數據庫部分主要由7張不同的數據表構成，這7張數據表在系統數據庫中擔負著不同的工作職責。其中，Manager數據表主要作用于對系統管理員數據進行記錄；User數據表以及UserGroup數據表主要作用于對終端用戶數據進行記錄；Tactic數據表用于存儲安全策略數據；TacticUserGroup數據表主要用于記錄用戶組選擇安全策略；Adaptor數據表以及系統日志Log表主要用于配置服務器網絡[8-13]。

3 可信終端檢測

3.1 可信終端確定方案

在任何一個系統中，終端作為系統數據的源頭，與系統安全性之間有著緊密的聯系。目前，大部分安全威脅皆由終端安全隱患造成。由此，想要確保電力安全認證系統的安全性，還需對系統可信終端進行確定。本文主要采用以下幾種保障機制。

(1) 終端完整性評估

常見的移動終端安全隱患主要包括SIM卡盜取仿冒、終端非法使用以及移動操作系統非法程序連接等[14-16]。針對這些移動終端安全隱患，本文將采用基于多種硬件標識、操作系統版本、進程狀態信息的方式，來對電力安全認證系統移動終端進行仲裁。以此方式確保電力安全認證系統的移動終端能夠在內網中進行接入。具體實現方式為：在電力安全認證系統接入服務器中對移動終端硬件信息、操作系統信息等信息進行注冊，使終端信息能夠存儲至系統數據庫中并進行綁定。如此一來，通過對比數據庫中存儲的值與計算出的文件特征碼，就能判斷相關文件或是進程是否收到惡意纂改，以此確保終端的可信度。

(2) 安全異常檢測與審計

安全異常檢測與審計是指對擅自改變終端配置以及破壞終端完整性等惡意行為進行檢測，以此確保電力安全認證系統的安全性。當安全異常檢測與審計模塊發現終端安全系統的完整性受到惡意破壞時，移動終端軟件將會立即與電力安全認證系統進行脫離。同時，當安全異常檢測察覺移動終端的安全威脅及異常行為時，將會把該行為記錄至系統服務器端中，然后再終止當前移動終端與系統之間的連接，并將異常檢測結果匯報給用戶。

(3) 終端資源訪問控制

終端資源訪問控制機制主要是以業務應用程序需求為前提，對移動資源訪問權限進行管理。同時，終端資源訪問控制還將對電力安全認證系統關鍵文件、進程等重要資源進行強制性保護，并且會限制系統超級用戶權限。

3.2 終端狀態檢測

安全接入平臺是基于對電力系統的安全接入而設計的。因此，不僅要加強對終端身份的認證，還需要加強對終端的檢測。而身份安全認證檢測是多因素認證和可選擇認證。

本文在安全檢測中，主要對終端用戶的MAC地址、session、用戶名、操作系統、磁盤序列號等進行檢測[17]。具體檢測實現流程如圖4所示。

圖4 終端用戶接入檢測流程

4 系統實現結果

通過上述的方案，將上述系統在安全接入平臺運行，從而得到的認證結果如圖5所示。

圖5 安全認證結果

根據以上結果看出，通過認證顯示不同用戶終端的接入結果，繼而通過這些結果，有效的對客戶進行了篩選，提高了終端用戶對電網內部局域網移動應用終端的訪問安全。

4 總結

身份認證系統的應用背景為安全接入平臺項目，安全接入平臺是負責移動終端遠程接入的工作，分為安全接入網關、移動接入網關、采集接入網關、集中監管系統、身份認證系統和數據過濾系統，身份認證系統是安全接入平臺的身份認證模塊，負責終端用戶的安全審計和身份認證。通過本文構建的基于電力局域網安全的多因素身份認證方案，對提高電網移動應用訪問安全提供了參考。