基于OTP技術的堡壘機在不良資產網絡營銷系統中的應用

陳立彬

摘? 要：在不良資產營銷不斷依賴信息技術的今天，隨著新冠疫情問題常態化的出現，對于金融資產管理公司的不良資產網絡營銷系統的業務連續性能力及安全可靠性等方面面臨新的挑戰。當系統管理人員和相關的操作人員無法快速抵達現場的情況下，在因特網中建立起一條安全可靠的網絡通道成為解決問題的關鍵。本文基于OTP技術的堡壘機在不良資產網絡營銷系統中的應用，搭建了一條安全的網絡鏈接通道，并通過相應的網絡安全管理手段提升了不良資產網絡營銷系統的安全性，最終使系統管理人員能夠通過安全可靠的遠程鏈接通道來解決問題，滿足不良資產網絡營銷系統日常的安全運行的需求，承載金融穩定器的使命。

關鍵字：堡壘機;OTP技術;不良資產;網絡營銷系統;

引言

在不良資產營銷不斷依賴信息技術的今天，隨著新冠疫情問題常態化的出現，對于金融資產管理公司的不良資產網絡營銷系統的業務連續性能力及安全可靠性等方面面臨新的挑戰。作為金融界中不良資產經營的代表公司中國長城資產管理股份有限公司，采取諸多先進的信息科技管理理念和技術來加強自身網絡安全的同時，保障不良資產經營業務開展的可持續性。隨著OTP技術的日漸成熟以及在堡壘機上的應用日益加強，基于OTP技術的堡壘機作為其中一種重要的技術手段和解決方案，能夠較好滿足中國長城資產管理股份有限公司對于不良資產網絡營銷系統在安全管理的要求。

一、關鍵技術簡介

堡壘機技術

堡壘機，也叫做運維安全審計系統。是在特定網絡條件下使用，其目的是為了保障網絡和數據不受外界的入侵和破壞，它集系統運維和安全審計管控兩大主要功能，用于網絡運行中的集中報警、及時處理及事后的審計定責。 我們又把堡壘機叫做跳板機，簡易的跳板機功能簡單，主要核心功能是 4A：身份驗證 Authentication、賬號管理 Account、授權控制Authorization和安全審計 Audit。既可以用在企業外部網絡上，也能夠在企業內部網絡上使用。

OTP技術

1.OTP技術的定義

OTP全稱叫One-time Password，也稱動態口令，是根據專門的算法每隔60秒生成一個與事件相關的、不可預測的隨機數字組合，每個口令只能使用一次，每天可以產生43200個密碼。OTP的同步機制目前主要有3種，分別為時間型、事件型、挑戰與應答型。動態口令逐漸變為多種同步類型復合的機制發展，如時間+挑戰與應答型。目前，國際上OTP有2大主流算法，分別是使用AES對稱算法的RSA SecurID ，使用HMAC算法的OATH組織的算法。如果在國內來說的話，主要采用國密的OTP密碼算法（即：國密SM1（對稱）和SM3（HASH）算法）。

2. OTP的基本認證原理與實現

2.1 OTP原理

OTP 基本原理通過下面的計算公式來表示：

OTP（K，C） = Truncate（ HMAC-SHA-1（K，C） ）

根據公式可以獲知，K 表示秘鑰串;C是一個數字，表示隨機數; HMAC-SHA-1表示使用 SHA-1方式來加密;Truncate 是一個函數，實現加密串中取出所需要的字段組成一個新的數字的功能。

2.2 OTP的基本認證原理

OTP的基本認證原理是通過認證Client端和Server端的共享密鑰，通過使用同一個一次性特定密鑰對某一個時間值、或異步挑戰數、或者是事件計數進行加密計算，常用的有對稱算法、HASH、HMAC等算法，然后再通過比對加密后的計算值與之前的是否相同來實現認證。可以做到OTP在使用后立即作廢，一般情況下由6-8個數字組成一個OTP，提高了使用的便捷性，具有良好的系統集成性，因此OTP技術可以應用于Web、APP、移動終端等渠道使用。

2.3 OTP實現

按照前文所述，根據OTP基本原理，目前可以采用多種編程語言來實現OTP技術，現以JAVA為例，實現OTP的代碼如下：

運行后的結果如下：

3. OTP與常用認證技術比較

當前網絡信息系統中常用的認證技術主要為六種。一是USBKey認證技術，主要是通過申請PKI證書來實現認證。二是動態口令卡認證技術，主要是通過印刷好的密碼刮刮卡來實現認證。三是動態短信認證技術，主要通過使用短信發口令來實現認證。四是IC卡/SIM卡認證技術，主要通過使用IC卡/SIM卡芯片內已存的關鍵信息與用戶身份相關的信息來實現認證。五是生物特征認證技術，采用獨一無二的生物特征來驗證身份，例如視網虹膜、面容或者是指紋等。六是OTP認證技術，主要通過一次性動態口令生成器和認證系統來實現認證。

上述六種不同的認證技術特征各有不同，現將其比較情況羅列如下：

通過上表的比較后發覺OTP認證技術在某些時候具有一定的優勢。

二、長城資產不良資產網絡營銷系統現狀

中國長城資產管理股份有限公司（以下稱“長城資產”）誕生于2016年12月11日，注冊資本512.3億元，由國家財政部、全國社?；鸷椭袊藟酃餐l起設立。作為五家國有金融資產管理公司之一，主要任務是收購、管理和處置國有銀行剝離的不良資產。自公司創辦以來，先后經營和處置了農行、工行和其他商業銀行等金融機構及非金融機構不良資產2萬多億元。

長城資產以經營不良資產為主業，在不良資產網絡營銷系統方面一直是采取與眾多互聯網平臺公司合作的形式，將自身需要營銷的不良資產掛在合作伙伴的營銷平臺上進行營銷，在自主研發上不占有優勢。隨著新冠疫情的常態化的問題出現，傳統許多線下的營銷的工作受到場所的限制而無法正常開展，合作伙伴網站信息更新的及時性上也受到了不小的挑戰。在此情況下，長城資產于2021年4 月15日正式上線了自主開發的不良資產網絡營銷系統--點金網，在線上自主營銷方面，加強了新的力量。該系統直接可以通過公司內部網絡可以訪問后臺操作，部分數據由內網核心業務系統直接推送，大大提高了工作效率的同時，也為長城資產增強自身核心競爭力助力。4833962D-5474-40CE-AEBC-4EC1F380DA3C

三、基于OTP技術的堡壘機技術的不良資產網絡營銷系統設計

（一）內部網絡介紹

長城資產內網系統為網絡安全等級保護三級系統，由長城資產總部統一規劃，32家分公司和9家控股子公司負責建設、運維和管理。該網絡由總部網絡、32家分公司內部網絡和控股子公司網絡構成，與外部因特網完全物理隔離，對外是通過專門的網絡與互聯網相連，同時參與專線連接監管部門的相關系統。

（二）設計思路

本文研究了現有的OTP技術和OTP認證技術的現狀，認真分析了長城資產公司建立不良資產網絡營銷系統的現有網絡情況，結合國家公安部和金融監管機構對于金融業務信息的系統的實時性、安全性和可靠性的相關要求。本系統的設計重點放在實時性和安全性上，設計出來的基于OTP技術和堡壘機技術的不良資產網絡營銷系統的特點如下：

1.在認證階段，為防止通訊時Server端和Client端時間同步，通過運用挑戰/應答機制認證，有效抑制密碼易受到攻擊、截獲等問題。

2.在Server端發送給Client端的信息中添加了OTP信息，使得Client能夠根據OTP技術來辨別Server的真偽，防止偽Server對Client端進行攻擊，實現了Server端和Client端的OTP雙向認證。

3.用戶登錄系統時，外網用戶先通過OTP技術認證的VPN設備進入DMZ區后，再訪問采用OTP技術的堡壘機登錄不良資產網絡營銷系統后臺，有效的隱藏了不良資產網絡營銷系統后臺真實的登錄地址，加強了系統的訪問安全。

（三）基于OTP認證中基于挑戰/應答認證協議的系統設計

1.認證過程

長城資產公司的不良資產網絡營銷系統基于于安全性的考慮，能通過OTP技術登錄的用戶，僅僅是一類特殊身份的用戶（例如系統管理人員、以授權的用戶），該類用戶只能在登錄應用系統后才能進行后續操作，故該類用戶在登錄時必須通過基于OTP技術的安全通道，與認證Server中的信息進行有效的比對后，方能登錄。其中最為主要是用戶uid唯一性、合法性的確定。

當特定用戶在登陸長城資產公司的不良資產網絡營銷系統，需要進行后續相應的操作和服務時，首先就需要通過該系統的Client端和Server間進行挑戰/應答認證過程，該認證過程如下圖所示：

第一步：終端使用人員進入長城資產公司的不良資產網絡營銷系統Client端登陸界面，在登錄界面先輸入賬號和密碼，Client端通過DES算法對輸入的賬號和密碼信息進行及時加密，并將加密后的加密信息發送至Server，完成了終端使用人員登陸請求。

第二步：認證Server得到加密后用戶登陸的信息，然后按照相對應的DES解密算法對加密后用戶登陸的信息進行解密，如果解密出來的賬號信息在認證Server內是已存在的，則通過查詢以存在的賬號的隨機數Ri，根據Server內已存的賬號和該賬號對應的隨機數Ri按照N=OTP（賬號Uid，Ri）來算出N的值，并將N傳送給Client端的使用者;如遇到登陸輸入的賬號和密碼信息是錯誤的或者不存在，Server端就直接返回信息給Client端，并跳出“該用戶為非合法用戶?！钡奶崾?。

第三步：如果登陸Client端使用的賬號和密碼是有效的，也通過了Server認證機制，并得到計算出來的N值。登陸Client端就需要對返回的N值進行驗證，防止偽Server向Client端發起的攻擊。若比較N出來的值是有效的，則繼續執行，否則Client端將再次實現與Server進行賬號驗證。

第四步：

（1）通過OTP函數計算M值，按照公式M=OTP（Uid，pw⊙Ri）來計算;

（2）Client端利用隨機數生成的內置程序，自動生成會話密鑰K，同時也自動生成一個隨機數Ri+1，通過新生成的Ri+1、K按照M=OTP（uid，pw⊙Ri+1）計算出新的會話校驗符M。

第五步：當Server接收到來自Client端的A、B、C、D數據的值時，認證Server根據存儲在自身的校驗符M值，對Client端發來的身份口令進行進一步驗證，詳情如下：

（1）認證Server將M、Uid與連接相關聯，是在建立通信連接時，送認證成功的請求;反之，立即向Client端發送認證失敗請求，斷開相應連接。若成功認證后，就需要在Server端保存本次的校驗符M和隨機數的值，為了能夠有效的進行后續請求做準備。

（四）系統的設備組成

為了有效降低通過使用OTP技術的VPN對長城公司內網安全的影響，使用OTP技術的堡壘機和使用OTP技術的VPN設備釆用分層部署的方式（如部署示意圖 所示）。遠端個人Client端通過使用OTP技術的VPN設備建立起訪問堡壘機的安全通道，系統管理人員通過HTTP方式登錄使用OTP技術的堡壘機，并通過使用OTP技術的堡壘機跳轉到指定Server進行管理操作，以上通信過程均經過堡壘機，從而達到隱藏內部網絡結構的目的。

（五）安全管理

在外部網絡通過使用OTP技術的VPN登錄內網中的堡壘機后訪問不良資產網絡營銷系統的后臺，實事上在一定程度上損壞了內網的封閉性，為了降低由此帶來的網絡安全風險，還需要完善相關的網絡安全管理。

1.由于使用OTP技術的VPN設備本身存在BUG、漏洞等網絡安全隱患，因此要嚴格執行定期漏洞掃描機制使之常態化，及時發現使用OTP技術的VPN設備的系統漏洞并進行實時在線補丁升級，從而使具有OTP技術的VPN設備自身的網絡安全風險降到最低。

2.要強化遠程Client端設備的網絡安全管理。個人使用的遠程Client端設備是網絡安全防護體系中最薄弱的一環，同時也是暴露面最大的一環。在實際網絡攻擊中，個人使用的遠程Client端設備經常被黑客利用，成為黑客攻入內部網絡的跳板。所以，遠程連接個人使用的遠程Client端設備要嚴格管理，按照專機專人專用的原理，減少非必要的互聯網訪問及應用程序安裝。此外，遠程連接個人使用的遠程Client端設備還須安裝公司指定的防殺病毒軟件，及時更新系統補丁和升級防毒軟件的版本，對個人使用的遠程Client端設備進行定期查殺，保證個人使用的遠程Client端設備的安全性和可靠性。

3.要加強不良資產網絡營銷系統管理人員操作的事后審計管理。針對使用OTP技術的VPNClient端設備通過互聯網登錄不良資產網絡營銷系統后臺Server、堡壘機及網絡智能防火墻等設備的日志進行審計分析，重點對網絡連接日志、登錄日志及操作曰志進行分析，及時發現違規或異常操作，快速化解風險。

四、結論

總而言之，基于OTP技術的堡壘機支持對不良資產網絡營銷系統相關人員操作過程的全流程跟蹤、控制、記錄;支持精細化的對不良資產網絡營銷系統安全管理訪問相關用戶的權限，支持阻斷來自內部的高危、違規操作，從而有效的規避了不良資產網絡營銷系統在運行過程中被“內鬼”攻破的安全風險。然而，網絡安全不是一蹴而就的事情，想要保障不良資產網絡營銷系統服務不中斷，實現高可靠性、安全性，不單單靠采用基于OTP技術的堡壘機，最重要的還是規章制度和安全設備相互補充，才能不斷完善不良資產網絡營銷系統的安全防護，滿足不良資產網絡營銷系統日常的安全運行的需求。

參考文獻

[1] 徐益強，郭小崗.基于vpn的堡壘機研究[J].中國科技信息，2016.

[2] 李杰.網絡安全中計算機信息管理技術的應用[J].網絡安全技術與應用，2018（05）：7.

[3] 趙瑞霞，王會平.構建堡壘主機抵御網絡攻擊[J].網絡安全技術與應用，2O10，08.

[4] 龐博.基于內控堡壘主機的運維審計實踐[J].科技資訊，2015（15）.

[5] 成劍.基于改進型OTP方案的安全身份認證系統的設計[D].電子科技大學，2012.

[6] 馬仲康.供給側結構性改革背景下金融資產管理公司的經營策略[D].華中師范大學，2017.

[7] 黃瑞濤 陳勁松. 堡壘機在醫院信息系統的運用[J]. 通訊世界， 2015.4833962D-5474-40CE-AEBC-4EC1F380DA3C