摘要

  通过实施DKEY动态密码认证方案,实现企业交换机、路由器、服务器等集中认证和审计,大大节约网络设备管理成本,方便获取网络设备整体登录状态,同时配合动态密码认证,大大提升网络设备访问安全,减小密码管理成本。

问题描述

     交换机、路由器、防火墙、服务器构筑企业的IT基础设施,网络管理员通过为每台设备设置独立的账号、密码以实现远程管理,随着设备数量的不断增加,传统管理方法的弊端表现如下:

       (1)无法实现对网络设备的集中认证及审计;
       (2)密码管理成本越来越高;
       (3)由于弱口令而导致企业内网被***的风险日趋增高;
 
方案概述
       通过在企业内网部署DKEY动态密码认证服务器软件,其内置Radius Server,通过配置网路设备的Radius认证,实现对网络设备、服务器集中认证及审计,为网络管理员人员分配相应的一次性密码生成设备,与网络设备访问账号进行绑定,实现账户和动态密码的双重认证,因而能够有效的保证账户信息的安全性;由于DKEY支持多个账号绑定同一枚令牌,切合企业少数IT管理人员管理大量网络设备的实际需求。
       是便捷性与安全性并重的网络设备安全管理方案,越来越多的企业实施DKEY方案实现对企业网络设备及服务器的管理。
 
拓扑结构  
 整体架构组成部分:
1. DKEY TMS:内置Radius Server,用来接收交换机、路由器、防火墙、Linux/Unix服务器传递过来的域帐号、密码及动态密码,实现对设备的集中认证及审计。
2. 配置交换机、路由器、防火墙、Linux服务器的Radius认证,即IP、PORT、共享密钥信息,使其与DEKY TMS互操作;
3. 建议DKEY TMS配置双机互备,在网络设备中选择主、备认证服务器;
4. 支持硬件令牌、手机令牌两种认证方式。
  
认证流程
以H3C的SSH为例,说明登录流程; 
第一步:USERNAME输入用户名
第二步:PASSWORD输入静态密码+令牌上显示登录密码组合,提交认证,并返回认证结果;
 
方案价值
(1)实现对网络设备的集中认证及审计
(2)提升网络设备远程管理安全
(3)扩展支持企业其他业务系统如***、邮件、门户等企业业务系统接入动态密码认证
(4)支持多账号统一绑定一令牌,管理人员实现一枚令牌对多网络设备的管理