基于多因素认证的电力安全认证方案设计

孙强强, 连耿雄

(深圳供电局有限公司， 深圳 518000)

0 引言

随着电力移动应用的增多，保障电网内部移动业务访问的安全性，是当前思考的重点。而移动业务访问中，终端是安全隐患的主要来源，也是最大的一个来源。并且移动终端安全隐患存在多渠道、多类型和不确定性的特点，给当前的移动终端安全接入带来困扰[1-3]。因此，研究基于移动环境的安全接入方案也是迫切需求的。本文在安全接入平台基础上，提出一种多因素的安全认证方案，并对其进行详细设计和试验验证，以探讨该方案在电网移动业务访问安全宝藏的可行性。

1 安全接入平台整体网络拓扑结构

本文所设计的电力安全认证系统主要目的在于移动终端用户在访问电力移动应用的过程中的安全接入。移动终端主要借助安全网关中设立的站点来实现移动终端对内网交换机的访问，以此达到访问内网业务系统服务器的目的。移动终端在访问安全网关时，将根据所在组对安全网关类型进行分配，仅能对其所在组分配网关进行分配，无法对其他网关进行访问。同时系统将根据终端用户身份，对用户身份进行识别认证，以此确保终端用户安全可信。具体安全接入网络架构如图1所示。

图1 电力安全接入平台整体网络拓扑结构

如图1所示，安全接入平台的整体架构主要分为4个区域，分别为移动终端区、安全接入平台外网区、安全接入平台内网区以及国内网区。其中，身份认证服务器主要位于安全接入平台内网区域中，通常是在电力公司机房内对其进行部署，以此确保身份认证服务器物理环境的安全性。安全接入平台的移动终端用户为经过身份认证之后的系统用户，只有移动终端用户才能登录至安全接入平台中，对安全接入平台内网进行访问，并且具备对更深层次业务访问的权利。

2 身份认证模型构建

2.1 身份认证架构设计

身份认证的目的，是识别终端用户的身份，以保障终端用户在对内网的移动应用进行访问的安全性。因此，根据以上需求，本文 采用身份认证的方式对终端用户进行识别[4]。同时为保证安全，引入TPM认证体系对身份进行认证[5-7]。具体架构如图2所示。

图2 终端用户身份认证整体架构

2.2 服务器功能模块设计

根据图2的架构，本文将系统服务器功能设计为：用户认证管理模块、终端安全管理模块、系统日志模块以及系统设置模块。具体系统功能模块设计如图3所示。

图3 系统功能模块设计

如图3所示，电力安全认证系统各大功能模块之下又由多个小部分功能构成，以下将对系统各功能模块进行详细分析。

(1) 用户认证管理模块

用户认证管理模块由用户分组以及用户管理两大功能构成，该功能模块主要作用于对终端用户进行管理。由于电力安全认证系统中具备多种终端类型，因此需要用户认证管理模块的用户分组功能对不同属性的终端进行分化。由此，用户分组功能主要起到划分终端、展示分组及显示所选用户信息的作用。除此以外，用户分组功能还具备添加、修改及删除用户分组的权利；用户管理功能主要是对系统所用用户信息、遍历用户列表进行删除与修改。

(2) 终端安全管理

终端安全管理模块主要由安全策略管理、安全策略分配以及终端用户注册三大功能构成。其中，安全策略管理功能主要起到制定、查看、修改及删除安全策略的作用；安全策略分配功能主要起到规划用户分组以及划分安全策略的作用；终端用户注册功能主要负责系统终端用户注册登记工作，将用户注册信息登记并录入至系统后台数据库中，便于系统后续对用户身份的验证。

(3) 系统日志

系统日志功能模块主要由系统日志查询功能构成，该功能模块主要起到记录终端用户访问信息的作用。在电力安全认证系统中，日志信息主要包括用户名、操作时间、验证信息等。

(4) 系统设置

系统设置功能模块主要由设备状态、网络配置以及管理员设置三大功能构成。其中，设备状态功能主要是对电力安全认证系统设备状态信息进行显示与设备的启动及工作刷新；网络配置功能主要起到电力安全认证系统网络配置的作用，具体包括IP配置以及子网掩码设置；管理员设置功能主要起到帮助系统管理人员进行日常运维的作用。具体包括添加、编辑、删除以及锁定等工作。在电力安全认证系统中，Admin管理员为系统最初设置管理员，该管理员并不具备修改、删除及锁定等操作权限。

2.3 数据库设计

电力安全认证系统数据库部分主要由7张不同的数据表构成，这7张数据表在系统数据库中担负着不同的工作职责。其中，Manager数据表主要作用于对系统管理员数据进行记录；User数据表以及UserGroup数据表主要作用于对终端用户数据进行记录；Tactic数据表用于存储安全策略数据；TacticUserGroup数据表主要用于记录用户组选择安全策略；Adaptor数据表以及系统日志Log表主要用于配置服务器网络[8-13]。

3 可信终端检测

3.1 可信终端确定方案

在任何一个系统中，终端作为系统数据的源头，与系统安全性之间有着紧密的联系。目前，大部分安全威胁皆由终端安全隐患造成。由此，想要确保电力安全认证系统的安全性，还需对系统可信终端进行确定。本文主要采用以下几种保障机制。

(1) 终端完整性评估

常见的移动终端安全隐患主要包括SIM卡盗取仿冒、终端非法使用以及移动操作系统非法程序连接等[14-16]。针对这些移动终端安全隐患，本文将采用基于多种硬件标识、操作系统版本、进程状态信息的方式，来对电力安全认证系统移动终端进行仲裁。以此方式确保电力安全认证系统的移动终端能够在内网中进行接入。具体实现方式为：在电力安全认证系统接入服务器中对移动终端硬件信息、操作系统信息等信息进行注册，使终端信息能够存储至系统数据库中并进行绑定。如此一来，通过对比数据库中存储的值与计算出的文件特征码，就能判断相关文件或是进程是否收到恶意纂改，以此确保终端的可信度。

(2) 安全异常检测与审计

安全异常检测与审计是指对擅自改变终端配置以及破坏终端完整性等恶意行为进行检测，以此确保电力安全认证系统的安全性。当安全异常检测与审计模块发现终端安全系统的完整性受到恶意破坏时，移动终端软件将会立即与电力安全认证系统进行脱离。同时，当安全异常检测察觉移动终端的安全威胁及异常行为时，将会把该行为记录至系统服务器端中，然后再终止当前移动终端与系统之间的连接，并将异常检测结果汇报给用户。

(3) 终端资源访问控制

终端资源访问控制机制主要是以业务应用程序需求为前提，对移动资源访问权限进行管理。同时，终端资源访问控制还将对电力安全认证系统关键文件、进程等重要资源进行强制性保护，并且会限制系统超级用户权限。

3.2 终端状态检测

安全接入平台是基于对电力系统的安全接入而设计的。因此，不仅要加强对终端身份的认证，还需要加强对终端的检测。而身份安全认证检测是多因素认证和可选择认证。

本文在安全检测中，主要对终端用户的MAC地址、session、用户名、操作系统、磁盘序列号等进行检测[17]。具体检测实现流程如图4所示。

图4 终端用户接入检测流程

4 系统实现结果

通过上述的方案，将上述系统在安全接入平台运行，从而得到的认证结果如图5所示。

图5 安全认证结果

根据以上结果看出，通过认证显示不同用户终端的接入结果，继而通过这些结果，有效的对客户进行了筛选，提高了终端用户对电网内部局域网移动应用终端的访问安全。

4 总结

身份认证系统的应用背景为安全接入平台项目，安全接入平台是负责移动终端远程接入的工作，分为安全接入网关、移动接入网关、采集接入网关、集中监管系统、身份认证系统和数据过滤系统，身份认证系统是安全接入平台的身份认证模块，负责终端用户的安全审计和身份认证。通过本文构建的基于电力局域网安全的多因素身份认证方案，对提高电网移动应用访问安全提供了参考。