集中授权

集中授权（共4篇）

集中授权 篇1

摘要：随着中国电信维护集约化工作的开展, 网络资产的管理职责发生了较大改变, 为适应新的维护工作需求, 同时加强网络设备的安全管理, 山东电信对一次性口令认证系统进行了深化应用。本文将描述以实现全省网络设备“集中账号认证、精确命令授权”为目标的技术方案和利用tacacs+协议实现命令授权的技术难点。

关键词：tacacs,认证授权,AAA

1 省级电信运营商数据网设备远程管理现状及问题

网络设备作为电信运营商的基础生产资源, 对于企业的重要性不言而喻, 近年来随着网络安全形势的日益严峻, 网络设备的安全性一直被运营商视为重点研究和提升方向。

网络设备的安全性主要有IOS漏洞、BGP可靠性、路由冗余、访问控制、远程安全管理等, 其中以远程安全管理引起的安全问题较多, 例如远程暴力破解、操作无法审计等。

目前电信网网络设备远程管理的现状及问题主要有:

(1) 普遍使用telnet方式远程登录设备。telnet是一种非加密传输协议, 在开放的互联网上可被捕获和破解, 容易被攻击者利用。因此建议仅在可信网络中使用telnet, 在开放网络环境中采用加密协议的SSH方式。

(2) 普遍设置了访问控制源地址, 但源地址多为办公环境的大段地址。办公环境中主机、个人电脑的安全防护水平比较复杂, 比较容易感染电脑病毒, 一旦某台电脑被中木马, 将对网络设备造成管理风险。

(3) 普遍通过网管系统实现了账号集中认证, 但无法实现授权, 用户登录设备后获得统一的权限, 无法对低权限用户进行限制。

2 集约化维护环境下的问题分析

目前电信运营商的网络运维都在推行集约化, 即对原市公司负责维护的汇聚层以上设备上收至省级统一监控、维护, 在集约化维护的大环境下, 设备的远程登录维护和权限控制显得尤为重要, 现阶段的主要问题有:

账号混用, 尤其是地市维护人员, 班组人员基本共用维护账号, 对于操作审计带来极大难度。

(1) 权限设置难道较大。权限设置依赖在设备本地配置level命令集, 华为、中兴设备支持该功能, 但阿朗设备不支持。即便华为、中兴设备可在本地调整每个level账号的可执行命令, 但配置量较大, 调整某一级别账号的可执行命令时, 需要在全部设备上进行配置, 工作繁琐且易出错。

(2) 远程登录不安全、不方便。随着集约化后省公司维护工作的加重, 维护及时性要求较高, 因此维护人员需要随时随地安全的登录设备。以往通过telnet到内网某台设备, 再跳转登录的方式即不方便, 也不安全。

(3) 集约化后, 地市维护人员不再承担SR/BRAS设备的主要职责, 但仍需要部分业务配置权限。因此在技术层面上, 需要合理划分省公司维护人员、地市维护人员、监控人员的权限。

3 一次性口令认证系统的方案设计

为解决集约化维护工作中权限分配、远程安全接入、命令精确授权的问题, 山东电信利用一次性口令认证系统, 设计并部署了“数据网远程维护登录方案”。

3.1 系统架构

3.1.1 系统组网及安全设置

一次性口令认证系统通过接入路由器连接163、DCN、CN2网, 打通DCN、CN2中的主要MPLS_VPN通道, 并为跳板机UGate分配各网、各VPN的地址。

出口部署防火墙, 严格设置ACL规则, 只允许来自自163网到跳板机UGate的SSH连接。

同时, 在网络设备上设置远程登录源地址限制策略, 只允许来自跳板机UGate的IP登录。

3.1.2 系统功能组件

一次性口令认证系统主要分三个组件:

(1) 跳板机UGate

该部分主要提供远程跳板功能, 用户登录跳板机后, 再从跳板机登录网络设备。同时, 在跳板机上可为用户分配资源列表, 例如, 对某一地市维护人员, 可在跳板机UGate上分配该地市的网络设备, 此用户登录跳板机Ugate后只能访问本地市的设备。

(2) 认证组件ES

该部分是整套系统的核心, 又分两个认证模块:

1用户登录跳板机UGate时, 承担Radius认证功能。

用户登录跳板机UGate时采用动态口令的方式, 此时UGate将登录信息发送到ES进行鉴权, ES需匹配账号名、令牌卡号、令牌动态口令, 鉴权完成后ES返还信息至跳板机UGate。

因此, ES承担了跳板机Radius认证、动态口令认证的功能。

2承担网络设备的tacacs认证功能。

ES同时作为网络设备的tacacs服务器, 对网络设备的账号进行认证、授权。

(3) 数据存储

数据存储主要是存储服务器和磁盘阵列, 承担记录登录日志、操作日志的功能。

3.1.3 业务流程

管理员在一次性口令认证系统中为用户分配账号、口令卡, 用户使用口令卡登录跳板机UGate, 在跳板机中选择资源, 访问网络设备;登录网络设备时再由网络设备向ES发起tacacs认证请求, 认证通过后用户才能成功登录网络设备, 同时, 用户每执行一条命令, 网络设备都会向ES进行命令鉴权, 通过后用户才能在网络设备上成功执行命令。

其中的具体流程如下:

(1) 用户登录跳板机

(2) 提交认证要素, 帐号、静态口令+动态口令的组合

(3) 跳板机向ES发起认证请求

(4) ES认证系统完成口令比对权限鉴别

(5) ES认证系统返回认证结果

(6) 跳板机允许/拒绝用户登录, 若允许显示用户访问列表

(7) 登录跳板机, 选择可访问的资源 (网络设备)

(8) 跳板机实现访问控制

(9) 登录网络设备

(10) 目标网络设备向ES认证系统发起tacacs认证请求, 进行静态密码验证

(11) Tacacs认证成功, 目标网络设备登录成功;认证失败则退出登录

(12) 用户在网络设备上执行操作命令

(13) 目标网络设备向ES认证系统发起tacacs命令认证请求

(14) tacacs鉴权成功, 用户成功在网络设备上执行命令, 获取执行结果;tacacs鉴权失败, 则提示用户无权限执行。

3.2 账号认证、授权方案

为实现网络设备远程管理的账号集中认证、命令精确授权, 需要三个前提条件:

(1) 登录入口统一

(2) 用户唯一识别

(3) 系统和设备均支持且配置tacacs命令授权

一次性口令系统跳板机可以解决第1条问题;人手一个的口令卡可解决第2个问题;ES认证系统和网络设备均支持tacacs认证和命令鉴权, 解决第3个问题。

所以可以利用一次性口令认证系统开展账号认证、命令授权。

3.2.1 五元素

系统中含五个关键元素:账号、角色、设备管理范围、账号级别、命令集, 详细描述如下:

(1) 根据员工姓名, 分配唯一识别的帐号名和口令卡;

(2) 根据集约化维护工作的推进情况, 用户可分为三类角色:

(3) 根据网络部署情况, 数据网络设备范围如下:

根据不同的账号角色, 分为三个级别

(5) 根据账号级别的不同和不同厂家的设备, 设置命令集, 命令集有两种方式

1白名单方式, 用户仅可执行命令集中的命令, 其他命令均不能执行。例如监控人员只可执行display、ping命令。

2黑名单方式, 用户不能执行命令集中的命令, 其他命令均可以执行。例如地市维护人员不可执行bgp、aaa等命令。

3.2.2 角色授权方案

针对不同的网络, 将五元素合理组合, 即可为用户进行精确授权。以城域网设备为例描述。

3.2.3 用户远程登录方式

全省数据维护人员均需要通过一次性口令认证系统登录网络设备, 登录过程中需要两次认证:

(1) 登录UG跳板机时, 需要用户名和令牌卡动态口令认证;

(2) 登录网络设备时, 需要tacacs账号和密码。

4 基于tacacs+协议的认证授权实现方式

4.1 Tacacs+协议简介

在网络中 , tacacs+ ( Terminal Access ControllerAccess-Control System Plus) 是一种为路由器、网络访问服务器和其他互联计算设备通过一个或多个集中的服务器提供访问控制的协议, 提供了独立的认证、授权和记账服务。

目前网络设备中普遍支持tacacs+协议, 可利用该协议实现账号认证、命令授权、授权记账功能。

本文描述的账号集中认证、命令精确授权都是基于tacacs+协议实现的。

4.2 数据网主要设备类型的tacacs配置

数据网中常见网络设备的tacacs认证、授权配置思路基本一致, 大体分三个步骤:

(1) 配置tacacs服务器, 在本文中指向ES认证服务组件IP。

(2) 配置tacacs协商密钥。

(3) 配置aaa认证采用tacacs模式。

(4) 配置aaa授权采用tacacs模式。

(5) 配置命令授权级别。

但不同厂家的设备在实现tacacs认证授权细节上不尽相同, 在实践中发现其中的关键点在于账号默认级别、默认权限和命令鉴权顺序上, 这些关键技术将直接影响整个系统方案的设计, 因此下面主要介绍三个主流厂家的设备技术特点。

4.2.1 华为设备

适用于NE40、NE80、NE40X8、NE5000, 其他型号未经验证。

(1) 账号级别

华为设备账号默认划分了16个级别, level0至level15, 但默认情况下level3基本已是最高权限, level0至level2的账号限制较多。

通过tacacs认证的账号, 需要在tacacs服务器上为账号配置level级别, 此处建议均配置为level3级, 因为命令的授权可完全由ES认证服务器承担, 不依赖设备本地的账号权限设置。至于为何配置最高权限的level3级, 将在命令鉴权顺序部分描述。

(2) 认证顺序

账号认证可选择先local或者先tacacs, 为了维护安全的考虑, 可在设备上设置local账号, 当tacacs服务器出现故障时以保证维护人员登录设备。此时应该设置先local后tacacs, 因为如果设置先tacacs, 一旦tacacs服务器出现认证故障 (非网络故障) , 则系统不会切换到local认证。

(3) 命令鉴权顺序

用户登录网络设备后, 设备会自动为账号匹配一个level, 执行命令时, 系统将按照先本地后tacacs的顺序执行命令鉴权, 如果本地鉴权失败, 则命令无法执行, 不再送往tacacs服务器鉴权;如果本地鉴权成功, 则将命令送至tacacs服务器进行再次鉴权, 鉴权成功后命令才可执行。

如果为tacacs账号设置的级别过低, 当执行命令时, 可能命令在本地就被过滤掉, 无法达到由ES认证服务组件进行命令鉴权的目的, 所以建议tacacs账号均设置level3, 此时几乎所有命令都会通过本地鉴权。

(4) 命令鉴权配置

华为设备可对不同级别的账号配置使用tacacs鉴权, 例如可对level2、level3的账号配置tacacs命令授权, 其他不配置, 则只有level2和level3的账号执行命令时, 才将命令送往ES认证服务组件鉴权, 对level0、level1、level4及其他级别的账号, 沿用本地命令鉴权规则。

在实践中, 建议设置对level2和level3的账号进行tacacs命令授权。

此处还存在另外一个问题:local账号如果也设置成level3, 一旦ES认证服务组件认证故障 (非网络故障) , 则local账号执行命令将出现无法执行或者执行异常缓慢的情况, 所以建议local账号级别设置成level4或者更大。

华为tacacs认证授权配置命令参考如下:

4.2.2 中兴设备

适用于M6000, 其他型号未经验证。

中兴设备的tacacs配置与华为类似, 但也存在几点不同。

(1) 账号级别

系统默认设置15级账号, 只有level15的账号才具备最高权限, level14和以下级别的账号均不同程度受限, 且受限程度明显。这与华为设备不同, 华为level3已基本具备最高权限。

所以在tacacs服务器上为账号配置level级别时, 建议直接赋予level15。

(2) 账号认证顺序和命令鉴权顺序与华为设备相同。

(3) 命令鉴权配置

因上文所述, tacacs账号均被赋予level15级别, 所以在配置命令鉴权时, 应对level15的账号进行命令授权。

因账号最高级别为15, 而level15的账号均需要到tacacs服务器鉴权命令, 所以当tacacs服务器认证故障时, 将影响最高权限账号的命令操作, 即便是level15的local账号, 也需要到tacacs服务器鉴权, 所以实践中需要进行特殊配置:在level15的local命令集中增加“no command-authorization 15”命令, 当tacacs服务器认证故障时, 可通过local账号登录, 取消tacacs命令鉴权。

(4) tacacs协商机制

中兴设备在配置tacacs时, 会要求配置协商机制, 可选ASIC、PAP、CHAP三种方式, 其中ASIC为明文协商, PAP、CHAP为加密协商, 实践中可根据tacacs服务器的配置灵活选择, 一次性口令认证系统ES组件暂只支持PAP方式。

中兴tacacs认证授权配置命令参考如下:

4.2.3 阿朗设备

适用于7750, 其他型号未经验证。

阿朗的tacacs配置较简单, 因为阿朗设备本身不提供账号分级和命令授权功能, 其产品设计中默认含有tacacs或者radius服务器来提供账号认证、授权。

故只需要在设备上配置tacacs服务器即可。

阿朗tacacs认证授权配置命令参考如下:

5 结束语

通过部署上述技术方案, 极大提升了网络设备的安全远程维护能力, 为集约化工作提供了强有力的支撑:

帐号统一集中认证, 使得设备登录可管可控

集中授权, 使得设备登录管理, 清晰透明

建立统一认证中心, 可为以后其他系统共同使用 (提供标准认证接口) , 避免帐号混乱

参考文献

[1]中国电信一次性口令认证系统功能规范

[2]Tacacs协议技术规范

[3]华为路由器配置规范

[4]中兴路由器配置规范

[5]阿朗路由器配置规范

集中授权 篇2

远程集中授权是将前台柜员需要授权的交易信息，以及业务凭证影像、视频、音频等同步传输至“后台集中授权中心”，由授权人员在自己的终端上审核并完成授权的业务授权实现模式。实现了“面对面”授权向“背对背”授权模式的转变。同时，监督模式也由事后监督向事中监督转变，将风险监管端口进行了前移，更加有效的防范了前台业务的操作风险。

远程集中授权是对前台业务授权模式的一项重大改革。实现远程集中授权，在一定程度的达到了农信社前台业务授权模式改革的目的，一方面，提高了业务办理效率、减轻了柜面服务压力、缩短了业务完成时间；另一方面，优化了人力资源，降低了成本，提高了效率；再一方面，有效降低了一线柜员的业务操作风险。

在传统授权模式下，每个网点至少配备一名授权员。对于业务量小的网点来说，授权员的工作量较小，在一定程度上，存在人力资源浪费。举例来说，一个县级联社有30个网点，每个网点配备1名授权主管，就需要30名授权主管。如果上线远程集中授权系统，6-7名授权员就可以完成整个联社的授权工作。

结合我省综合业务系统的授权级别设置，业务授权一般分为三个级别，网点主管为一级，信用社主任为二级，联社主任为三级。还以30个网点的联社为例，网点主管级别的授权业务量较多，每班至少需要两名授权员，才能基本满足需要，信用社主任级一名授权员即可满足需要，再加上联社主任级授权员一名，如果要完全满足工作需要，每班需要4名授权员，两班需要8名，再加上授权管理员一名，这样一来，一个联社远程集中授权中心就需要9名人员才能正常运行。这样就产生一问题：一方面是主管级别的授权员忙的不可开交，另一方面是联社主任级别的授权员闲的无事可做，一天可能就三五笔授权业务。

实际的运行情况如何呢？据笔者了解，部分联社并没有严格按照综合业务系统的授权级别按岗位进行分配人员，而是一个授权员兼多个级别授权员进行业务授权，有的甚至一个授权员兼三个级别授权员进行业务授权，就是所有业务都能授权。另一方面，授权中心人员很难完全做到按制度规定和操作流程要求进行业务授权，当授权业务的制度规定影响到业务的发展时，可能制度规定就无法坚持

/ 2

了。上线远程集中授权系统的重要目的之一就是提高前台业务操作风险的防控能力，降低操作风险，但从笔者了解的情况来看，并不是想象中的那么好。怎样来解呢？

尝试以市为单位建立远程集中授权中心，这样就可以解决上述问题。授权员工作量的分配问题即可得解决，业务授权相关制度和操作流程的执行问题也可以得到很好的坚持，这样，前台业务操作风险才能得到有效的降低。

当然，无论远程集中授权中心设到哪一个级别，加强管理仍然是最重要的，如果管理跟不上，远程集中授权放到市办也起不到应有的作用。笔者认为以下几个方面是值得我们考虑的。

在管理的原则，至少应包括这几项：坚持制度、规范流程、控制风险，提高效率，服务客户等。

在人员配置上，原则上按每300笔业配备一名授权员，不同级别的授权员要分别计算。

在岗位设置上，应有以下几个岗位：一是授权中心主管，二是授权主管，三是授权员，其中授权员又分为三级别，网点主管级、信用社主任级、联社主任级。

每个岗位的职责如下，包括但不限于此。

（一）授权中心主管职责：

1、协助部门负责人具体负责授权中心人员的管理工作；

2、贯彻落实上级相关制度、规定；

3、负责拟定并执行对中心人员的日常考核；

4、及时处理重大突发事件并及时向上部门负责人报告。

（二）授权主管主要职责：

1、协助授权中心主管贯彻落实中心相关规章、制度；

2、确保当班期间授权系统处于正常运行状态，系统出现异常及时反馈至中心主管并协助及时处理，保证系统安全平稳运行；

3、及时解答授权员提出的问题，确保授权及时、准确、合规；

4、可兼职联社主任级授权员。

（三）授权员主要职责：

1、确保当班期间授权终端处于签到状态；

2、对业务经办传输的交易信息和影像资料进行一致性、完整性、合规性认真审核，并及时进行授权处理；

3、不得无故拒绝授权业务，若拒绝授权，应提出明确、合理的拒绝理由。

集中授权 篇3

一、实质重于形式原则在授权业务中的运用

此处所讲的“形式”主要是指授权业务所上传的影像资料, “实质”主要是指影像资料的有效性。

(一) 授权业务依据的形式上的完整性要以业务操作的实质性审核要求为基础

在授权过程中, 通过上传的界面信息和业务回放功能, 可以看到该笔业务的交易类型以及交易录入要素, 根据交易类型判断哪些是需要审核的符合合规性要求的会计资料信息, 根据交易录入的要素审核会计资料信息内容录入的准确性。在此过程中, 不光是要求上传影像资料形式上的完整, 更重要的是须把握审核的内容是否实质有效。譬如上传的客户证件完整, 但有效期已过, 则该笔业务实质审核无效。

(二) 不能过分注重实质而放弃形式

过分强调实质而不讲究形式又会影响业务审核的可操作性。譬如上传的影像资料都齐全, 要素记载完整, 但是仅就客户的签名这一项, 授权人员是无法判断是否为客户本人所为的, 如果没有形式上的审核, 就丧失了授权的可操作性。所以, 形式上的审核是实质性审核的必要保障。对于风险较大、专业性较强的业务就需要运营主管或营业机构负责人或其他有权人作事前审批, 对柜员办理的业务进行准入控制, 授权人员根据对有权人的审批进行形式上的审核, 以此达到双线控制的目的。

(三) 不能过分注重形式上的要求

业务类型一样, 但操作不一定雷同, 形式是业务性质的外在表现, 只要不是对业务造成实质上的改变, 那么其外在形式也可以认为是一致的。譬如在有些业务中借贷方凭证有多份, 每一份凭证都记载了相同的凭证录入要素, 有借贷方入账的依据, 可以独立证明业务的有效性, 则可以考虑不必要求同时上传。

二、重要性原则与相关性、可靠性、完整性原则在授权业务中的运用

在授权业务中对业务是否发生能够起决定性判断依据的, 便是授权人员应当审核的重要内容。适当掌握好审核的重要性有利于提高审核的准确性和审核速度。

(一) 把握好重要性与相关性、可靠性的关系

所提供的审核依据与业务处理是否相关, 直接影响到业务处理的合规性问题。譬如在做往账确认业务的时候, 不光要审核往账录入凭证与录入的原始凭证, 更重要的还须审核资金来源凭证即借方凭证, 因为只有在往账确认的时候, 资金才会真正地划入收款人开户行, 所以与该笔业务相关的资金划出依据的有效性审核是很重要的。

由此可见, 重要的会计信息必定是与业务相关的, 但是相关的会计信息不一定是重要的。譬如对公账户开户这笔业务, 涉及到账户支控方式为支付密码的情况下, 支付密码器使用申请书的影像上传就是不重要的, 因为开户业务尚未交易成功, 账号等信息尚未产生, 支付密码器使用申请书上的一些信息是无法填写齐全的, 而账户支控方式的明确事项仅在开户申请书上就可以完成。

另外还要合理判断会计资料信息的有效性, 直接资料比间接资料更加可靠, 有权审批人审批过的资料比未审批的资料更加可靠。

(二) 把握好重要性与完整性的关系

重要性的会计信息上传必须要求完整, 但是上传信息过多或信息匮乏都可能会给授权人员处理业务带来不利影响。譬如挂失业务后续处理的业务, 是否要上传挂失处理的客户回单联呢?这个问题可以从两方面来考虑。其一, 挂失后续处理业务的准入级别要高于挂失业务, 也就是说可以做挂失后续处理业务的一定便是可以做挂失业务的, 即便提供不出回单, 也可以随即补办挂失的。其二, 当下的挂失后续处理业务已经取消了以往的挂失七天后处理的规则, 也就是说只要符合规定, 当时办理的挂失业务当时就可以办理挂失的后续处理业务。所以笔者认为该影像是否上传并不影响业务凭证及相关资料的完整性。又如, 在做挂失借记卡现金销卡这笔业务的时候, 是否要对不满五万的现金进行影像拍摄上传呢?同样的也可以从两方面来考虑。其一, 该笔业务的授权触发点在于借记卡的挂失后续处理, 而不是不满五万的现金取现。其二, 大额现金支取规定只有提现金额大于等于五万的授权业务, 才满足大额现金卡把点数的要求, 才要求拍摄现金影像上传或现场主管指纹认证。同理, 不满五万的现金影像是否上传并不影响授权业务依据的完整性。

简而言之, 在授权业务凭证及相关资料的审核过程中, 既要力求上传影像资料的完整, 又要抓住审核的重点, 以有效、可靠的会计信息保证授权业务处理的合规, 注重授权审核的形式与实质的相互统一, 完成凭证要素的准确录入。

集中授权 篇4

为保证批量代收业务顺利进行，加速资金周转，提高工作效率，本着平等、合作的原则，委

托人授权付款代理人办理下列事务：

一、委托人以其在银行开立的账户（户名为账户性质：单位银行结算账户），作为向连云港晨兴环保产业有限公司单位代缴汽费的制定账户（下称指定账户），授权付款代理人使用集中代收付业务方式从指定账户划款用于支付上述费用，付款代理人无

须事先通知委托人，由此产生的法律后果和法律责任由委托人承担。

二、委托人应在其指定账户保留足够的余额，因指定账户余额不足支付上述费用所造成的一

切经济、行政纠纷和违约责任全部由委托人承担。

三、付款代理人根据收费单位通过其开户银行传来的收费通知在委托人指定账户上进行代

扣，委托人所需发票由收费单位提供。

四、委托人对收费项目和收费金额如有异议可到收费单位查询，因委托人或收费单位的原因

造成多付、少付或延迟支付上述费用的，均与付款代理人无关。

五、委托人若决定终止委托，应携带书面终止委托申请书（单位需加盖预留印鉴）到付款代

理人营业机构办理终止委托手续，并告知收费单位做好相应终止或变更手续，因委托人未告

知原因所造成的一切经济、行政纠纷和违约责任全部由委托人承担。

六、本协议一式肆份，委托人、付款代理人各执一份，收费单位两份。

七、本协议自协议签署之日起5个工作日后生效，在委托人终止委托之日起5个工作日后失

效。

委托人：付款代理人：

地址：地址：

电话：电话：

法定代表人（或负责人）：法定代表人（或负责人）：

委托人签章（单位预留印鉴）：银行业务专用章：

经办人：

年月日年月日

以下由收费单位填写

收费单位户名：

收费单位账号：

收费单位开户行支付系统行号：

合同号：

收费单位公章

以下由付款代理人在确认委托人相关信息之后，填写下列内容：

付款代理人支付系统行号：

支付系统代理行：

行内系统户名：

行内系统账号：

委托人账户性质：单位银行结算账户