DKEY动态密码企业网络设备管理方案

　　交换机、路由器、防火墙、服务器构筑企业的IT基础设施，网络管理员通过为每台设备设置独立的账号、密码以实现远程管理，随着设备数量的不断增加，传统管理方法的弊端表现如下：

　　（1）无法实现对网络设备的集中认证及审计；
　　（2）密码管理成本越来越高；
　　（3）由于弱口令而导致企业内网被入侵的风险日趋增高；

方案概述

　　通过在企业内网部署DKEY动态密码认证服务器软件，其内置Radius Server，通过配置网路设备的Radius认证，实现对网络设备、服务器集中认证及审计，为网络管理员人员分配相应的一次性密码生成设备，与网络设备访问账号进行绑定，实现账户和动态密码的双重认证，因而能够有效的保证账户信息的安全性；由于DKEY支持多个账号绑定同一枚令牌，切合企业少数IT管理人员管理大量网络设备的实际需求。

　　通过实施DKEY动态密码认证方案，实现企业交换机、路由器、服务器等集中认证和审计，大大节约网络设备管理成本，方便获取网络设备整体登录状态，同时配合动态密码认证，大大提升网络设备访问安全，减小密码管理成本。

　　是便捷性与安全性并重的网络设备安全管理方案，越来越多的企业实施DKEY方案实现对企业网络设备及服务器的管理。

拓扑结构

整体架构组成部分：

　　1. DKEY TMS：内置Radius Server，用来接收交换机、路由器、防火墙、Linux/Unix服务器传递过来的域帐号、密码及动态密码，实现对设备的集中认证及审计。
　　2. 配置交换机、路由器、防火墙、Linux服务器的Radius认证，即IP、PORT、共享密钥信息，使其与DEKY TMS互操作；
　　3. 建议DKEY TMS配置双机互备，在网络设备中选择主、备认证服务器；
　　4. 支持硬件令牌、手机令牌两种认证方式。

　　认证流程

　　以H3C的SSH为例，说明登录流程；

　　第一步：USERNAME输入用户名
　　第二步：PASSWORD输入静态密码+令牌上显示登录密码组合，提交认证，并返回认证结果；

　　方案价值

　　（1）实现对网络设备的集中认证及审计
　　（2）提升网络设备远程管理安全
　　（3）扩展支持企业其他业务系统如VPN、邮件、门户等企业业务系统接入动态密码认证
　　（4）支持多账号统一绑定一令牌，管理人员实现一枚令牌对多网络设备的管理