一、引言:传统堡垒机登录的安全短板
堡垒机作为企业运维人员访问核心系统的唯一入口 ,承担着权限控制、操作审计、行为追溯的关键职责。然而,许多企业的堡垒机登录仍依赖静态密码,存在严重安全隐患:
- 密码易被泄露、复用或弱口令;
- 多人共用账号,无法实现"一人一账号";
- 缺乏多因子认证,难以抵御撞库、钓鱼攻击;
- 不满足《网络安全等级保护2.0》中"两种以上身份鉴别技术"的要求。
为提升登录安全性,越来越多企业采用 "RADIUS + 动态口令" 模式,实现"一次一密"(One-Time Password, OTP)认证,构建高安全堡垒机登录体系。
二、"一次一密":动态口令的核心价值
"一次一密"是一种动态密码技术,其核心特征包括:
| 特性 | 说明 |
|---|---|
| 动态生成 | 每次登录生成新密码,非固定口令 |
| 时效性 | 通常有效期30--60秒,过期作废 |
| 一次性 | 使用后立即失效,不可重复使用 |
| 绑定用户 | 与特定用户身份关联,防止冒用 |
✅ 相比静态密码,"一次一密"可有效防御:
- 密码泄露
- 重放攻击
- 暴力破解
- 账号共享
三、RADIUS协议:连接认证系统与网络设备的桥梁
3.1 RADIUS 简介
RADIUS(Remote Authentication Dial-In User Service)是一种广泛用于网络设备认证的AAA协议(Authentication, Authorization, Accounting),具有以下优势:
- 标准化:主流堡垒机(JumpServer、齐治等)均支持;
- 轻量级:基于UDP,性能开销小;
- 集中管理:可对接统一身份源(如LDAP、AD、IAM);
- 可扩展:支持PAP、CHAP、EAP等多种认证方式。
3.2 RADIUS在堡垒机认证中的角色
RADIUS作为认证代理,实现堡垒机与后端身份认证系统的解耦:
用户 堡垒机 RADIUS Client RADIUS Server 身份源: LDAP/AD OTP引擎 审计日志
✅ 堡垒机仅需配置RADIUS客户端,无需直接集成复杂认证逻辑。
四、技术架构设计
4.1 总体架构
运维人员 堡垒机 RADIUS Client RADIUS Server LDAP/AD OTP验证引擎 审计系统
4.2 组件说明
| 组件 | 职责 |
|---|---|
| 运维人员 | 使用手机APP、硬件令牌获取动态口令 |
| 堡垒机 | 配置RADIUS客户端,转发认证请求 |
| RADIUS Server | 接收请求,验证用户身份与OTP有效性 |
| LDAP/AD | 存储用户账号信息,用于身份核验 |
| OTP引擎 | 生成和验证TOTP/HOTP,支持时间/事件同步 |
| 审计系统 | 记录所有认证请求,满足合规要求 |
五、RADIUS服务器选型:企业级平台的实践优势
在实际部署中,部分企业选择开源RADIUS服务 (如FreeRADIUS),但需额外集成OTP引擎、LDAP、高可用等模块,集成复杂度高、运维成本大。
而采用具备完整能力的企业级身份认证平台(例如ASP身份认证系统),可显著降低实施难度。此类平台通常具备以下特性:
| 能力 | 实现优势 |
|---|---|
| 内置RADIUS服务 | 开箱即用,无需二次开发 |
| 集成TOTP引擎 | 支持基于时间的动态口令,兼容主流令牌APP |
| 支持国密算法 | OTP生成与验证支持SM3哈希,满足GB/T 39786要求 |
| 高可用部署 | 支持双机热备、负载均衡,保障服务连续性 |
| 统一策略管理 | 可集中配置失败锁定、登录时间窗口、设备绑定等策略 |
| 审计日志完整 | 记录认证时间、IP、结果、失败原因,支持导出与SIEM对接 |
✅ 实践表明,采用此类平台可将RADIUS认证系统的部署周期从2--3周缩短至1--3天,且稳定性更高。
六、实施步骤(基于企业级平台)
6.1 前置条件
- ASP企业级身份认证平台已部署(支持RADIUS服务);
- 堡垒机支持RADIUS认证;
- 用户已在平台注册,并绑定动态口令令牌;
- 网络策略允许堡垒机访问RADIUS服务器(端口1812)。
6.2 堡垒机配置(以JumpServer为例)
- 进入系统设置 → 认证设置
- 启用RADIUS认证
- 填写RADIUS服务器信息 :
- 地址:
radius.auth.corp.com - 端口:
1812 - 共享密钥:
SecureKey@2025(需与RADIUS服务器一致) - 超时:5秒
- 地址:
- 保存并测试连接
6.3 企业级平台配置流程
-
添加RADIUS客户端
- 在管理后台添加堡垒机IP为客户端;
- 设置共享密钥;
- 选择PAP协议(兼容性最佳)。
-
启用双因子认证策略
- 创建策略:"用户名 + 静态密码 + TOTP";
- 设置同步窗口(±1分钟)、失败锁定(5次/15分钟)。
-
对接AD/LDAP
- 配置AD服务器地址、端口、绑定DN;
- 测试用户同步。
-
用户绑定动态口令
- 用户首次登录时,通过手机APP扫描二维码绑定TOTP;
- 支持Google Authenticator、企业自研APP等。
七、用户登录流程
用户 手机APP 堡垒机 RADIUS平台 AD 打开动态口令APP 显示当前TOTP(如 123456) 输入用户名 + 静态密码 + TOTP 发送Access-Request 验证用户是否存在 用户有效 验证TOTP有效性(HMAC-SM3) 返回Access-Accept 登录成功 用户 手机APP 堡垒机 RADIUS平台 AD
✅ 整个过程对用户透明,仅需在原有流程中增加输入动态口令。
八、安全与合规优势
8.1 安全性提升
- 实现"所知(密码)+ 所持(令牌)"双因子认证;
- 动态口令每30秒刷新,防止重放攻击;
- 失败锁定机制防御暴力破解。
九、总结与选型建议
- RADIUS + 动态口令是构建高安全堡垒机登录体系的有效路径;
- 选择具备标准化、可扩展、高可用特性的身份认证平台作为RADIUS服务器,可显著降低集成复杂度;
- 通过"统一身份源 + 动态口令引擎 + RADIUS服务"三位一体架构,实现运维身份的集中管控;
- 在信创环境下,支持国密SM3算法的身份认证平台将成为主流选择。
✅ 企业选型建议 :
优先考虑具备以下能力的平台:
- 支持国密算法(SM3/SM4),满足信创合规;
- 内置动态口令引擎,无需额外集成OTP服务;
- 提供高可用部署方案,保障运维通道连续性;
- 具备完整的审计日志与策略管理功能。