1.项目背景
北京某金融公司是在一行三会、财政部指导下，经北京市人民政府批准成立的专业化金融资产交易机构，于2010年5月30日正式揭牌运营。

该所是中国人民银行批准的债券发行、交易平台，是中国人民银行批准的中国银行间市场交易商协会指定交易平台，是财政部指定的金融类国有资产交易平台。在交易商协会的领导下，北金所为市场提供债券发行与交易、债权融资计划、委托债权投资计划、企业股权、债权和抵债资产交易等服务，为各类金融资产提供从备案、挂牌、信息披露、信息记载、交易到结算的一站直通式服务。

该所采用有限责任公司的组织形式，由中国银行间市场交易商协会、北京产权交易所有限公司、信达投资有限公司、中国光大投资管理有限责任公司、北京华融综合投资公司、华能资本服务有限公司、中债资信评估有限公司共同出资组建。

2.用户现状
2.1 客户需求
    1) 当前用户的运维堡垒机采用用户名+静态密码登录方式，容易引发密码泄露问题，存在极大的信息安全隐患

    2) 应对“等保要求“，中对数据中心各资产设备采用两种以上身份认证的要求，需添加堡垒机双因素认证。

    3) 应对数据中心网络设备需添加双因素认证。

2.2 项目目标
1) 堡垒机在原有登录方式上增加动态密码认证，输入用户名、密码后还需要输入UDCS的动态密码。

2) 各交换机、防火墙等设备在原有认证基础上，增加动态密码认证，实现双因素认证。

3.解决方案
3.1 堡垒机
用户已采用安恒堡垒机，我们仅需要通过配置该堡垒机的Radius模块，将认证地址指向UDCS认证服务器。

3.2 交换机、防火墙等设备
交换机、防火墙等设备，需要通过命令配置Radius认证模块，使其指向UDCS认证服务器，达到双因素认证效果。下面为部分网络设备的配置：

<Quidway> system-view
[Quidway] radius-server template shiva
[Quidway-radius-shiva] radius-server authentication 129.7.66.66 1812
[Quidway-radius-shiva] radius-server accounting 129.7.66.66 1813
[Quidway-radius-shiva] radius-server authentication 129.7.66.67 1812 secondary
[Quidway-radius-shiva] radius-server accounting 129.7.66.67 1813 secondary
[Quidway-radius-shiva] radius-server shared-key cipher hello
[Quidway-radius-shiva] radius-server retransmit 2
[Quidway-radius-shiva] quit
[Quidway] aaa
[Quidway-aaa] authentication-scheme auth
[Quidway-aaa-authen-auth] authentication-mode radius local
[Quidway-aaa-authen-auth] quit
[Quidway-aaa] accounting-scheme abc
[Quidway-aaa-accounting-abc] accounting-mode radius
[Quidway-aaa-accounting-abc] accounting start-fail online
[Quidway-aaa-accounting-abc] quit
[Quidway-aaa] domain huawei
[Quidway-aaa-domain-huawei] authentication-scheme auth
[Quidway-aaa-domain-huawei] accounting-scheme abc
[Quidway-aaa-domain-huawei] radius-server shiva

4. 部署拓扑

5.最终效果
5.1 堡垒机
堡垒机配置完成后，会在登录界面显示动态密码框，登录时需输入UDCS提供的6位动态密码，通过验证后才可登录。

5.2 网络设备
使用telnet、SSH登录网络设备，需在静态密码后追加6位动态密码进行登录。