专利名称:以usb key为证书介质的内外网接入认证系统的制作方法
技术领域:
本实用新型涉及一种内外网接入认证系统。
背景技术:
随着网络技术的不断成熟以及网络应用的不断普及,现在各高校的网络除了要满足全校教职工的教学科研外,还要更多的面对学生群体。而随着网络用户数的急剧增加,网络的安全性问题日益突出。建立一个更加安全可行的、可运营、可管理的网络环境便摆在了面前。由于传统认证方式存在着不少的问题,许多的认证系统架设在主干出口处,这样就不可避免导致许多计算机在没有预先经过同意,对网络设备及资源进行非正常使用,也就是我们通常所说的非授权访问。而且传统的认证方式对校园网中用户数据包繁琐的处理也造成了网络传输瓶颈,如果通过增加其他网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。目前802. IX认证已经得到了非常广泛的应用,其部署难度小,并且通过对认证方式和认证体系结构进行优化,有效地解决了传统认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本。但在一般的应用中,我们都会使用EAP-MD5密码认证,这个方法把用户密码储存在数据库中,认证的时候进行最基本的对比即可完成认证。这个方法最简单,同时也是最脆弱的,潜在多种被攻击风险。并且,由于密码都由用户自己保存,带来的一个帐号被多人使用,用户密码被窃取等后果,给管理工作带来很大的不便。因此,在实际应用中,需要寻找更加适合的认证方式,尽最大可能保护账户安全。由于EAP-MD5存在身份密码泄露、中间人攻击等问题,需要使用更好的认证方式来取代。尽管实现EAP-TLS部署成本较高,仍然有很多基于PKI和Radius结合研究。
发明内容本实用新型的目的在于提供一种成本较低,并且容易管理、使用可靠、安全的以 USB KEY为证书介质的内外网接入认证系统。本实用新型的技术解决方案是一种以USB KEY为证书介质的内外网接入认证系统,其特征是包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。所述网络接入设备包括交换器、无线路由、虚拟专用网络(VPN)。本实用新型成本较低,并且容易管理、使用可靠、安全,并具有下列优点1、选择合适的CA证书管理系统,能够满足跨区域申请,管理和发放数字证书。同时,为了满足证书的高可靠性和不可复制性,证书在USB KEY硬件中存储和使用,针对客户端目标操作系统,使用恰当的证书存储方式。[0013]2、使用USB KEY为介质的证书认证方式,实现对各类有线、无线和拨号网络环境中,安全认证的应用。3、为实现后台统一认证,对于CA发布的证书必须使用统一的后台认证,为此,以 RADIUS为基础的证书认证方式(EAP-TLS),对CA发放和撤销的证书,使证书认证更加及时有效。4、选择适合RADIUS认证的硬件设备,并部署使用以RADIUS为统一认证后台的网络接入系统。
以下结合附图和实施例对本实用新型作进一步说明。
图1是本实用新型一个实施例的结构示意图。
具体实施方式
一种以USB KEY为证书介质的内外网接入认证系统,其特征是包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。所述网络接入设备包括交换器、无线路由、VPN。CA软件选择 EJBCA是一个完整功能的证书认证程序,完全用Java编写,使用J2EE (Java2 Enterprise Edition,Java2企业版)技术。它建造在J2EE平台之上,是一个开放的、健壮的、高性能的、平台独立的、灵活的和基于组件的CA,可以被单独使用或集成到其它J2EE应用程序中,并且它还提供了一个灵活强大的基于Web的用户图形界面。由于它实现了 PKI中的几乎所有重要的部件,比如RA(Registration Authority,注册中心)、CA(Certification Autohrity,认证中心)、CRL (Certification Remove List,证书撤销列表)和证书存储数据库等,因此得到了广泛的应用。EJBCA装配简单、灵活、易于管理,可以通过它建立的CA方便地管理网络的安全, EJBCA是一个很有价值的开源系统,因此在本系统中首选EJBCA作为CA服务器软件。版本选择FreeRADIUS是应用最广泛的RADIUS服务器,具有运行快速、可扩展性高、可配置性好的特点,支持的协议超过了大多数商业服务器,支持包括SQL、LDAP、RADIUS代理、负载均衡和几乎100家厂商的字典文件。FreeRADIUS 支持的数据库类型0racle、MySQL、PostgreSQL、Sybase、IBM DB2、MS SQLSERVER。FreeRADIUS支持的认证类型本地配置文件中的明文密码(PAP)、本地配置文件中的加密密码、CHAP、MS-CHAP、MS-CHAPv2、Windows域控制器认证、代理到其他RADIUS服务器、系统认证(通常通过/etc/passwd)、PAM(可插拔认证模块)、LDAP(只支持PAP)、CRAM、 SIP Digest (Cisco VoIP,SER)、Netscape_MTA_MD5 力口密的密码、Kerberos 认证、X9.9 认证环。EAP 的嵌入式认证方法EAP-MD5、CISC0 LEAP、EAP-MSCHAP-V2、EAP-GTC、EAP_SIM、EAP-TLS、EAP-TTLS、EAP-PEAP FreeRADIUS 2. 0以上版本修补了一些错误,选用这个高版本会对我们使用 EAP-TLS提供一些方便。协作FreeRADIUS EAP-TLS设计的目标是使用EJBCA软件和EAP-TLS进行协同工作,解决用户管理和认证的细节问题,证书核发和CRL的更新是两个软件合作的关键。需要做的工作主要有以下三个方面(1) CA软件的选择、部署和使用,进行证书管理;(2)安装FreeRADIUS,配置EAP-TLS,以使证书认证能够正常使用;(3) CA和FreeRADIUS的关联,CRL的实时产生和更新。EJBCA,这是CA的核心,所有的用户证书产生、授权和撤销都在这里决定。JBOSS则是EJBCA运行的平台,证书请求和发布都通过这个web服务器。对于关系最紧密的两个部分,EJBCA和FreeRADIUS,可以安装于同一服务器硬件, 也可以在不同的服务器硬件上。如果处于不同的服务器,那么,根证书、服务器证书和CRL 证书的安装可以通过移动介质进行,如U盘;也可通过网络获取,采用ftp等方式。通过网络传输的情况下,需要确保各种证书安全传输,特别是经常需要更新的CRL证书,在到达后, 可以使用根证书对CRL证书的有效性进行核实。使用USB Key硬件证书通过使用证书,可以解决密码被盗用的问题,但证书以文本方式存在仍然具有可复制性,在知道了证书的解密密码之后,同一证书还是可以被多人同时使用。怎么使得证书不具有复制功能呢?这就需要引入硬件,把证书保存在硬件中,这样就能保证证书的唯一性。USB Key带有智能卡芯片,完全支持智能卡的所有功能,如数字签名功能,而且还将智能卡和读卡器的功能合二为一,用户使用时只要通过计算机的USB端口即可实现即插即用的安全认证服务。在EAP-TLS认证设置方面,没有任何需要特别改动的地方。在有线网络链接的属性中,认证方式选择使用IEEE 802. IX认证。无线网络则选择认证方式则选择WPA,此时认证选项中IEEE 802. IX为必选。在EAP类型中选择智能卡或者证书,进一步选择使用智能卡。至此,客户端配置即完成,已经可以使用。当出现系统提示时,将USB Key插入计算机上的,然后在系统提示时输入个人识别码(PIN),经FreeRADIUS服务器认证通过即可使用网络。可以看出使用USB Key方式来管理证书的时候,在使用便捷性,安全性上都有了进一步提尚。因此,我们首选USB KEY作为证书存储介质。处于应用成本和操作方便等原因,我们选择了飞天诚信的ePasslOOO USB KEY。L 数据库和 Fedora LinuxPostgreSQL按照BSD版权协议发布,允许在商业和非商业应用的两种环境下均能享有自由取得而且不受限制的使用权。PostgreSQL具有高度扩展性,且完全遵循国际 ISO-SQL规范的开发方向。Fedora Linux由RedHat支持开发和发布,尽管!^edora发行版的目的用户是桌
5面用户,但是由于Linux的特性,完全可以作为一般应用和开发阶段使用的服务器。而且, Fedora是RedHat企业版服务器的前瞻版本,里面集中了很多企业版本特性。认证需要解决的问题的基本思路EJBCA可以通过最少两条途径来间歇性的创建更新的CRL。(1) CRL更新服务程序在EJBCA中,有一个定时服务程序框架。在web管理界面中,选择‘Edit Services' 并且添加一个服务,编辑服务选择‘CRL Updater'工作程序,并且填上间隔运行时间,然后设置这个服务为激活(Active)。然后这个服务就会每隔一段时间运行一次,根据每个子CA 产生CRL。(2)使用Cron定时作业Cron仅在类Unix系统中能够使用。把 ‘bin/ejbca. sh ca createcrl,加入到 cron 的作业任务中,createcrl命令会检查所有的有效子CA,有需要就会去更新各自的CRL。如果要强制某一个CA的CRL更新,可以使用‘bin/ejbca. sh ca createcrl caname,。可参考 cron设置PATH=$PATH:/usr/local/java/binidaily cd /usr/local/ejbca; /usr/local/ejbca/ca. sh createcrl。
权利要求1.一种以USB KEY为证书介质的内外网接入认证系统,其特征是包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。
2.根据权利要求1所述的USBKEY为证书介质的内外网接入认证系统,其特征是所述网络接入设备为交换器、无线路由、虚拟专用网络。
专利摘要本实用新型公开了一种以USB KEY为证书介质的内外网接入认证系统,包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,RADIUS服务器软件通过交换器、无线路由、VPN等网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。本实用新型成本较低,并且容易管理、使用可靠、安全。
文档编号H04L9/32GK201976122SQ20112000362
公开日2011年9月14日 申请日期2011年1月7日 优先权日2011年1月7日
发明者丁卫泽, 倪朔东, 张晨, 曹利, 朱巧明, 朱敏峰, 杨凌风, 罗永平, 魏晓宁 申请人:朱敏峰, 杨凌风