專利名稱:以usb key為證書介質(zhì)的內(nèi)外網(wǎng)接入認證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及一種內(nèi)外網(wǎng)接入認證系統(tǒng)���。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的不斷成熟以及網(wǎng)絡(luò)應(yīng)用的不斷普及�����,現(xiàn)在各高校的網(wǎng)絡(luò)除了要滿足全校教職工的教學(xué)科研外����,還要更多的面對學(xué)生群體。而隨著網(wǎng)絡(luò)用戶數(shù)的急劇增加�����,網(wǎng)絡(luò)的安全性問題日益突出��。建立一個更加安全可行的��、可運營�����、可管理的網(wǎng)絡(luò)環(huán)境便擺在了面前����。由于傳統(tǒng)認證方式存在著不少的問題,許多的認證系統(tǒng)架設(shè)在主干出口處,這樣就不可避免導(dǎo)致許多計算機在沒有預(yù)先經(jīng)過同意����,對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用,也就是我們通常所說的非授權(quán)訪問�。而且傳統(tǒng)的認證方式對校園網(wǎng)中用戶數(shù)據(jù)包繁瑣的處理也造成了網(wǎng)絡(luò)傳輸瓶頸,如果通過增加其他網(wǎng)絡(luò)設(shè)備來解決傳輸瓶頸勢必造成網(wǎng)絡(luò)成本的提升��,因此無法滿足用戶對網(wǎng)絡(luò)安全性��、高效性和低成本的要求����。目前802. IX認證已經(jīng)得到了非常廣泛的應(yīng)用,其部署難度小�����,并且通過對認證方式和認證體系結(jié)構(gòu)進行優(yōu)化�,有效地解決了傳統(tǒng)認證方式帶來的問題,消除了網(wǎng)絡(luò)瓶頸�,減輕了網(wǎng)絡(luò)封裝開銷,降低了建網(wǎng)成本���。但在一般的應(yīng)用中��,我們都會使用EAP-MD5密碼認證�����,這個方法把用戶密碼儲存在數(shù)據(jù)庫中�,認證的時候進行最基本的對比即可完成認證�����。這個方法最簡單����,同時也是最脆弱的,潛在多種被攻擊風(fēng)險����。并且,由于密碼都由用戶自己保存���,帶來的一個帳號被多人使用�,用戶密碼被竊取等后果��,給管理工作帶來很大的不便���。因此�����,在實際應(yīng)用中���,需要尋找更加適合的認證方式���,盡最大可能保護賬戶安全。由于EAP-MD5存在身份密碼泄露�����、中間人攻擊等問題��,需要使用更好的認證方式來取代�����。盡管實現(xiàn)EAP-TLS部署成本較高�����,仍然有很多基于PKI和Radius結(jié)合研究��。
發(fā)明內(nèi)容本實用新型的目的在于提供一種成本較低,并且容易管理����、使用可靠、安全的以 USB KEY為證書介質(zhì)的內(nèi)外網(wǎng)接入認證系統(tǒng)����。本實用新型的技術(shù)解決方案是一種以USB KEY為證書介質(zhì)的內(nèi)外網(wǎng)接入認證系統(tǒng)����,其特征是包括裝有決定用戶證書產(chǎn)生、授權(quán)����、撤銷的CA軟件和認證用戶的RADIUS軟件的服務(wù)器,服務(wù)器通過網(wǎng)絡(luò)接入設(shè)備與客戶端連接���,客戶端計算機上插裝USB KEY�����,證書存儲于USB KEY中�。所述網(wǎng)絡(luò)接入設(shè)備包括交換器�、無線路由����、虛擬專用網(wǎng)絡(luò)(VPN)���。本實用新型成本較低�,并且容易管理�、使用可靠、安全���,并具有下列優(yōu)點1���、選擇合適的CA證書管理系統(tǒng),能夠滿足跨區(qū)域申請�,管理和發(fā)放數(shù)字證書。同時�,為了滿足證書的高可靠性和不可復(fù)制性,證書在USB KEY硬件中存儲和使用���,針對客戶端目標操作系統(tǒng)�����,使用恰當?shù)淖C書存儲方式��。[0013]2�、使用USB KEY為介質(zhì)的證書認證方式,實現(xiàn)對各類有線�、無線和撥號網(wǎng)絡(luò)環(huán)境中,安全認證的應(yīng)用���。3�����、為實現(xiàn)后臺統(tǒng)一認證,對于CA發(fā)布的證書必須使用統(tǒng)一的后臺認證��,為此�����,以 RADIUS為基礎(chǔ)的證書認證方式(EAP-TLS)����,對CA發(fā)放和撤銷的證書,使證書認證更加及時有效���。4�、選擇適合RADIUS認證的硬件設(shè)備,并部署使用以RADIUS為統(tǒng)一認證后臺的網(wǎng)絡(luò)接入系統(tǒng)����。
以下結(jié)合附圖和實施例對本實用新型作進一步說明。
圖1是本實用新型一個實施例的結(jié)構(gòu)示意圖����。
具體實施方式
一種以USB KEY為證書介質(zhì)的內(nèi)外網(wǎng)接入認證系統(tǒng),其特征是包括裝有決定用戶證書產(chǎn)生��、授權(quán)�����、撤銷的CA軟件和認證用戶的RADIUS軟件的服務(wù)器��,服務(wù)器通過網(wǎng)絡(luò)接入設(shè)備與客戶端連接�����,客戶端計算機上插裝USB KEY���,證書存儲于USB KEY中��。所述網(wǎng)絡(luò)接入設(shè)備包括交換器��、無線路由����、VPN。CA軟件選擇 EJBCA是一個完整功能的證書認證程序��,完全用Java編寫�,使用J2EE (Java2 Enterprise Edition,Java2企業(yè)版)技術(shù)�。它建造在J2EE平臺之上,是一個開放的��、健壯的�����、高性能的���、平臺獨立的、靈活的和基于組件的CA�����,可以被單獨使用或集成到其它J2EE應(yīng)用程序中,并且它還提供了一個靈活強大的基于Web的用戶圖形界面�����。由于它實現(xiàn)了 PKI中的幾乎所有重要的部件�,比如RA(Registration Authority,注冊中心)�、CA(Certification Autohrity,認證中心)����、CRL (Certification Remove List,證書撤銷列表)和證書存儲數(shù)據(jù)庫等��,因此得到了廣泛的應(yīng)用�����。EJBCA裝配簡單��、靈活����、易于管理,可以通過它建立的CA方便地管理網(wǎng)絡(luò)的安全��, EJBCA是一個很有價值的開源系統(tǒng),因此在本系統(tǒng)中首選EJBCA作為CA服務(wù)器軟件�����。版本選擇FreeRADIUS是應(yīng)用最廣泛的RADIUS服務(wù)器���,具有運行快速����、可擴展性高���、可配置性好的特點�,支持的協(xié)議超過了大多數(shù)商業(yè)服務(wù)器�����,支持包括SQL�、LDAP、RADIUS代理�、負載均衡和幾乎100家廠商的字典文件����。FreeRADIUS 支持的數(shù)據(jù)庫類型0racle、MySQL、PostgreSQL�、Sybase、IBM DB2��、MS SQLSERVER����。FreeRADIUS支持的認證類型本地配置文件中的明文密碼(PAP)、本地配置文件中的加密密碼�����、CHAP�、MS-CHAP、MS-CHAPv2�、Windows域控制器認證、代理到其他RADIUS服務(wù)器�����、系統(tǒng)認證(通常通過/etc/passwd)�����、PAM(可插拔認證模塊)����、LDAP(只支持PAP)���、CRAM、 SIP Digest (Cisco VoIP�,SER)、Netscape_MTA_MD5 力口密的密碼��、Kerberos 認證����、X9.9 認證環(huán)。EAP 的嵌入式認證方法EAP-MD5�����、CISC0 LEAP����、EAP-MSCHAP-V2、EAP-GTC��、EAP_SIM����、EAP-TLS、EAP-TTLS��、EAP-PEAP FreeRADIUS 2. 0以上版本修補了一些錯誤��,選用這個高版本會對我們使用 EAP-TLS提供一些方便�。協(xié)作FreeRADIUS EAP-TLS設(shè)計的目標是使用EJBCA軟件和EAP-TLS進行協(xié)同工作,解決用戶管理和認證的細節(jié)問題��,證書核發(fā)和CRL的更新是兩個軟件合作的關(guān)鍵���。需要做的工作主要有以下三個方面(1) CA軟件的選擇�����、部署和使用����,進行證書管理���;(2)安裝FreeRADIUS����,配置EAP-TLS����,以使證書認證能夠正常使用����;(3) CA和FreeRADIUS的關(guān)聯(lián)��,CRL的實時產(chǎn)生和更新�。EJBCA,這是CA的核心,所有的用戶證書產(chǎn)生�、授權(quán)和撤銷都在這里決定。JBOSS則是EJBCA運行的平臺�����,證書請求和發(fā)布都通過這個web服務(wù)器���。對于關(guān)系最緊密的兩個部分��,EJBCA和FreeRADIUS�����,可以安裝于同一服務(wù)器硬件��, 也可以在不同的服務(wù)器硬件上�����。如果處于不同的服務(wù)器���,那么,根證書����、服務(wù)器證書和CRL 證書的安裝可以通過移動介質(zhì)進行,如U盤����;也可通過網(wǎng)絡(luò)獲取,采用ftp等方式���。通過網(wǎng)絡(luò)傳輸?shù)那闆r下���,需要確保各種證書安全傳輸,特別是經(jīng)常需要更新的CRL證書���,在到達后��, 可以使用根證書對CRL證書的有效性進行核實���。使用USB Key硬件證書通過使用證書�,可以解決密碼被盜用的問題�����,但證書以文本方式存在仍然具有可復(fù)制性�����,在知道了證書的解密密碼之后���,同一證書還是可以被多人同時使用��。怎么使得證書不具有復(fù)制功能呢���?這就需要引入硬件,把證書保存在硬件中��,這樣就能保證證書的唯一性����。USB Key帶有智能卡芯片,完全支持智能卡的所有功能,如數(shù)字簽名功能���,而且還將智能卡和讀卡器的功能合二為一�,用戶使用時只要通過計算機的USB端口即可實現(xiàn)即插即用的安全認證服務(wù)�。在EAP-TLS認證設(shè)置方面,沒有任何需要特別改動的地方�����。在有線網(wǎng)絡(luò)鏈接的屬性中����,認證方式選擇使用IEEE 802. IX認證���。無線網(wǎng)絡(luò)則選擇認證方式則選擇WPA����,此時認證選項中IEEE 802. IX為必選��。在EAP類型中選擇智能卡或者證書�����,進一步選擇使用智能卡。至此�����,客戶端配置即完成�����,已經(jīng)可以使用�����。當出現(xiàn)系統(tǒng)提示時��,將USB Key插入計算機上的�,然后在系統(tǒng)提示時輸入個人識別碼(PIN),經(jīng)FreeRADIUS服務(wù)器認證通過即可使用網(wǎng)絡(luò)����。可以看出使用USB Key方式來管理證書的時候���,在使用便捷性��,安全性上都有了進一步提尚��。因此����,我們首選USB KEY作為證書存儲介質(zhì)。處于應(yīng)用成本和操作方便等原因�,我們選擇了飛天誠信的ePasslOOO USB KEY。L 數(shù)據(jù)庫和 Fedora LinuxPostgreSQL按照BSD版權(quán)協(xié)議發(fā)布����,允許在商業(yè)和非商業(yè)應(yīng)用的兩種環(huán)境下均能享有自由取得而且不受限制的使用權(quán)。PostgreSQL具有高度擴展性���,且完全遵循國際 ISO-SQL規(guī)范的開發(fā)方向��。Fedora Linux由RedHat支持開發(fā)和發(fā)布,盡管!^edora發(fā)行版的目的用戶是桌
5面用戶��,但是由于Linux的特性�����,完全可以作為一般應(yīng)用和開發(fā)階段使用的服務(wù)器�。而且, Fedora是RedHat企業(yè)版服務(wù)器的前瞻版本�,里面集中了很多企業(yè)版本特性。認證需要解決的問題的基本思路EJBCA可以通過最少兩條途徑來間歇性的創(chuàng)建更新的CRL。(1) CRL更新服務(wù)程序在EJBCA中�,有一個定時服務(wù)程序框架。在web管理界面中��,選擇‘Edit Services' 并且添加一個服務(wù)���,編輯服務(wù)選擇‘CRL Updater'工作程序��,并且填上間隔運行時間����,然后設(shè)置這個服務(wù)為激活(Active)��。然后這個服務(wù)就會每隔一段時間運行一次����,根據(jù)每個子CA 產(chǎn)生CRL。(2)使用Cron定時作業(yè)Cron僅在類Unix系統(tǒng)中能夠使用��。把 ‘bin/ejbca. sh ca createcrl�,加入到 cron 的作業(yè)任務(wù)中,createcrl命令會檢查所有的有效子CA�,有需要就會去更新各自的CRL。如果要強制某一個CA的CRL更新��,可以使用‘bin/ejbca. sh ca createcrl caname,�。可參考 cron設(shè)置PATH=$PATH:/usr/local/java/binidaily cd /usr/local/ejbca; /usr/local/ejbca/ca. sh createcrl�����。
權(quán)利要求1.一種以USB KEY為證書介質(zhì)的內(nèi)外網(wǎng)接入認證系統(tǒng)���,其特征是包括裝有決定用戶證書產(chǎn)生�����、授權(quán)���、撤銷的CA軟件和認證用戶的RADIUS軟件的服務(wù)器,服務(wù)器通過網(wǎng)絡(luò)接入設(shè)備與客戶端連接��,客戶端計算機上插裝USB KEY�����,證書存儲于USB KEY中�����。
2.根據(jù)權(quán)利要求1所述的USBKEY為證書介質(zhì)的內(nèi)外網(wǎng)接入認證系統(tǒng)�,其特征是所述網(wǎng)絡(luò)接入設(shè)備為交換器、無線路由�、虛擬專用網(wǎng)絡(luò)。
專利摘要本實用新型公開了一種以USB KEY為證書介質(zhì)的內(nèi)外網(wǎng)接入認證系統(tǒng)����,包括裝有決定用戶證書產(chǎn)生、授權(quán)��、撤銷的CA軟件和認證用戶的RADIUS軟件的服務(wù)器��,RADIUS服務(wù)器軟件通過交換器���、無線路由�����、VPN等網(wǎng)絡(luò)接入設(shè)備與客戶端連接���,客戶端計算機上插裝USB KEY,證書存儲于USB KEY中�����。本實用新型成本較低,并且容易管理��、使用可靠�����、安全��。
文檔編號H04L9/32GK201976122SQ20112000362
公開日2011年9月14日 申請日期2011年1月7日 優(yōu)先權(quán)日2011年1月7日
發(fā)明者丁衛(wèi)澤, 倪朔東, 張晨, 曹利, 朱巧明, 朱敏峰, 楊凌風(fēng), 羅永平, 魏曉寧 申請人:朱敏峰, 楊凌風(fēng)