当前位置: 首页 > 专利查询>杨凌风专利>正文

以USB KEY为证书介质的内外网接入认证系统技术方案

技术编号:6456275 阅读:396 留言:0更新日期:2012-04-11 18:40
本实用新型专利技术公开了一种以USB?KEY为证书介质的内外网接入认证系统,包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,RADIUS服务器软件通过交换器、无线路由、VPN等网络接入设备与客户端连接,客户端计算机上插装USB?KEY,证书存储于USB?KEY中。本实用新型专利技术成本较低,并且容易管理、使用可靠、安全。(*该技术在2021年保护过期,可自由使用*)

【技术实现步骤摘要】

本技术涉及一种内外网接入认证系统。
技术介绍
随着网络技术的不断成熟以及网络应用的不断普及,现在各高校的网络除了要满足全校教职工的教学科研外,还要更多的面对学生群体。而随着网络用户数的急剧增加,网络的安全性问题日益突出。建立一个更加安全可行的、可运营、可管理的网络环境便摆在了面前。由于传统认证方式存在着不少的问题,许多的认证系统架设在主干出口处,这样就不可避免导致许多计算机在没有预先经过同意,对网络设备及资源进行非正常使用,也就是我们通常所说的非授权访问。而且传统的认证方式对校园网中用户数据包繁琐的处理也造成了网络传输瓶颈,如果通过增加其他网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。目前802. IX认证已经得到了非常广泛的应用,其部署难度小,并且通过对认证方式和认证体系结构进行优化,有效地解决了传统认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本。但在一般的应用中,我们都会使用EAP-MD5密码认证,这个方法把用户密码储存在数据库中,认证的时候进行最基本的对比即可完成认证。这个方法最简单,同时也是最脆弱的,潜在多种被攻击风险。并且,由于密码都由用户自己保存,带来的一个帐号被多人使用,用户密码被窃取等后果,给管理工作带来很大的不便。因此,在实际应用中,需要寻找更加适合的认证方式,尽最大可能保护账户安全。由于EAP-MD5存在身份密码泄露、中间人攻击等问题,需要使用更好的认证方式来取代。尽管实现EAP-TLS部署成本较高,仍然有很多基于PKI和Radius结合研究。
技术实现思路
技术的目的在于提供一种成本较低,并且容易管理、使用可靠、安全的以 USB KEY为证书介质的内外网接入认证系统。本技术的技术解决方案是一种以USB KEY为证书介质的内外网接入认证系统,其特征是包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。所述网络接入设备包括交换器、无线路由、虚拟专用网络(VPN)。本技术成本较低,并且容易管理、使用可靠、安全,并具有下列优点1、选择合适的CA证书管理系统,能够满足跨区域申请,管理和发放数字证书。同时,为了满足证书的高可靠性和不可复制性,证书在USB KEY硬件中存储和使用,针对客户端目标操作系统,使用恰当的证书存储方式。2、使用USB KEY为介质的证书认证方式,实现对各类有线、无线和拨号网络环境中,安全认证的应用。3、为实现后台统一认证,对于CA发布的证书必须使用统一的后台认证,为此,以 RADIUS为基础的证书认证方式(EAP-TLS),对CA发放和撤销的证书,使证书认证更加及时有效。4、选择适合RADIUS认证的硬件设备,并部署使用以RADIUS为统一认证后台的网络接入系统。以下结合附图和实施例对本技术作进一步说明。附图说明图1是本技术一个实施例的结构示意图。具体实施方式一种以USB KEY为证书介质的内外网接入认证系统,其特征是包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。所述网络接入设备包括交换器、无线路由、VPN。CA软件选择 EJBCA是一个完整功能的证书认证程序,完全用Java编写,使用J2EE (Java2 Enterprise Edition,Java2企业版)技术。它建造在J2EE平台之上,是一个开放的、健壮的、高性能的、平台独立的、灵活的和基于组件的CA,可以被单独使用或集成到其它J2EE应用程序中,并且它还提供了一个灵活强大的基于Web的用户图形界面。由于它实现了 PKI中的几乎所有重要的部件,比如RA(Registration Authority,注册中心)、CA(Certification Autohrity,认证中心)、CRL (Certification Remove List,证书撤销列表)和证书存储数据库等,因此得到了广泛的应用。EJBCA装配简单、灵活、易于管理,可以通过它建立的CA方便地管理网络的安全, EJBCA是一个很有价值的开源系统,因此在本系统中首选EJBCA作为CA服务器软件。版本选择FreeRADIUS是应用最广泛的RADIUS服务器,具有运行快速、可扩展性高、可配置性好的特点,支持的协议超过了大多数商业服务器,支持包括SQL、LDAP、RADIUS代理、负载均衡和几乎100家厂商的字典文件。FreeRADIUS 支持的数据库类型0racle、MySQL、PostgreSQL、Sybase、IBM DB2、MS SQLSERVER。FreeRADIUS支持的认证类型本地配置文件中的明文密码(PAP)、本地配置文件中的加密密码、CHAP、MS-CHAP、MS-CHAPv2、Windows域控制器认证、代理到其他RADIUS服务器、系统认证(通常通过/etc/passwd)、PAM(可插拔认证模块)、LDAP(只支持PAP)、CRAM、 SIP Digest (Cisco VoIP,SER)、Netscape_MTA_MD5 力口密的密码、Kerberos 认证、X9.9 认证环。EAP 的嵌入式认证方法EAP-MD5、CISC0 LEAP、EAP-MSCHAP-V2、EAP-GTC、EAP_SIM、EAP-TLS、EAP-TTLS、EAP-PEAP FreeRADIUS 2. 0以上版本修补了一些错误,选用这个高版本会对我们使用 EAP-TLS提供一些方便。协作FreeRADIUS EAP-TLS设计的目标是使用EJBCA软件和EAP-TLS进行协同工作,解决用户管理和认证的细节问题,证书核发和CRL的更新是两个软件合作的关键。需要做的工作主要有以下三个方面(1) CA软件的选择、部署和使用,进行证书管理;(2)安装FreeRADIUS,配置EAP-TLS,以使证书认证能够正常使用;(3) CA和FreeRADIUS的关联,CRL的实时产生和更新。EJBCA,这是CA的核心,所有的用户证书产生、授权和撤销都在这里决定。JBOSS则是EJBCA运行的平台,证书请求和发布都通过这个web服务器。对于关系最紧密的两个部分,EJBCA和FreeRADIUS,可以安装于同一服务器硬件, 也可以在不同的服务器硬件上。如果处于不同的服务器,那么,根证书、服务器证书和CRL 证书的安装可以通过移动介质进行,如U盘;也可通过网络获取,采用ftp等方式。通过网络传输的情况下,需要确保各种证书安全传输,特别是经常需要更新的CRL证书,在到达后, 可以使用根证书对CRL证书的有效性进行核实。使用USB Key硬件证书通过使用证书,可以解决密码被盗用的问题,但证书以文本方式存在仍然具有可复制性,在知道了证书的解密密码之后,同一证书还是可以被多人同时使用。怎么使得证书不具有复制功能呢?这就需要引入硬件,把证书保存在硬件中,这样就能保证证书的唯一性。USB Key带有智能卡芯片,完全支持智本文档来自技高网...

【技术保护点】
1.一种以USB KEY为证书介质的内外网接入认证系统,其特征是:包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。

【技术特征摘要】
1.一种以USB KEY为证书介质的内外网接入认证系统,其特征是包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客...

【专利技术属性】
技术研发人员:杨凌风朱敏峰朱巧明丁卫泽曹利魏晓宁罗永平张晨倪朔东
申请(专利权)人:杨凌风朱敏峰
类型:实用新型
国别省市:32

相关技术
    暂无相关专利
网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1