CN201976122U - 以usb key为证书介质的内外网接入认证*** - Google Patents
以usb key为证书介质的内外网接入认证*** Download PDFInfo
- Publication number
- CN201976122U CN201976122U CN2011200036221U CN201120003622U CN201976122U CN 201976122 U CN201976122 U CN 201976122U CN 2011200036221 U CN2011200036221 U CN 2011200036221U CN 201120003622 U CN201120003622 U CN 201120003622U CN 201976122 U CN201976122 U CN 201976122U
- Authority
- CN
- China
- Prior art keywords
- certificate
- usb key
- network access
- key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本实用新型公开了一种以USB KEY为证书介质的内外网接入认证***,包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,RADIUS服务器软件通过交换器、无线路由、VPN等网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。本实用新型成本较低,并且容易管理、使用可靠、安全。
Description
技术领域
本实用新型涉及一种内外网接入认证***。
背景技术
随着网络技术的不断成熟以及网络应用的不断普及,现在各高校的网络除了要满足全校教职工的教学科研外,还要更多的面对学生群体。而随着网络用户数的急剧增加,网络的安全性问题日益突出。建立一个更加安全可行的、可运营、可管理的网络环境便摆在了面前。
由于传统认证方式存在着不少的问题,许多的认证***架设在主干出口处,这样就不可避免导致许多计算机在没有预先经过同意,对网络设备及资源进行非正常使用,也就是我们通常所说的非授权访问。而且传统的认证方式对校园网中用户数据包繁琐的处理也造成了网络传输瓶颈,如果通过增加其他网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。
目前802.1X认证已经得到了非常广泛的应用,其部署难度小,并且通过对认证方式和认证体系结构进行优化,有效地解决了传统认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本。
但在一般的应用中,我们都会使用EAP-MD5密码认证,这个方法把用户密码储存在数据库中,认证的时候进行最基本的对比即可完成认证。这个方法最简单,同时也是最脆弱的,潜在多种被攻击风险。并且,由于密码都由用户自己保存,带来的一个帐号被多人使用,用户密码被窃取等后果,给管理工作带来很大的不便。因此,在实际应用中,需要寻找更加适合的认证方式,尽最大可能保护账户安全。
由于EAP-MD5存在身份密码泄露、中间人攻击等问题,需要使用更好的认证方式来取代。尽管实现EAP-TLS部署成本较高,仍然有很多基于PKI和Radius结合研究。
发明内容
本实用新型的目的在于提供一种成本较低,并且容易管理、使用可靠、安全的以USB KEY为证书介质的内外网接入认证***。
本实用新型的技术解决方案是:
一种以USB KEY为证书介质的内外网接入认证***,其特征是:包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。
所述网络接入设备包括交换器、无线路由、虚拟专用网络(VPN)。
本实用新型成本较低,并且容易管理、使用可靠、安全,并具有下列优点:
1、选择合适的CA证书管理***,能够满足跨区域申请,管理和发放数字证书。同时,为了满足证书的高可靠性和不可复制性,证书在USB KEY硬件中存储和使用,针对客户端目标操作***,使用恰当的证书存储方式。
2、使用USB KEY为介质的证书认证方式,实现对各类有线、无线和拨号网络环境中,安全认证的应用。
3、为实现后台统一认证,对于CA发布的证书必须使用统一的后台认证,为此,以RADIUS为基础的证书认证方式(EAP-TLS),对CA发放和撤销的证书,使证书认证更加及时有效。
4、选择适合RADIUS认证的硬件设备,并部署使用以RADIUS为统一认证后台的网络接入***。
附图说明
下面结合附图和实施例对本实用新型作进一步说明。
图1是本实用新型一个实施例的结构示意图。
具体实施方式
一种以USB KEY为证书介质的内外网接入认证***,其特征是:包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。
所述网络接入设备包括交换器、无线路由、VPN。
CA软件选择
EJBCA是一个完整功能的证书认证程序,完全用Java编写,使用J2EE(Java2 Enterprise Edition,Java2企业版)技术。它建造在J2EE平台之上,是一个开放的、健壮的、高性能的、平***立的、灵活的和基于组件的CA,可以被单独使用或集成到其它J2EE应用程序中,并且它还提供了一个灵活强大的基于Web的用户图形界面。由于它实现了PKI中的几乎所有重要的部件,比如RA(Registration Authority,注册中心)、CA(Certification Autohrity,认证中心)、CRL(Certification Remove List,证书撤销列表)和证书存储数据库等,因此得到了广泛的应用。
EJBCA装配简单、灵活、易于管理,可以通过它建立的CA方便地管理网络的安全,EJBCA是一个很有价值的开源***,因此在本***中首选EJBCA作为CA服务器软件。
版本选择
FreeRADIUS是应用最广泛的RADIUS服务器,具有运行快速、可扩展性高、可配置性好的特点,支持的协议超过了大多数商业服务器,支持包括SQL、LDAP、RADIUS代理、负载均衡和几乎100家厂商的字典文件。
FreeRADIUS支持的数据库类型:Oracle、MySQL、PostgreSQL、Sybase、IBM DB2、MS SQLSERVER。
FreeRADIUS支持的认证类型:本地配置文件中的明文密码(PAP)、本地配置文件中的加密密码、CHAP、MS-CHAP、MS-CHAPv2、Windows域控制器认证、代理到其他RADIUS服务器、***认证(通常通过/etc/passwd)、PAM(可插拔认证模块)、LDAP(只支持PAP)、CRAM、SIP Digest(Cisco VoIP,SER)、Netscape-MTA-MD5加密的密码、Kerberos 认证、X9.9认证环。
EAP的嵌入式认证方法:EAP-MD5、CISCO LEAP、EAP-MSCHAP-V2、EAP-GTC、EAP-SIM、EAP-TLS、EAP-TTLS、EAP-PEAP。
FreeRADIUS 2.0以上版本修补了一些错误,选用这个高版本会对我们使用EAP-TLS提供一些方便。
协作
FreeRADIUS EAP-TLS设计的目标是使用EJBCA软件和EAP-TLS进行协同工作,解决用户管理和认证的细节问题,证书核发和CRL的更新是两个软件合作的关键。
需要做的工作主要有以下三个方面
(1) CA软件的选择、部署和使用,进行证书管理;
(2) 安装FreeRADIUS,配置EAP-TLS,以使证书认证能够正常使用;
(3) CA和FreeRADIUS的关联,CRL的实时产生和更新。
EJBCA,这是CA的核心,所有的用户证书产生、授权和撤销都在这里决定。JBOSS则是EJBCA运行的平台,证书请求和发布都通过这个web服务器。
对于关系最紧密的两个部分,EJBCA和FreeRADIUS,可以安装于同一服务器硬件,也可以在不同的服务器硬件上。如果处于不同的服务器,那么,根证书、服务器证书和CRL证书的安装可以通过移动介质进行,如U盘;也可通过网络获取,采用ftp等方式。通过网络传输的情况下,需要确保各种证书安全传输,特别是经常需要更新的CRL证书,在到达后,可以使用根证书对CRL证书的有效性进行核实。
使用USB Key硬件证书
通过使用证书,可以解决密码被盗用的问题,但证书以文本方式存在仍然具有可复制性,在知道了证书的解密密码之后,同一证书还是可以被多人同时使用。怎么使得证书不具有复制功能呢?这就需要引入硬件,把证书保存在硬件中,这样就能保证证书的唯一性。
USB Key带有智能卡芯片,完全支持智能卡的所有功能,如数字签名功能,而且还将智能卡和读卡器的功能合二为一,用户使用时只要通过计算机的USB端口即可实现即插即用的安全认证服务。
在EAP-TLS认证设置方面,没有任何需要特别改动的地方。在有线网络链接的属性中,认证方式选择使用IEEE 802.1X认证。无线网络则选择认证方式则选择WPA,此时认证选项中IEEE 802.1X为必选。在EAP类型中选择智能卡或者证书,进一步选择使用智能卡。至此,客户端配置即完成,已经可以使用。当出现***提示时,将USB Key***计算机上的,然后在***提示时输入个人识别码 (PIN),经FreeRADIUS服务器认证通过即可使用网络。可以看出使用USB Key方式来管理证书的时候,在使用便捷性,安全性上都有了进一步提高。
因此,我们首选USB KEY作为证书存储介质。处于应用成本和操作方便等原因,我们选择了飞天诚信的ePass1000 USB KEY。
L数据库和Fedora Linux
PostgreSQL按照BSD版权协议发布,允许在商业和非商业应用的两种环境下均能享有自由取得而且不受限制的使用权。PostgreSQL具有高度扩展性,且完全遵循国际ISO-SQL 规范的开发方向。
Fedora Linux由RedHat支持开发和发布,尽管Fedora发行版的目的用户是桌面用户,但是由于Linux的特性,完全可以作为一般应用和开发阶段使用的服务器。而且,Fedora是RedHat企业版服务器的前瞻版本,里面集中了很多企业版本特性。认证需要解决的问题
的基本思路
EJBCA可以通过最少两条途径来间歇性的创建更新的CRL。
(1) CRL更新服务程序
在EJBCA中,有一个定时服务程序框架。在web管理界面中,选择‘Edit Services’并且添加一个服务,编辑服务选择‘CRL Updater’工作程序,并且填上间隔运行时间,然后设置这个服务为激活(Active)。然后这个服务就会每隔一段时间运行一次,根据每个子CA产生CRL。
(2) 使用Cron定时作业
Cron仅在类Unix***中能够使用。把‘bin/ejbca.sh ca createcrl’加入到cron的作业任务中,createcrl命令会检查所有的有效子CA,有需要就会去更新各自的CRL。如果要强制某一个CA的CRL更新,可以使用‘bin/ejbca.sh ca createcrl caname’。可参考cron设置:
PATH=$PATH:/usr/local/java/bin
@daily cd /usr/local/ejbca; /usr/local/ejbca/ca.sh createcrl。
Claims (2)
1.一种以USB KEY为证书介质的内外网接入认证***,其特征是:包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器,服务器通过网络接入设备与客户端连接,客户端计算机上插装USB KEY,证书存储于USB KEY中。
2.根据权利要求1所述的USB KEY为证书介质的内外网接入认证***,其特征是:所述网络接入设备为交换器、无线路由、虚拟专用网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011200036221U CN201976122U (zh) | 2011-01-07 | 2011-01-07 | 以usb key为证书介质的内外网接入认证*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011200036221U CN201976122U (zh) | 2011-01-07 | 2011-01-07 | 以usb key为证书介质的内外网接入认证*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN201976122U true CN201976122U (zh) | 2011-09-14 |
Family
ID=44581221
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011200036221U Expired - Fee Related CN201976122U (zh) | 2011-01-07 | 2011-01-07 | 以usb key为证书介质的内外网接入认证*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN201976122U (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102663309A (zh) * | 2012-05-11 | 2012-09-12 | 辽宁省电力有限公司盘锦供电公司 | 计算机设备使用USB Key认证的方法 |
CN106027535A (zh) * | 2016-05-26 | 2016-10-12 | 湖南洋达信息科技有限公司 | 校园网安全认证***及方法 |
CN107294952A (zh) * | 2017-05-18 | 2017-10-24 | 四川新网银行股份有限公司 | 一种实现零终端网络准入的方法及*** |
CN112182627A (zh) * | 2020-10-27 | 2021-01-05 | 杭州云链趣链数字科技有限公司 | 基于移动设备的区块链数字证书管理方法和*** |
CN112512047A (zh) * | 2020-11-19 | 2021-03-16 | 四川省肿瘤医院 | 一种无线网络安全认证的检测方法 |
-
2011
- 2011-01-07 CN CN2011200036221U patent/CN201976122U/zh not_active Expired - Fee Related
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102663309A (zh) * | 2012-05-11 | 2012-09-12 | 辽宁省电力有限公司盘锦供电公司 | 计算机设备使用USB Key认证的方法 |
CN106027535A (zh) * | 2016-05-26 | 2016-10-12 | 湖南洋达信息科技有限公司 | 校园网安全认证***及方法 |
CN107294952A (zh) * | 2017-05-18 | 2017-10-24 | 四川新网银行股份有限公司 | 一种实现零终端网络准入的方法及*** |
CN112182627A (zh) * | 2020-10-27 | 2021-01-05 | 杭州云链趣链数字科技有限公司 | 基于移动设备的区块链数字证书管理方法和*** |
CN112512047A (zh) * | 2020-11-19 | 2021-03-16 | 四川省肿瘤医院 | 一种无线网络安全认证的检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109936569B (zh) | 一种基于以太坊区块链的去中心化数字身份登录管理*** | |
Todorov | Mechanics of user identification and authentication: Fundamentals of identity management | |
CN107239688B (zh) | Docker镜像仓库的权限认证方法和*** | |
US9325698B2 (en) | Method and apparatus for on-site authorisation | |
US8973122B2 (en) | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method | |
CN109257209A (zh) | 一种数据中心服务器集中管理***及方法 | |
US10305887B2 (en) | Method and system for hand held terminal security | |
CN109981561A (zh) | 单体架构***迁移到微服务架构的用户认证方法 | |
US20070089163A1 (en) | System and method for controlling security of a remote network power device | |
CN110535851A (zh) | 一种基于oauth2协议的用户认证*** | |
CN201976122U (zh) | 以usb key为证书介质的内外网接入认证*** | |
CN108964885A (zh) | 鉴权方法、装置、***和存储介质 | |
CN102571766A (zh) | 注册和网络接入控制 | |
CN103152179A (zh) | 一种适用于多应用***的统一身份认证方法 | |
WO2014048769A1 (en) | Single sign-on method, proxy server and system | |
CN109587100A (zh) | 一种云计算平台用户认证处理方法及*** | |
CN108965342A (zh) | 数据请求方访问数据源的鉴权方法及*** | |
CN102404112A (zh) | 一种可信终端接入认证方法 | |
CN201491033U (zh) | 一种业务***的统一认证平台 | |
CN1738241A (zh) | 基于远程分布式组件的身份认证的安全控制方法 | |
CN109450925A (zh) | 用于电力二次***运维的用户权限验证方法、装置及电子设备 | |
CN109587098A (zh) | 一种认证***和方法、授权服务器 | |
WO2020168586A1 (zh) | 基于区块链和dnssec的用户认证方法、***、设备及介质 | |
Raj | Certificate based hybrid authentication for bring your own device (BYOD) in Wi-Fi enabled environment | |
CN105959286A (zh) | 基于证书密钥缓存的快速身份认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110914 Termination date: 20140107 |