RADIUS结合PKI_CA认证方式的应用探究.docx

RAD IUS结合PKI/CA认证方式的应用探究刘国红 1 刘茜 2( 1. 广西壮族自治区信息产业局 ,广西南宁530022;2. 广西壮族自治区数字证书认证中心有限公司 ,广西南宁530022 )摘 要 : 研究了局域网中的内部安全隐患问题 ,通过对 RAD IU S认证技术 、PK I/CA 认证方式的介绍和阐述 ,分析两者在应用中的关联和单独解决当前问题上的不足 ,提出将两者有机结合 ,并对具 体实现方式进行了解析 。关键词 : RAD IU S认证 ; PK I/CA;数字证书 ;网络安全中图分类号 : TP309 文献标识码 : A 文章编号 : 1003 - 7551 ( 2006) 04 - 0020 - 03随着计算机网络的日益普及 ,使用者计算机水平的不断提高 ,网络安全 、访问控制的重点已不在如何抵御外围入侵 ,而是如何保障我们内部的数据安全 、如何限制内部人员的访问控制 。网络访问控制的方案研究近年 来也不断地完善 ,但是 ,访问控制不仅仅是抵御外围入侵 ,事实上 ,同时保障内部的有序访问才可以做到真正意 义上的网络安全访问控制 。1 局域网中存在的安全隐患与困境在局域网中 ,时常面临着安全保密和开放互联的矛盾 ,为工作方便 ,很多信息和资料需要工作的计算机连接到外网 ,以从互联网上寻找信息和发送信息 。但为了保密 ,防止内部工作资料外流 ,又不得不断开外网的连 接 。为解决内部数据保密和访问公众互联网的双重要求 ,普遍采用了加装隔离卡的安全控制模式 。这种模式 是在计算机上安装隔离卡 ,用户在访问内部和外部的数据时分别使用不同的硬盘 ,同时为解决内 、外数据的交流还设置了一种单向阀 ,即访问内部数据的同时可以访问外部数据硬盘 ,但访问外部数据时 ,不能读取内部数 据硬盘 ,这样控制内 、外数据隔离 ,是一种比较经济的模式 。只是在原有的一台计算机上多安装一块硬盘和一 个隔离卡 ,不须另购置一台计算机 。然而 ,这种模式中 ,存在人为更改硬盘设置和软件设置 ,把内 、外硬盘调换 ,或通过修改 IP 地址和 MAC 地 址等方式将内网的硬盘连接到外网 ,从而导致内网硬盘数据泄密或是内网硬盘受攻击等安全隐患 。这一问题是目前政府部门以及大型企业普遍面临的问题 ,如何才能很好地解决这类网络安全隐患呢 ?2 研究思路针对上述问题 ,考虑利用现有的身份认证技术 、协议和认证方式 ,对需访问外部网络的硬盘加一个标识和认证 ,只有通过认证的硬盘才能访问外部网络 ,从而防止用内部数据硬盘访问外部网络的可能 。所选用的认证 技术和方式必须具有这些功能 :可以物理隔离内 、外部数据硬盘 ;内外部硬盘不可交叉使用 ;非法用户不能使用任何内 、外部资源 。3 相关认证技术 、协议和认证方式身份认证是实现网络安全访问控制的重要机制之一 。在网络安全通信中 ,涉及的通信各方必须通过某种形式的身份验证机制来证明他们的身份 ,验证用户的身份与被授权的是否一致 。常用的身份认证机制较多 ,如RAD IU S认证 , Ke rbe ro s认证 , PK I/CA 认证方式和 Cha llenge /R e spon se认证机制 。配置 RAD IU S认证服务器必须启用 802. 1 x协议 ,同时需要相应的设备支持 802. 1 x协议 。通常 , RAD IU S3收稿日期 : 2006 - 09 - 1520第 4期RAD IU S结合 PK I/CA 认证方式的应用探究协议使用行业标准的 EA P协议来要求终端用户向网络访问服务器提供自己的证书 ,当 EA P采用 PK I/CA 认证方式时 ,可做到更强一级的安全访问控制 。3. 1 802. 1 x认证协议802. 1 x协议是基于 C lien t / Se rve r的访问控制和认证协议 。它可以限制未经授权的用户 /设备通过接入端 口访问 LAN /MAN。在获得交换机或 LAN 提供的各种业务之前 , 802. 1 x对连接到交换机端口上的用户 /设备 进行认证 。在认证通过之前 , 802. 1 x只允许 EA PoL (基于局域网的扩展认证协议 )数据通过设备连接的交换机 端口 ;认证通过以后 ,正常的数据可以顺利地通过以太网端口 。基于 802. 1 x协议的网络访问技术的核心部分是 PA E (端口访问实体 ) 。在访问控制流程中 ,端口访问实 体包含 3部分 :请求者 被认证的用户 /设备 ; 认证者 对接入的用户 /设备进行认证的端口 ; 认证服务 器 根据认证者的信息 ,对请求访问网络资源的用户 /设备进行实际认证功能的设备 ,常用 RAD IU S服务器 来实现认证服务器的认证和授权功能 。认证服务器每个物理端口内部包含有受控端口和非受控端口 。物理端 口收到的每个帧都被送到受控和不受控端口 。对受控端口的访问 ,受限于受控端口的授权状态 。认证者的PA E根据认证服务器认证过程的结果 ,控制“受控端口 ”的授权 /未授权状态 。处在未授权状态的控制端口将 拒绝用户 /设备的访问 。3. 2 RAD IU S认证协议RAD IU S是基于 AAA (A u then tica tion、A u tho riza tion、A ccoun ting,认证 、授权 、记账 ) 架构的 ,是用于认证远程 用户的非常流行的 c lien t / se rve r方法 。RAD IU S通过建立一个唯一的用户数据库存储用户名用户的密码来进行验证 ;存储传递给用户的服务类型以及相应的配置信息来完成授权 。RAD IU S协议可使用行业标准的 EA P协议来要求终端用户向网络访问服务器 (NA S, N e two rk A cce ss Se rv2 e r)提供自己的证书 。NA S实际上是 RAD IU S服务器的一个客户端 。 RAD IU S服务器控制用户对 NA S服务的 访问 ,负责接收终端用户的请求 、认证用户 , 并向 NA S提供认证结果 , 以便 NA S可 以决 定 要不 要提 供 服务 。 RAD IU S可以使用多个数据库管理系统和目录协议 ,来控制网络用户及其权限的列表 。这种认证方法可以提供一种安全的集中的控制对网络资源的访问权的方法 。扩展身份验证协议 ( EA P, Exten sib le A u then tica tion P ro2 toco l)被用于客户接入点执行认证过程 。用户请求访问时 , EA P会向用户要求身份认证 ,并把认证消息传递给 像 RAD IU S这样的认证服务器 。 EA P很容易部署 ,因为它可以和像 RAD IU S这样的后台认证服务器一起使用 , 并可以支持像 Ke rbe ro s、PK I等多种认证方法 。在 RAD IU S方法中 ,需要一个用户数据库来保存用户的认证信息 ,用户是可移动的 ,即用户只要有正确的 用户名和密码 ,就可在不同的计算机设备上通过认证 ,与硬件是无关的 。3. 3 PK I/CA 认证方式PK I( Pub lic Key Infra struc tu re,公开密钥基础设施 )是在公开密钥理论和技术基础上发展起来的一种综合 安全平台 ,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理 ,从而达 到保证网上传递信息的安全 、真实 、完整和不可抵赖的目的 。利用 PK I可以方便地建立和维护一个可信的网络 计算环境 ,从而使得人们在这个无法直接相互面对的环境里 ,能够确认彼此的身份和所交换的信息 ,能够安全地从事商务活动 。在 PK I体系中 , CA ( Ce rtifica te A u tho rity,认证授权 )和数字证书是密不可分的两个部分 。认证中心又叫 CA 中心 ,它是负责产生 、分配并管理数字证书的可信赖的第三方权威机构 。认证中心是 PK I安全体系的核心环 节 ,因此又称作 PK I/CA。目前 , PK I/CA 被证明是基于 In te rne t的安全身份认证方式 。这是因为 ,在具体应用 中 ,客户和服务器各自从 CA 获取证明 ,并且信任该 CA 中心 ;在会话和通讯时首先交换身份证明 ,其中包含了将各自的公钥交给对方 ,然后才使用对方的公钥验证对方的数字签名 、交换通讯的加密密钥等 ; 在确定是否接 受对方的身份证明时 ,还需检查有关服务器 ,以确认该证明是否有效 ,从而多重保证了网络应用中的身份认证 安全 。在 PK I/CA 认证中 ,需要在客户端的计算机设备上安装一个认证证书 ,在特殊情况下可设置为不可转移 的 ,即在其他计算机上用同样的用户去申请认证是不能通过的 。这样可以保证数字证书持有者即使在密码被21广西物理GUAN GX IWUL I第 27卷第 4 期Vo l. 27 No. 42006盗的情况下也不会被盗用用户的信息和资料 。 PK I/CA 认证是可以设置为与硬件相关的 。4 解决方法分析如果单独采用 RAD IU S认证方式来实现 ,其认证通过判断用户名和密码来实现 ,而用户名和密码均由用户自己保管 ,如果用户本人想要违反规定 ,他将可以采用多种方式 (如调换网线 、调换硬盘等 )来利用内网硬盘上 外网 。如果单独采用 PK I/CA 认证方式 ,可以很好的实现身份识别 ,可以向服务器证明用户身份 ,甚至计算机身 份 ,但是仅仅采用 PK I/CA 技术 ,又无法实现内外网的访问权限控制 。在加装隔离卡的基础上采用 RAD IU S认证和 PK I/CA 认证技术相结合的方式较好地解决了隔离 、授权和控制的问题 。隔离卡在物理上保证了内 、外部硬盘的隔离 , PK I/CA 认证解决了内外部硬盘的识别 ,使内 、外部 硬盘不能互换 , RAD IU S协议解决访问授权的问题 ,可以有效地解决上述内部安全隐患 。当然 ,数字证书必须 要安装在本地硬盘 ,并且设置不可导出状态才可以彻底解决人为破坏的问题 。5 RAD IU S认证和 PK I/CA 认证方式相结合的实现方式为了实现客户机使用 RAD IU S认证技术进行身份验证 ,需要在客户机和 IA S服务器上安装数字证书 。首先 ,客户机上的用户证书用于获取与域的网络连接性 。建立网络连接后 ,在用户登录时 ,将使用用户证书对访 问进行身份验证 。然后 ,在 IA S服务器上安装一个服务器证书 ,这样 IA S服务器就可以在 EA P2TL S身份验证过 程中向客户机发送一个证书以用于相互身份验证 。如下图所示 :在实现过程中 ,需要配置指定根证书颁发机构 ( CA )来颁发服务器证书和用户证书 。如果在客户机和 IA S 服务器上安装服务器证书或用户证书 ,还需同时安装颁发 CA 的根 CA 证书 ,使客户 端和 IA S服务器都具有执行 EA P2TL S身份验证所必需的证书 ,在客户端安装证书时 ,我们只在需要作限制的 外网硬盘上存放不可导出的数字证书 ,内网硬盘上不存放 。那么 ,在服务器端以及传输过程中 ,在建立访问连 接时 ,服务器端需要验证客户端的数字证书 ,若内部人员使用内网硬盘上外网 ,则会出现不可连接的情况 。6 结束语这种 RAD IU S认证和 PK I/CA 认证技术相结合的技术手段和方式能从客观上有效地防止和杜绝用户非法操作可能造成的内网硬盘内容泄密或遭遇攻击破坏的威胁 。本文的研究为政府机关和企事业单位网络安全系 统的设计 、实施提供了参考和选择 ,具有一定的理论价值和实际应用意义 。参考文献 1 张旭 ,鹿凯宁 . 基于 8