使用USBKey提高FreeRadius证书认证的安全性.pdfVIP

2 杨凌凤L 摘要：文章结合USBKey，x．509，0penCA技术的研究，提出了一种用USBKey实现FreeEadiusEAP—TLS证书管理和认证的方法， 明显提高了FreeR,adius身份认证的安全性和可管理性。 关键词：usbkey；x．509；freeradius；eap--tls；openca enhanced USBKey FreeRadiusEAP-TLSAuthentication YANG Ling-feng‘，2 and 《|．COlllpUtOlScienceTochnology＆锄。Sooc／矽wUNversity,215000,P．跫．China； 2．Modern Edicationa／Technologycent陀．Nantong Unive／蛳gy,226000,P．1e．Ch／na) with and amethodtoenhanceFreeP=adiusEAP-TLS methodcan Abstract：Ba8酣onanalysisUSBKey0penCA．explains authentication．This userauthentication enhance improve security，andmanagementconveniency． words：usbkey；×．509；freeradius；eap--tls；openca Key 常规使用环境下，FreeRadius一需要有以下几个部分：OpenCA、 般使用用户名和密码来进行用户认 定的协议，提供VPN，路由器、交 FreeRadius、USBKey、客户端程序。 证，为了方便，批量生成账户时，用 1．1 OpenCA 换机之间的通讯，如何传送请求和认 户初始密码一般都设置成某个特定的 OpenCA是一个开源项目，用 值。这样就带来了一些问题：用户密 于构建一个功能强大的CA系统。 建立的基础，而数据库存储用户的必 OpenCA是构架在多项开源项目上， 码丢失、账号被盗用、密码被他人修 要资料，如证书签署的请求、认证、 可同时使用OpenLDAP、OpenSSL、 改导致无法认证、一个账号被多人使 证书的撤销和CRL。 EAP—TLS 用等等，给管理工作带来了极大的麻 ApacheProjoct、Apachemod_ssl、1．2FreeRadius 烦，我们需要一个替代方案来改善用 MySQL来实现一个完整的CA认证 户认证的安全性和可管理性。 系统。 的radius服务器，配置使用比较简 使用证书来代替密码， OpenCA最初的设计主要包含3单，支持多种认证方式，扩展性很高。 FreeRadius 部分：(1)以Perl为主的网页介面，EAP-TLS既提供认证，又提供动态 EAP—TLS的认证方 法可以满足我们简化用户管理的需 (2)以OpenSSL为后端的密码技术I会话钥匙分发。EAP-TLS认证机制 求，用户账号不再跟密码关联，这就 (3