CN112512047B

CN112512047B - 一种无线网络安全认证的检测方法

Info

Publication number: CN112512047B
Application number: CN202011300197.2A
Authority: CN
Inventors: 焦勇; 冯丽娟; 梁月
Original assignee: Sichuan Cancer Hospital
Current assignee: Sichuan Cancer Hospital
Priority date: 2020-11-19
Filing date: 2020-11-19
Publication date: 2022-06-10
Anticipated expiration: 2040-11-19
Also published as: CN112512047A

Abstract

本发明涉及一种无线网络安全认证的检测方法，包括以下步骤：搭建FreeRadius仿真环境，搭建的FreeRadius仿真环境包括FreeRadius服务器、无线路由器或无线AP、数字证书系统服务器、客户端；调整FreeRadius仿真环境中不同信任体系的数字证书认证配置；调整FreeRadius仿真环境中在线证书查询协议配置；调整客户端数字证书配置。本方案通过仿真实现检测了不同信任体系的数字证书能够通过FreeRadius的EAP‑TLS认证连接无线网络，同时也检测了FreeRadius支持在线证书状态查询协议，能够实时查询客户端数字证书状态，并及时阻断已吊销的客户端数字证书。

Description

一种无线网络安全认证的检测方法

技术领域

本发明涉及网络安全技术领域，特别涉及一种无线网络安全认证的检测方法。

背景技术

随着互联网信息技术的发展，人们的生产活动已经很难独立于互联网进行开展，目前互联网的接入方式主要包括有线接入和无线接入两个部分。随着移动智能化的发展，智能设备接入互联网均采用无线接入的方式，但是现在的无线认证方式基本采用密码认证的形式，该认证方式非常容易导致无线认证密码泄露，可能会给无线接入智能设备带来不可控制的信息泄露风险。通过研究认证模式发现，Radius服务器提供一种基于数字证书认证的认证模式，能够避免无线接入采用密码形式带来的一系列风险。

FreeRadius是来自开放源码社区的一种强大的部署于Linux上的Radius服务器，多用于账户认证管理，比较常见的是通过账号+口令的方式进行认证。针对无线网络安全认证，虽然账号+口令的方式比仅使用口令的方式安全性有所提升，但是使用账号+口令的方式依然存在被破解的风险。为了避免账号+口令的风险，FreeRadius提供了EAP-TLS认证方式，即基于数字证书的方式进行认证。

通过查阅相关文献，已经有相关专业学者对FreeRadius的EAP-TLS认证安装配置以及相关的认证业务逻辑等进行了详尽的说明，但由于在实际生产活动中，数字证书颁发机构常常不是同一家机构，则会导致不同客户端拥有的数字证书信任体系往往不同，亟需实现不同信任体系的数字证书能够通过一套FreeRadius的EAP-TLS进行认证。

同时，为了无线网络的安全性需要FreeRadius能够实时查询数字证书的吊销状态，以便能够及时阻断已经被吊销的数字证书认证，相关专业学者验证了FreeRadius能够支持数字证书吊销列表（CRL）来验证数字证书的吊销状态，但是生产活动中的数字证书厂家的CRL生产周期基本无法做到实时性，则会导致此种方式无法实时验证数字证书的吊销状态。

发明内容

本发明的目的在于检测FreeRadius的EAP-TLS认证是否支持不同信任体系数字证书认证，以及检测是否可以在线查询数字证书的吊销状态，提供一种无线网络安全认证的检测方法。

为了实现上述发明目的，本发明实施例提供了以下技术方案：

一种无线网络安全认证的检测方法，包括以下步骤：

搭建FreeRadius仿真环境，搭建的FreeRadius仿真环境包括FreeRadius服务器、无线路由器或无线AP、数字证书系统服务器、客户端；

调整FreeRadius仿真环境中不同信任体系的数字证书认证配置；

调整FreeRadius仿真环境中在线证书查询协议配置；

调整客户端数字证书配置。

更进一步地，所述搭建FreeRadius仿真环境的步骤，包括：

搭建FreeRadius服务器，部署FreeRadius软件；

搭建无线路由器或无线AP，连接FreeRadius服务器进行无线认证；

搭建数字证书系统服务器，部署数字证书系统和OCSP系统；

搭建客户端，安装客户端数字证书以及验证客户端数字证书连接无线网络。

更进一步地，所述调整FreeRadius仿真环境中不同信任体系的数字证书认证配置的步骤，包括：

调整EAP.conf文件中的ca_file配置项中的数字证书内容，所述ca_file配置项用于指定一个或多个证书机构颁发的客户端证书应该被信任；

在所述ca_file配置项中制作信任根证书列表文件mid.pem。

更进一步地，所述在所述ca_file配置项中制作信任根证书列表文件mid.pem的步骤，包括：

导出不同信任体系证书链中的所有中级证书；

通过openssl命令将导出的中级证书转换为pem格式；

使用cat命令将pem格式的中级证书进行合并，形成该信任体系的数字证书；

将不同信任体系的数字证书进行合并，形成EAP.conf文件中的信任根证书列表文件mid.pem。

更进一步地，所述调整FreeRadius仿真环境中在线证书查询协议配置的步骤，包括：

将EAP.conf文件中的enable配置为yes，启用OCSP验证；

将EAP.conf文件中的override_cert_url配置为no，FreeRadius软件从客户端证书获取OCSP相应地址，到该地址获取数字证书状态，以在线查询证书。

更进一步地，所述调整客户端数字证书配置的步骤，包括：

安装客户端数字证书时指定其相关扩展用法，所述扩展用法包括：

Netscape Cert Type：SSL客户端身份验证、SMIME、SMIME CA (a2)；

增强型秘钥用法：客户端身份验证、安全电子邮件；

授权信息访问：证书颁发机构颁发者（Authority Info Access Method）、Alternative Name: URL=http://，其中Authority Name值为OCSP响应URL，通过该URL能够以在线证书查询协议获取数字证书状态。

与现有技术相比，本发明的有益效果：

FreeRadius作为开源的认证服务器软件广泛应用于各种认证场景，但现有文献或网络资源中并未对不同信任体系数字证书认证进行说明，本方案通过仿真实现检测了不同信任体系的数字证书能够通过FreeRadius的EAP-TLS认证连接无线网络，同时也检测了FreeRadius支持在线证书状态查询协议，能够实时查询客户端数字证书状态，并及时阻断已吊销的客户端数字证书。万物互联的前提是万物网络接入，通过数字证书接入能够避免出现非法入侵网络导致接入设备信息泄露的风险，本检测方法为不同信任体系数字证书接入无线网络提供了示范。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例检测方法流程图；

图2（a）为本发明实施例“Netscape Cert Type”扩展用法界面示意图；

图2（b）为本发明实施例“增强型秘钥用法”扩展用法界面示意图；

图2（c）为本发明实施例“授权信息访问”扩展用法界面示意图；

图3为本发明实施例“认证服务器规则配置”界面示意图；

图4为本发明实施例正常访问无线网络界面示意图；

图5为本发明实施例数字证书签发示意图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性，或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

名词解释：

数字证书：数字证书信任体系按照证书链逐级信任，根证书是信任的源点，根证书由自己签发，即颁发者和所有者都是根证书自己。如图5所示，中级证书由根证书签发，用户证书由中级证书签发。从根证书到用户证书通过签发证书构成一条证书链，在验证证书有效性时需要对证书链进行验证。

数字证书格式：在FreeRadius的EAP-TLS配置中使用的数字证书格式，如pem格式，通过openssl对pfx、cer等数字证书进行格式转换。

在线证书状态协议（OCSP，Online Certificate Status Protocol）：是维护FreeRadius服务器和其他网络资源安全性的两种普遍模式之一，另一种更早期的方法即为证书吊销列表（CRL），OCSP克服了CRL必须定时在客户端下载以确保吊销列表更新的主要缺陷。当用户试图访问一个FreeRadius服务器时，OCSP发送一个对于证书状态信息的请求，FreeRadius服务器回复一个“有效”、“过期”或“未知”的响应，协议规定了服务器和客户端应用程序的通讯语法。

本发明通过下述技术方案实现，如图1所示，一种无线网络安全认证的检测方法，包括以下步骤：

步骤S1：搭建FreeRadius仿真环境，搭建的FreeRadius仿真环境包括FreeRadius服务器、无线路由器或无线AP、数字证书系统服务器、客户端。

具体来说，搭建FreeRadius服务器，用于部署FreeRadius软件；搭建无线路由器或无线AP，用于搭建无线网络，连接FreeRadius服务器进行无线认证；搭建数字证书系统服务器，用于部署数字证书系统和OCSP系统；搭建客户端，安装客户端数字证书以及验证客户端数字证书连接无线网络。

步骤S2：调整FreeRadius仿真环境中不同信任体系的数字证书认证配置，以适配多信任体系数字证书。

关于FreeRadius软件安装及FreeRadius的EAP-TLS配置内容可参考已有的文献说明，经过多次验证，通过调整可信任证书的配置内容，能够实现不同信任体系的数字证书在一套FreeRadius的认证。

调整EAP.conf文件中的ca_file配置项中的数字证书内容，所述ca_file配置项用于指定一个或多个证书机构颁发的客户端证书应该被信任，比如：

ca_file=${cadir}/mid.pem

针对该配置项，官方的注释说明如下：

# Trusted Root CA list.

# ALL of the CA's in this list will be trusted to issue clientcertificates for authentication.

# In general, you should use self-signed certificates for 802.1x(EAP) authentication.

# In that case, this CA file should contain *one* CA certificate.

但是在该注释中并未说明如何制作该配置文件所需的信任根证书列表文件，因此需要在所述ca_file配置项中制作信任根证书列表文件mid.pem，制作mid.pem证书文件的步骤为：

①导出不同信任体系证书链中的所有中级证书，如root1.cer、mid1.cer、root2.cer、mid2.cer；

②通过openssl命令将导出的中级证书转换为pem格式，如root1.pem、mid1.pem、root2.pem、mid2.pem，命令格式为：openssl x509 -inform der -in root1.cer -outroot1.pem；

③使用cat命令将pem格式的中级证书进行合并，形成该信任体系的数字证书，此处需要注意的是将上一级证书加入到下一级证书文件中，如cat root1.pem >> mid1.pem，cat root2.pem >> mid2.pem；

④将不同信任体系的数字证书进行合并，如cat mid1.pem >>mid2.pem，mid2.pem，即形成EAP.conf文件中的信任根证书列表文件mid.pem。

步骤S3：调整FreeRadius仿真环境中在线证书查询协议配置，以启用在线证书状态查询功能。

将EAP.conf文件中的enable配置为yes，启用OCSP验证；将EAP.conf文件中的override_cert_url配置为no，FreeRadius软件从客户端证书获取OCSP相应地址，到该地址获取数字证书状态，以在线查询证书。相关的配置内容信息如下：

# OCSP Configuration.

# Certificates can be verified against an OCSP Responder. This makesit possible to immediately.

# revoke certificates without the distribution of new CertificateRevocation Lists (CRLs).

ocsp {

# Enable it. The default is "no". Deleting the entire "ocsp"subsection also disables ocsp checking.

enable = yes #该配置项填写“yes”即启用ocsp验证

# The OCSP Responder URL can be automatically extracted from thecertificate in question. To override the OCSP Responder URL set "override_cert_url = yes".

override_cert_url = no #该配置项内容设置为“no”，将自动从客户端证书获取OCSP响应地址

}

步骤S4：调整客户端数字证书配置，按照配置制作证书。

安装客户端数字证书时指定其相关扩展用法，请参见图2（a）、2（b）、2（c），所述扩展用法包括：

Netscape Cert Type：SSL客户端身份验证、SMIME、SMIME CA (a2)；

增强型秘钥用法：客户端身份验证、安全电子邮件；

证书制作完成后参考其他文献说明进行FreeRadius相关配置即可，如图3所示，通过无线路由器或无线AP等网络设备配置EAP-TLS中继采用FreeRadius服务器认证。配置完成后，如图4所示，验证通过已配置的证书信任体系的客户端证书访问无线网络，选择使用证书连接，选择已信任且有效客户端证书，能够正常访问到无线网络。

同时通过FreeRadius日志观察验证过程，能够详细查看到客户端证书验证过程及验证通过。

然后将已信任的客户端证书通过数字证书系统服务端进行吊销，再次连接无线网络，已经无法连接到无线网络，同时通过FreeRadius日志观察认证过程发现，FreeRadius服务器获取到客户端证书状态为“revoked”，说明FreeRadius服务器阻断了已吊销数字证书的认证请求。

综上所述，FreeRadius作为开源的认证服务器软件广泛应用于各种认证场景，但现有文献或网络资源中并未对不同信任体系数字证书认证进行说明，本方案通过仿真实现检测了不同信任体系的数字证书能够通过FreeRadius的EAP-TLS认证连接无线网络，同时也检测了FreeRadius支持在线证书状态查询协议，能够实时查询客户端数字证书状态，并及时阻断已吊销的客户端数字证书。万物互联的前提是万物网络接入，通过数字证书接入能够避免出现非法入侵网络导致接入设备信息泄露的风险，本检测方法为不同信任体系数字证书接入无线网络提供了示范。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种无线网络安全认证的检测方法，其特征在于：包括以下步骤：

所述搭建FreeRadius仿真环境的步骤，包括：

搭建FreeRadius服务器，部署FreeRadius软件；

搭建数字证书系统服务器，部署数字证书系统和OCSP系统；

搭建客户端，安装客户端数字证书以及验证客户端数字证书连接无线网络；

调整FreeRadius仿真环境中不同信任体系的数字证书认证配置，以适配多信任体系数字证书；

所述调整FreeRadius仿真环境中不同信任体系的数字证书认证配置的步骤，包括：

在所述ca_file配置项中制作信任根证书列表文件mid.pem；

所述在所述ca_file配置项中制作信任根证书列表文件mid.pem的步骤，包括：

导出不同信任体系证书链中的所有中级证书；

通过openssl命令将导出的中级证书转换为pem格式；

将不同信任体系的数字证书进行合并，形成EAP.conf文件中的信任根证书列表文件mid.pem；

调整FreeRadius仿真环境中在线证书查询协议配置，以启用在线证书状态查询功能；

所述调整FreeRadius仿真环境中在线证书查询协议配置的步骤，包括：

将EAP.conf文件中的enable配置为yes，启用OCSP验证；

将EAP.conf文件中的override_cert_url配置为no，FreeRadius软件从客户端证书获取OCSP相应地址，到该地址获取数字证书状态，以在线查询证书；

调整客户端数字证书配置，按照配置制作证书；

所述调整客户端数字证书配置的步骤，包括：

Netscape Cert Type：SSL客户端身份验证、SMIME、SMIME CA (a2)；

增强型秘钥用法：客户端身份验证、安全电子邮件；

授权信息访问：证书颁发机构颁发者（Authority Info Access Method）、AlternativeName: URL=http://，其中Authority Name值为OCSP响应URL，通过该URL能够以在线证书查询协议获取数字证书状态。