無(wú)線網(wǎng)絡(luò)安全認(rèn)證研究

◆焦勇 康盛偉

無(wú)線網(wǎng)絡(luò)安全認(rèn)證研究

◆焦勇 康盛偉

（四川省腫瘤醫(yī)院 四川 610041）

目的：研究無(wú)線網(wǎng)絡(luò)基于FreeRadius認(rèn)證是否支持不同信任體系數(shù)字證書以及在線查詢數(shù)字證書吊銷狀態(tài)。方法：構(gòu)建仿真環(huán)境驗(yàn)證FreeRadius證書認(rèn)證功能。結(jié)果：通過(guò)仿真環(huán)境驗(yàn)證FreeRadius EAP-TLS認(rèn)證支持不同信任體系數(shù)字證書且能夠?qū)崟r(shí)阻斷已吊銷數(shù)字證書認(rèn)證。結(jié)論：通過(guò)實(shí)踐驗(yàn)證確定FreeRadius認(rèn)證支持不同信任體系數(shù)字證書以及支持OCSP即在線證書狀態(tài)協(xié)議，明顯提升了FreeRadius EAP-TLS數(shù)字證書認(rèn)證適用性。

無(wú)線網(wǎng)絡(luò)；信任體系；FreeRadius；數(shù)字證書；OCSP

隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，人們的生產(chǎn)活動(dòng)已經(jīng)很難獨(dú)立于互聯(lián)網(wǎng)進(jìn)行開展。目前互聯(lián)網(wǎng)的接入方式主要包括有線接入和無(wú)線接入兩個(gè)部分。隨著移動(dòng)智能化的發(fā)展，智能設(shè)備接入互聯(lián)網(wǎng)均采用無(wú)線接入的方式，但是現(xiàn)有的無(wú)線認(rèn)證方式基本采用密碼認(rèn)證的形式，該認(rèn)證方式非常容易導(dǎo)致無(wú)線認(rèn)證密碼泄露，可能會(huì)給無(wú)線接入智能設(shè)備帶來(lái)不可控制的信息泄露風(fēng)險(xiǎn)。通過(guò)研究認(rèn)證模式發(fā)現(xiàn)，RADIUS服務(wù)器提供一種基于數(shù)字證書認(rèn)證的認(rèn)證模式，能夠避免無(wú)線接入采用密碼形式帶來(lái)的一系列風(fēng)險(xiǎn)。

FreeRadius是來(lái)自開放源碼社區(qū)的一種強(qiáng)大的部署于 Linux 上的RADIUS服務(wù)器，多用于賬戶認(rèn)證管理，比較常見的是通過(guò)賬號(hào)+口令的方式進(jìn)行認(rèn)證。針對(duì)無(wú)線網(wǎng)絡(luò)安全認(rèn)證，雖然賬號(hào)+口令的方式比僅使用口令的方式安全性有所提升，但是使用賬號(hào)+口令的方式依然存在被破解的風(fēng)險(xiǎn)。為了避免賬號(hào)+口令的風(fēng)險(xiǎn)，F(xiàn)reeRadius提供EAP-TLS認(rèn)證方式，即基于數(shù)字證書的方式進(jìn)行認(rèn)證。

通過(guò)查閱相關(guān)文獻(xiàn)，已經(jīng)有相關(guān)專業(yè)學(xué)者對(duì)FreeRadius的EAP-TLS認(rèn)證安裝配置及相關(guān)認(rèn)證業(yè)務(wù)邏輯等進(jìn)行了詳盡的說(shuō)明，但由于在實(shí)際生產(chǎn)活動(dòng)中，數(shù)字證書頒發(fā)機(jī)構(gòu)常常不是同一家機(jī)構(gòu)，導(dǎo)致不同客戶端擁有的數(shù)字證書信任體系往往不同，亟須實(shí)現(xiàn)不同信任體系數(shù)字證書能夠通過(guò)一套FreeRadius的EAP-TLS進(jìn)行認(rèn)證。

同時(shí)，為了無(wú)線網(wǎng)絡(luò)的安全性需要FreeRadius能夠?qū)崟r(shí)查詢數(shù)字證書吊銷狀態(tài)，以便及時(shí)阻斷已經(jīng)吊銷的數(shù)字證書認(rèn)證，相關(guān)專業(yè)學(xué)者驗(yàn)證了FreeRadius支持?jǐn)?shù)字證書吊銷列表（CRL）驗(yàn)證證書吊銷狀態(tài)，但是生產(chǎn)活動(dòng)中的數(shù)字證書廠家的CRL產(chǎn)生周期基本無(wú)法做到實(shí)時(shí)，導(dǎo)致此種方式無(wú)法實(shí)時(shí)驗(yàn)證數(shù)字證書吊銷狀態(tài)。

1 方法

搭建FreeRadius仿真環(huán)境，驗(yàn)證不同信任體系數(shù)字證書通過(guò)EAP-TLS認(rèn)證效果以及數(shù)字證書吊銷后的認(rèn)證效果。仿真環(huán)境組成部分及說(shuō)明如下：

①無(wú)線路由器或無(wú)線AP。用于搭建無(wú)線網(wǎng)絡(luò)，連接FreeRadius服務(wù)器進(jìn)行無(wú)線認(rèn)證；

②FreeRadius服務(wù)器。用于部署FreeRadius軟件。

③數(shù)字證書系統(tǒng)服務(wù)器。用于部署數(shù)字證書系統(tǒng)和OCSP系統(tǒng)。

④客戶端電腦。用于安裝客戶端證書以及驗(yàn)證客戶端證書連接無(wú)線網(wǎng)絡(luò)。

2 名詞解釋

數(shù)字證書：包含所有者公鑰、私鑰和身份信息，私鑰保存在客戶端本地。本文說(shuō)明的數(shù)字證書可來(lái)源于專業(yè)的數(shù)字認(rèn)證機(jī)構(gòu)，也可通過(guò)開源的數(shù)字證書生產(chǎn)軟件進(jìn)行制作，不局限于USB KEY硬件證書或軟證書。

信任體系：數(shù)字證書信任體系按照證書鏈逐級(jí)信任，根證書是信任的源點(diǎn)，根證書由自己簽發(fā)，即頒發(fā)者和所有者都是根證書自己。中級(jí)證書由根證書簽發(fā)，用戶證書由中級(jí)證書簽發(fā)。從根證書到用戶證書通過(guò)簽發(fā)證書構(gòu)成一條證書鏈，如圖1，可以看出下一級(jí)受信于上一級(jí)。在驗(yàn)證證書有效性時(shí)需要對(duì)證書鏈進(jìn)行驗(yàn)證。

圖1 證書信任體系

數(shù)字證書格式：在FreeRadius的EAP-TLS配置中使用的數(shù)字證書格式，如pem格式，通過(guò)openssl對(duì)pfx、cer等數(shù)字證書進(jìn)行格式轉(zhuǎn)換。

在線證書狀態(tài)協(xié)議（OCSP，Online Certificate Status Protocol）：是維護(hù)服務(wù)器和其他網(wǎng)絡(luò)資源安全性的兩種普遍模式之一。另一種更早期的方法是證書吊銷列表（CRL）。在線證書狀態(tài)協(xié)議（OCSP）克服了證書吊銷列表（CRL）的主要缺陷：必須定時(shí)在客戶端下載以確保吊銷列表的更新。當(dāng)用戶試圖訪問(wèn)一個(gè)服務(wù)器時(shí)，在線證書狀態(tài)協(xié)議發(fā)送一個(gè)對(duì)于證書狀態(tài)信息的請(qǐng)求，服務(wù)器回復(fù)一個(gè)“有效”、“過(guò)期”或“未知”的響應(yīng)。協(xié)議規(guī)定了服務(wù)器和客戶端應(yīng)用程序的通訊語(yǔ)法[2]。

3 仿真環(huán)境搭建

不同信任體系證書認(rèn)證配置

關(guān)于FreeRadius軟件安裝及FreeRadius EAP-TLS配置內(nèi)容可參考其他文獻(xiàn)說(shuō)明，配置項(xiàng)一致，本文不再贅述。經(jīng)過(guò)多次實(shí)驗(yàn)驗(yàn)證，通過(guò)調(diào)整可信任證書配置內(nèi)容，能夠?qū)崿F(xiàn)不同信任體系數(shù)字證書在一套FreeRadius的認(rèn)證。說(shuō)明如下：

主要不同點(diǎn)在于EAP.conf文件中的ca_file配置項(xiàng)中的證書內(nèi)容，該配置項(xiàng)主要用于指定哪些證書機(jī)構(gòu)頒發(fā)的客戶端證書應(yīng)該被信任。如下所示：

Ca_file=${cadir}/mid.pem

針對(duì)該配置項(xiàng)，官方注釋說(shuō)明如下：

# Trusted Root CA list

# ALL of the CA's in this list will be trusted to issue client certificates for authentication.

# In general， you should use self-signed certificates for 802.1x （EAP） authentication.

# In that case， this CA file should contain *one* CA certificate.

但注釋中并未詳細(xì)說(shuō)明如何制作該配置文件所需的信任根證書列表文件。

仿真環(huán)境所指定的信任根證書列表文件為mid.pem。

mid.pem證書文件制作說(shuō)明：

①導(dǎo)出不同證書體系證書鏈中的所有中級(jí)證書，如root1.cer、mid1.cer、root2.cer、mid2.cer；

②通過(guò)openssl命令將第一步導(dǎo)出的中級(jí)證書轉(zhuǎn)換為pem格式，如root1.pem、mid1.pem、root2.pem、mid2.pem，命令格式為：openssl x509 -inform der -in root1.cer -out root1.pem；

③使用cat命令將第二步制作的pem證書進(jìn)行合并，此處需注意是將上一級(jí)證書加入下一級(jí)證書文件中，如cat root1.pem >> mid1.pem，cat root2.pem >> mid2.pem；

④將不同信任體系的數(shù)字證書進(jìn)行合并，如cat mid1.pem >>mid2.pem，mid2.pem即是最終配置到EAP.conf中的mid.pem。

4 在線證書查詢協(xié)議配置

FreeRadius作為強(qiáng)大的Radius認(rèn)證服務(wù)器，默認(rèn)支持在線證書查詢協(xié)議獲取數(shù)字證書狀態(tài)。配置內(nèi)容依然在EAP.conf文件中，配置內(nèi)容信息如下：

# OCSP Configuration

# Certificates can be verified against an OCSP Responder. This makes it possible to immediately

# revoke certificates without the distribution of new Certificate Revocation Lists （CRLs）.

ocsp {

# Enable it. The default is "no". Deleting the entire "ocsp" subsection also disables ocsp checking

enable = yes #該配置項(xiàng)填寫“yes”即啟用ocsp驗(yàn)證

# The OCSP Responder URL can be automatically extracted from the certificate in question. To override the OCSP Responder URL set "override_cert_url = yes".

override_cert_url = no #該配置項(xiàng)內(nèi)容設(shè)置為“no”，將自動(dòng)從客戶端證書獲取OCSP響應(yīng)地址

}

關(guān)鍵配置內(nèi)容如上所示：

①enable配置為yes，啟用OCSP驗(yàn)證；

②override_cert_url配置為no，F(xiàn)reeRadius驗(yàn)證直接從客戶端證書獲取OCSP響應(yīng)地址，到該地址去獲取數(shù)字證書狀態(tài)。

客戶端數(shù)字證書配置

生產(chǎn)客戶端數(shù)字證書時(shí)需要指定相關(guān)擴(kuò)展用法，說(shuō)明如下：

①Netscape Cert Type：SSL 客戶端身份驗(yàn)證，SMIME，SMIME CA（a2）（圖2）；

②增強(qiáng)型密鑰用法：客戶端身份驗(yàn)證（1.3.6.1.5.5.7.3.2）、安全電子郵件（1.3.6.1.5.5.7.3.4）（圖3）；

③授權(quán)信息訪問(wèn)：[1]Authority Info Access Access Method=證書頒發(fā)機(jī)構(gòu)頒發(fā)者（1.3.6.1.5.5.7.48.2） Alternative Name：URL=http：//…………。其中Alternative Name值為OCSP響應(yīng)URL，通過(guò)該URL能夠以在線證書查詢協(xié)議獲取數(shù)字證書狀態(tài)（圖4）。

圖2 客戶端身份驗(yàn)證

圖3 增強(qiáng)型密鑰用法

圖4 授權(quán)信息訪問(wèn)

5 驗(yàn)證結(jié)果

證書制作完成后參考其他文獻(xiàn)說(shuō)明進(jìn)行FreeRadius相關(guān)配置即可，通過(guò)無(wú)線路由器或無(wú)線網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備配置EAP中繼采用radius服務(wù)器認(rèn)證，如圖5所示：

圖5 無(wú)線網(wǎng)關(guān)配置EAP中繼

配置完成后，驗(yàn)證通過(guò)已配置的證書信任體系的客戶端證書訪問(wèn)無(wú)線網(wǎng)絡(luò)，選擇使用證書連接，選擇已信任且有效客戶端證書，能夠正常訪問(wèn)到無(wú)線網(wǎng)絡(luò)，如圖6所示：

圖6 客戶端證書連接無(wú)線網(wǎng)絡(luò)

同時(shí)通過(guò)FreeRadius日志觀察驗(yàn)證過(guò)程，能夠詳細(xì)查看到客戶端證書驗(yàn)證過(guò)程及驗(yàn)證通過(guò)。

將已信任的客戶端證書通過(guò)數(shù)字證書系統(tǒng)服務(wù)端進(jìn)行吊銷，再次連接無(wú)線網(wǎng)絡(luò)，已經(jīng)無(wú)法連接到無(wú)線網(wǎng)絡(luò)，同時(shí)通過(guò)FreeRadius日志觀察認(rèn)證過(guò)程發(fā)現(xiàn)，F(xiàn)reeRadius服務(wù)端獲取到客戶端證書狀態(tài)為revoked，服務(wù)端阻斷了已吊銷數(shù)字證書的認(rèn)證請(qǐng)求。

6 結(jié)論

FreeRadius作為開源的認(rèn)證服務(wù)器軟件廣泛應(yīng)用于各種認(rèn)證場(chǎng)景，但現(xiàn)有文獻(xiàn)或網(wǎng)絡(luò)資料中并未對(duì)不同信任體系數(shù)字證書認(rèn)證進(jìn)行說(shuō)明，本文通過(guò)仿真實(shí)踐驗(yàn)證了不同信任體系的數(shù)字證書能夠通過(guò)FreeRadius的EAP-TLS認(rèn)證連接無(wú)線網(wǎng)絡(luò)，同時(shí)驗(yàn)證了FreeRadius支持在線證書狀態(tài)查詢協(xié)議，能夠?qū)崟r(shí)查詢客戶端數(shù)字證書狀態(tài)，及時(shí)阻斷已吊銷的客戶端數(shù)字證書。

萬(wàn)物互聯(lián)的前提是萬(wàn)物網(wǎng)絡(luò)接入，通過(guò)數(shù)字證書接入能夠避免出現(xiàn)非法入侵網(wǎng)絡(luò)導(dǎo)致接入設(shè)備信息泄露的風(fēng)險(xiǎn)，本文為不同信任體系數(shù)字證書接入無(wú)線網(wǎng)絡(luò)提供參考示范。

[1]http://www.freeradius.org/.

[2]https://searchsecurity.techtarget.com.cn/whatis/11-25218/.

[3]楊凌鳳.使用USBKey 提高FreeRadius證書認(rèn)證的安全性[J].計(jì)算機(jī)安全，2008（2）：42-43.

[4]楊凌鳳.FreeRADIUS EAP-TLS的應(yīng)用[J].電腦與電信，2007（11）.56-58.

成都市重點(diǎn)研發(fā)支撐計(jì)劃（立項(xiàng)編號(hào)：2019-YF-05-00425-SN）