基于LDAP的无线接入统一身份认证机制设计与实现
摘要对基于LDAP统一身份认证架构下的802.1x的无线接入认证整合进行研究。提出并建立一套保障信息安全的全局身份认证管理系统,在采用RC4安全加密技术的基础上,实现基于RADIUS的无线802.1x/EAP接入认证和基于LDAP的认证服务的整合。实现接入用户认证管理和应用层统一身份认证用户的全局统一管理。
关键词统一身份认证;轻量级目录访问协议;802.1x;可扩展认证协议
随着高校校园网络规模扩张、应用深入,存在的一些问题日益凸现,显著影响着校园信息化的发展。建立一个能够集成校园内所有服务并且具有独立安全性的统一身份认证体系成为信息化校园建设的重要基础和安全保障。基于认证技术的接入控制和授权机制是无线局域网最基本的安全需求。如果不加限制的使用,将造成无线网络成为黑客和病毒的入侵薄弱环节,更加难以控制和追查。作为全面的“深层防御”安全架构的一部分,内部基础设施的接入访问权管理将从源头上为信息安全设置一道有效的屏障。本文的研究讨论的内容是基于LDAP统一身份认证架构下的802.1x的无线接入认证整合。
radius软件
1轻量级目录访问协议LDAP
LDAP(Lightweight Directory Access Protocol:轻量级目录访问协议)是由美国Michigan大学研发的一个新的目录访问协议,它是在继承了X.500标准的优点的基础上发展起来的。LDAP不同于关系型数据库,是一种标准的目录服务技术,它为浏览和查目录及内容读取提供了专门的优化,从LDAP服务器中读取数据比关系型数据库中读取数据快一个数量级。
2系统设计与实现
统一身份认证平台是基于Sun Identity Server开发实现,提供身份管理、单点登录、认证接口和数据同步服务功能。主要由目录服务器、服务提供接口、认证模块、管理平台和数据同步模块几部分组成。
由于LDAP缺乏对原生(Native)Radius的支持,设计采用Authentication proxy技术方法,通过建立认证代理来完成Radius-to-LDAP认证。安全接入和数据保护是WLAN的两个主要安全问题。通过对比分析几种接入认证方式,如web+radius、PPPoE+Radius,802.1x+Radius等等,在本项目中采用RADIUS+802.1x结合WAP/EAP实现接入访问控制。在客户与RADIUS服务器之间采用CHAP协议进行身份的认证。有线网协议IEEE802.1x和新颁布的无线网协议IEEE802.1li以及IETF RFC3162和Wi-Fi联盟的WPA协议等在内的标准或建议中,均推荐采用
基于远程认证拨号接入服务/扩展认证协议(Remote Authentication Dial In Services/Extensible Authentication Protocol,RADIUS/EAP)的集中式处理方式来解决WLAN中接入或访问控制(Access Contro1)的安全认证问题。
我们的目标是实现SUN one directory server与FreeRadius架构下采用CHAP认证协议进行接入客户与认证服务器之间身份认证的802.1x认证集成,如图2所示。由于FreeRadius的CHAP认证方式要求明文的用户验证信息,而同时出于密码安全的考虑在Directory server中须采用加密的密码,因此在SUN ONE认证服务器端开发采用RC4加密算法嵌入模块对验证信息进行加密,同时在Radius服务器端我们又编制了linux平台的RC4加密算法嵌入模块集成到FreeRadius服务器中。此时FreeRadius服务器通过转发的验证请求获取到的是加密后的密码信息,程序对接受到的密码分析后根据密码头描述字段中{RC4}特征标示调用相应的RC4模块,从而获得密码明文,再通过Radius服务器的CHAP认证方式对用户进行鉴权。
本文使用FreeRADIUS,FreeRADIUS是来自开放源码社区的一种强大的Linux上的RADIUS服务器,可用于如今的分布式和异构计算环境。FreeRADIUS 1.1.3支持LDAP、MySQL、PostgreSQL和Oracle数据库,并与诸如EAP和Cisco LEAP之类的网络协议兼容。FreeRADIUS目前被部署在很多大型网络系统中。
下面的步骤描述如何在Red Hat AS 3.0上修改安装和测试FreeRADIUS 1.1.3。
首先为了保证LDAP与RADIUS认证过程的安全性,两者之间需要采用安全的加密手段,一般而言又两种方式,一为外部的隧道方式。或者采用TSL(Transport Layer Security)加密。这种方式为LDAP原生支持,因此我们采用第二种方式。这样在RADIUS服务器需要安装openssl软件包。我们使用openssl-SNAP-20061212。
然后进行RADIUS程序的修改:首先编写RC4的基础加密解密模块,生成libdecode.so 文件,复制到lib目录下。修改RADIUS的LDAP认证模块/…./src/modules/rlm_ldap/rlm/ladp.c 重新完整编译链接RADIUS软件包。修改/usr/local/etc/ldap.attrmap的配置。RADIUS服务器的配置包括对服务器、客户机和用户的配置(都是用于验证和授权)。FreeRADIUS配置文件位于/usr/local/etc/raddb文件夹下。
LDAP参数被设为使用ids.sues.edu,这是前面建立的统一身份认证服务SUN ONE 的DS 的服务的一个实例。在这里还要配置EAP Authentication,使FreeRADIUS可用于验证WLAN的一般用户。
通过radtest命令可以对服务器进行测试,此外可以使用一种测试工具NTRadPing,它可用于测试来自Windows客户机的验证和授权请求。它可以显示从RADIUS服务器发回的详细的响应,例如属性值。
3结论
通过上述研究工作,初步建立了一套保障高校信息化校园信息安全的全局身份认证管理系统,在采用安全加密技术的基础上,实现接入用户认证管理和应用层统一身份认证用户的全局统一管理,实现RADIUS认证和基于LDAP的认证服务的整合,为网络信息管理提供了安全保障。
参考文献
[1]曹秀英,耿嘉,沈平.无线局域网安全系统[M].北京:电子工业出版社,2004.
[2]曹敏年,张玮,等.统一身份认证平台的数据交换机制与实现[J].上海理工大学学报,2006.28(3):293-298.

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。