[实用新型]以USB KEY为证书介质的内外网接入认证系统

说明书

技术领域

本实用新型涉及一种内外网接入认证系统。

背景技术

随着网络技术的不断成熟以及网络应用的不断普及，现在各高校的网络除了要满足全校教职工的教学科研外，还要更多的面对学生群体。而随着网络用户数的急剧增加，网络的安全性问题日益突出。建立一个更加安全可行的、可运营、可管理的网络环境便摆在了面前。

由于传统认证方式存在着不少的问题，许多的认证系统架设在主干出口处，这样就不可避免导致许多计算机在没有预先经过同意，对网络设备及资源进行非正常使用，也就是我们通常所说的非授权访问。而且传统的认证方式对校园网中用户数据包繁琐的处理也造成了网络传输瓶颈，如果通过增加其他网络设备来解决传输瓶颈势必造成网络成本的提升，因此无法满足用户对网络安全性、高效性和低成本的要求。

目前802.1X认证已经得到了非常广泛的应用，其部署难度小，并且通过对认证方式和认证体系结构进行优化，有效地解决了传统认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本。

但在一般的应用中，我们都会使用EAP-MD5密码认证，这个方法把用户密码储存在数据库中，认证的时候进行最基本的对比即可完成认证。这个方法最简单，同时也是最脆弱的，潜在多种被攻击风险。并且，由于密码都由用户自己保存，带来的一个帐号被多人使用，用户密码被窃取等后果，给管理工作带来很大的不便。因此，在实际应用中，需要寻找更加适合的认证方式，尽最大可能保护账户安全。

由于EAP-MD5存在身份密码泄露、中间人攻击等问题，需要使用更好的认证方式来取代。尽管实现EAP-TLS部署成本较高，仍然有很多基于PKI和Radius结合研究。

发明内容

本实用新型的目的在于提供一种成本较低，并且容易管理、使用可靠、安全的以USB KEY为证书介质的内外网接入认证系统。

本实用新型的技术解决方案是：

一种以USB KEY为证书介质的内外网接入认证系统，其特征是：包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器，服务器通过网络接入设备与客户端连接，客户端计算机上插装USB KEY，证书存储于USB KEY中。

所述网络接入设备包括交换器、无线路由、虚拟专用网络（VPN）。

本实用新型成本较低，并且容易管理、使用可靠、安全，并具有下列优点：

1、选择合适的CA证书管理系统，能够满足跨区域申请，管理和发放数字证书。同时，为了满足证书的高可靠性和不可复制性，证书在USB KEY硬件中存储和使用，针对客户端目标操作系统，使用恰当的证书存储方式。

2、使用USB KEY为介质的证书认证方式，实现对各类有线、无线和拨号网络环境中，安全认证的应用。

3、为实现后台统一认证，对于CA发布的证书必须使用统一的后台认证，为此，以RADIUS为基础的证书认证方式（EAP-TLS），对CA发放和撤销的证书，使证书认证更加及时有效。

4、选择适合RADIUS认证的硬件设备，并部署使用以RADIUS为统一认证后台的网络接入系统。

附图说明

下面结合附图和实施例对本实用新型作进一步说明。

图1是本实用新型一个实施例的结构示意图。

具体实施方式

一种以USB KEY为证书介质的内外网接入认证系统，其特征是：包括装有决定用户证书产生、授权、撤销的CA软件和认证用户的RADIUS软件的服务器，服务器通过网络接入设备与客户端连接，客户端计算机上插装USB KEY，证书存储于USB KEY中。

所述网络接入设备包括交换器、无线路由、VPN。

CA软件选择

EJBCA是一个完整功能的证书认证程序，完全用Java编写，使用J2EE(Java2 Enterprise Edition，Java2企业版)技术。它建造在J2EE平台之上，是一个开放的、健壮的、高性能的、平台独立的、灵活的和基于组件的CA，可以被单独使用或集成到其它J2EE应用程序中，并且它还提供了一个灵活强大的基于Web的用户图形界面。由于它实现了PKI中的几乎所有重要的部件，比如RA(Registration Authority，注册中心)、CA(Certification Autohrity，认证中心)、CRL(Certification Remove List，证书撤销列表)和证书存储数据库等，因此得到了广泛的应用。