技術領域

本實用新型涉及一種內外網接入認證系統。

背景技術

隨著網絡技術的不斷成熟以及網絡應用的不斷普及，現在各高校的網絡除了要滿足全校教職工的教學科研外，還要更多的面對學生群體。而隨著網絡用戶數的急劇增加，網絡的安全性問題日益突出。建立一個更加安全可行的、可運營、可管理的網絡環境便擺在了面前。

由于傳統認證方式存在著不少的問題，許多的認證系統架設在主干出口處，這樣就不可避免導致許多計算機在沒有預先經過同意，對網絡設備及資源進行非正常使用，也就是我們通常所說的非授權訪問。而且傳統的認證方式對校園網中用戶數據包繁瑣的處理也造成了網絡傳輸瓶頸，如果通過增加其他網絡設備來解決傳輸瓶頸勢必造成網絡成本的提升，因此無法滿足用戶對網絡安全性、高效性和低成本的要求。

目前802.1X認證已經得到了非常廣泛的應用，其部署難度小，并且通過對認證方式和認證體系結構進行優化，有效地解決了傳統認證方式帶來的問題，消除了網絡瓶頸，減輕了網絡封裝開銷，降低了建網成本。

但在一般的應用中，我們都會使用EAP-MD5密碼認證，這個方法把用戶密碼儲存在數據庫中，認證的時候進行最基本的對比即可完成認證。這個方法最簡單，同時也是最脆弱的，潛在多種被攻擊風險。并且，由于密碼都由用戶自己保存，帶來的一個帳號被多人使用，用戶密碼被竊取等后果，給管理工作帶來很大的不便。因此，在實際應用中，需要尋找更加適合的認證方式，盡最大可能保護賬戶安全。

由于EAP-MD5存在身份密碼泄露、中間人攻擊等問題，需要使用更好的認證方式來取代。盡管實現EAP-TLS部署成本較高，仍然有很多基于PKI和Radius結合研究。

發明內容

本實用新型的目的在于提供一種成本較低，并且容易管理、使用可靠、安全的以USB?KEY為證書介質的內外網接入認證系統。

本實用新型的技術解決方案是：

一種以USB?KEY為證書介質的內外網接入認證系統，其特征是：包括裝有決定用戶證書產生、授權、撤銷的CA軟件和認證用戶的RADIUS軟件的服務器，服務器通過網絡接入設備與客戶端連接，客戶端計算機上插裝USB?KEY，證書存儲于USB?KEY中。

所述網絡接入設備包括交換器、無線路由、虛擬專用網絡（VPN）。

本實用新型成本較低，并且容易管理、使用可靠、安全，并具有下列優點：

1、選擇合適的CA證書管理系統，能夠滿足跨區域申請，管理和發放數字證書。同時，為了滿足證書的高可靠性和不可復制性，證書在USB?KEY硬件中存儲和使用，針對客戶端目標操作系統，使用恰當的證書存儲方式。

2、使用USB?KEY為介質的證書認證方式，實現對各類有線、無線和撥號網絡環境中，安全認證的應用。

3、為實現后臺統一認證，對于CA發布的證書必須使用統一的后臺認證，為此，以RADIUS為基礎的證書認證方式（EAP-TLS），對CA發放和撤銷的證書，使證書認證更加及時有效。

4、選擇適合RADIUS認證的硬件設備，并部署使用以RADIUS為統一認證后臺的網絡接入系統。

附圖說明

下面結合附圖和實施例對本實用新型作進一步說明。

圖1是本實用新型一個實施例的結構示意圖。

具體實施方式

一種以USB?KEY為證書介質的內外網接入認證系統，其特征是：包括裝有決定用戶證書產生、授權、撤銷的CA軟件和認證用戶的RADIUS軟件的服務器，服務器通過網絡接入設備與客戶端連接，客戶端計算機上插裝USB?KEY，證書存儲于USB?KEY中。

所述網絡接入設備包括交換器、無線路由、VPN。

CA軟件選擇

EJBCA是一個完整功能的證書認證程序，完全用Java編寫，使用J2EE(Java2?Enterprise?Edition，Java2企業版)技術。它建造在J2EE平臺之上，是一個開放的、健壯的、高性能的、平臺獨立的、靈活的和基于組件的CA，可以被單獨使用或集成到其它J2EE應用程序中，并且它還提供了一個靈活強大的基于Web的用戶圖形界面。由于它實現了PKI中的幾乎所有重要的部件，比如RA(Registration?Authority，注冊中心)、CA(Certification?Autohrity，認證中心)、CRL(Certification?Remove?List，證書撤銷列表)和證書存儲數據庫等，因此得到了廣泛的應用。