基于LDAP的无线接入统一身份认证机制设计与实现
来源:99网
魏霾 信息科学 35 基于LDAP的无线接入统一身份认证机制设计与实现 柯宗贵 (蓝盾信息安全技术股份有限公司,广东广州510000) 摘要对基于LDAP统一身份认证架构下的802.Ix的无线接人认证整合进行研究。提出并建立一套保障信息安全的全局身份认证管理系 统,在采用RC4安全加密技术的基础上,实现基于RADIUS的无线802.1x ̄AP接人认证和基于LDAP的认证服务的整合。实现接人用户认证管 理和应用层统一身份认证用户的全局统一管理。 关键词统一身份认证;轻量级目录访问协议;802.1x;可扩展认证协议 中图分类号TP393 文献标识码A 文章编号1673—9671~(2010)092—0035—01 随着高校校园网络规模扩张、应用深人,存在的一些问题日益凸 现,显著影响着校园信息化的发展。建立一个能够集成校园内所有服务 并且具有安全性的统一身份认证体系成为信息化校园建设的重要基 础和安全保障。基于认证技术的接人控制和授权机制是无线局域网最基 本的安全需求。如果不加的使用,将造成无线网络成为黑客和病毒 的入侵薄弱环节,更加难以控制和追查。作为全面的“深层防御”安全 架构的一部分,内部基础设施的接人访问权管理将从源头上为信息安全 设置一道有效的屏障。本文的研究讨论的内容是基于LDAP统一身份认证 架构下的802.Ix的无线接人认证整合。 根据密码头捕述字段q ̄{RC4}特征标示调用相应的Rc4模块,从而获得密 码明文,再通过Radius服务器的CHAP认证方式对用户进行鉴权。 本文使用FreeRADIUS,FreeRADIUS是来自开放源码社区的一种强 大的Linux上的RADIus服务器,可用于如今的分布式和异构计算环境。 F eRADⅢs 1.1.3支持LDAP、MySQL、PostgreSQL ̄lOrax:le数据库,并与诸 hIJEAP和Cisco LEAP; ̄的网络协议兼容。FreeRADIUS目前被部署在很 多大型网络系统中。 下面的步骤描述如何在Red Hat AS 3.0上修改安装和测试FreeRADIUS 1.1.3。 1轻量级目录访问协议LDAP LDAP(Lightweight Dir ̄tory Access Protocol:轻量级目录访问协议) 是由美国Michigan大学研发的一个新的目录访问协议,它是在继承了 X.500标准的优点的基础上发展起来的。LDAP不同于关系型数据库,是 种标准的目录服务技术,它为浏览和查找目录及内容读取提供了专门 的优化,从LDAP服务器中读取数据比关系型数据库中读取数据快一个数 一量级。 2系统设计与实现 统一身份认证平台是基于Sun Identity Server开发实现,提供身份管 理、单点登录、认证接口和数据同步服务功能。主要由目录服务器、服 务提供接口、认证模块、管理平台和数据同步模块几部分组成。 由于LDAPi ̄乏对原生(Native)Radius的支持,设计采用Authentication proxy技术方法,通过建立认证代理来完成Radius—to—LDAP认证。安全接 入和数据保护是WLAN的两个主要安全问题。通过对比分析几种接入认 证方式, ̄1web+radius、PPPoE+Radius,800.ix+Radius等等,在本项目中 采用RADIUS+802.1x结合wAP,EAP实现接人访问控制。在客户与RADIUS 服务器之间采用cm 协议进行身份的认证。有线网协议IEEE800.1x和新 颁布的无线网协议IEEE802.1li以及IETF RFC3162和Wi—Fi联盟的WPA协 议等在内的标准或建议中,均推荐采用基于远程认证拨号接人服务/扩 展认证协议(RBIrl0te Authentiatcion Dial In Services/Extensible Authentication Protocol,RADIUS/EAr')的集中式处理方式来解 ̄WLAN中接入或访问控 制C cess Contro1)的安全认证问题。 我们的目标是实现SUN one directory se ̄er与FreeRadius架构下采用 CHAP认证协议进行接入客户与认证服务器之间身份认证的82.01x认证集 成,如图2所示。由于FreeRadius的CHAP认证方式要求明文的用户验证信 息,而同时出于密码安全的考虑在Directory ̄rver中须采用加密的密码, 因此在SUN ONE认证服务器端开发采用Rc4加密算法嵌入模块对验证信 息进行加密,同时在Radius服务器端我们又编制了linux平台的RC4 ̄11密算 法嵌入模块集成到FreeRadiusJ]l ̄务器中。此时FreeRadius服务器通过转发 首先为了保证LDAP与RADIUS认证过程的安全J陛,两者之间需要采 用安全的加密手段,一般而言又两种方式,一为外部的隧道方式。或者 采用TSL(Transport Layer Security)加密。这种方式为LDAP) ̄,生支持,因 此我们采用第二种方式。这样在RADIUSH ̄务器需要安装openssl软件包。 我们使用openssl—SNAP-20061212。 然后进行RADIUS程序的修改:首先编写RC4的基础加密解密模块, 生成libdecode.SO文件,复制到lih目录下。修改RADIUS的LDAP认证模块 ,…./src/module ̄rlmldap/rlm/ladp.C重新完整编译链接RADIUS软件包。修  ̄Uusr/local/etc/ldap.attrmap的配置。RADIUS)] ̄务器的配置包括对服务器、 客户机和用户的配置(都是用于验证和授权)。F ̄eADIRUS配置文件位 于/usr/local/etc/raddb文件夹下。 LDAP参数被设为使用ids.sues.edu.cn,这是前面建立的统一身份 认证服务SUN ONE的DS的服务的一个实例。在这里还要配置EAP Authentication,使FreeRADIUS可用于 ̄WLAN的一般用户。 通过radtest'if ̄令可以对服务器进行测试,此外可以使用一种测试工 具NTRadPing,它可用于测试来自Windows客户机的验证和授权请求。它 可以显示从RADius/l ̄务器发回的详细的响应,例如属性值。 3结论 通过上述研究工作,初步建立了一套保障高校信息化校园信息安全 的全局身份认证管理系统,在采用安全加密技术的基础上,实现接入用 户认证管理和应用层统一身份认证用户的全局统一管理,实现RADIUS 认证和基于LDAP的认证服务的整合,为网络信息管理提供了安全保 障。 参考文献 [11曹秀英,耿嘉,沈平.无线局域网安全系统[M].北京:电子工业出版社,2004. [2]曹敏年,张玮,等.统一身份认证平台的数据交换机制与实现[J】.上海理工大学 学报,2006.28(3):293—298. 作者简介 柯宗贵(1969一),男,广东潮阳人,硕士研究生,蓝盾信息安全技术 的验证请求获取到的是加密后的密码信息,程序对接受到的密码分析后 股份有限公司总经理,主要研究方向:信息安全技术,通信与网络工程。 (上接第44页) 地面上部的粉刷找平层较厚,可以通过在找平层中增设钢丝网、钢板网 或抗裂短钢筋进行加强,并且上部常被木地板等装饰层所遮盖,问题相 对较小。但板底则粉刷层较薄,并且通常无吊顶遮盖,更易暴露裂缝, 影响美观并引起投诉,所以板底更应妥善处理。板底裂缝宜委托专业加 固单位采用复合增强纤维等材料对裂缝作粘贴加强处理(注:当遇到裂 缝较宽、受力较大等特殊情次时,建议采用碳纤维粘贴加强)。复合增 强纤维的粘贴宽度以350—400毫米为宜.既能起到良好的抗拉裂补强作 用,又不影响粉刷和装饰效果,是目前较理想的裂缝弥补措施。 5结束语 现浇钢筋混凝土楼面的裂缝问题一直是基本建设中面临的比较难处 理的问题之一,也因此给建设、设计和施工单位带来了诸多麻烦。因 此,准确的分析裂缝产生的原因,并对症下药,对其采取有效的防治措 施已成当务之急。