無線網絡安全認證研究

◆焦勇 康盛偉

無線網絡安全認證研究

◆焦勇 康盛偉

（四川省腫瘤醫院 四川 610041）

目的：研究無線網絡基于FreeRadius認證是否支持不同信任體系數字證書以及在線查詢數字證書吊銷狀態。方法：構建仿真環境驗證FreeRadius證書認證功能。結果：通過仿真環境驗證FreeRadius EAP-TLS認證支持不同信任體系數字證書且能夠實時阻斷已吊銷數字證書認證。結論：通過實踐驗證確定FreeRadius認證支持不同信任體系數字證書以及支持OCSP即在線證書狀態協議，明顯提升了FreeRadius EAP-TLS數字證書認證適用性。

無線網絡；信任體系；FreeRadius；數字證書；OCSP

隨著互聯網信息技術的發展，人們的生產活動已經很難獨立于互聯網進行開展。目前互聯網的接入方式主要包括有線接入和無線接入兩個部分。隨著移動智能化的發展，智能設備接入互聯網均采用無線接入的方式，但是現有的無線認證方式基本采用密碼認證的形式，該認證方式非常容易導致無線認證密碼泄露，可能會給無線接入智能設備帶來不可控制的信息泄露風險。通過研究認證模式發現，RADIUS服務器提供一種基于數字證書認證的認證模式，能夠避免無線接入采用密碼形式帶來的一系列風險。

FreeRadius是來自開放源碼社區的一種強大的部署于 Linux 上的RADIUS服務器，多用于賬戶認證管理，比較常見的是通過賬號+口令的方式進行認證。針對無線網絡安全認證，雖然賬號+口令的方式比僅使用口令的方式安全性有所提升，但是使用賬號+口令的方式依然存在被破解的風險。為了避免賬號+口令的風險，FreeRadius提供EAP-TLS認證方式，即基于數字證書的方式進行認證。

通過查閱相關文獻，已經有相關專業學者對FreeRadius的EAP-TLS認證安裝配置及相關認證業務邏輯等進行了詳盡的說明，但由于在實際生產活動中，數字證書頒發機構常常不是同一家機構，導致不同客戶端擁有的數字證書信任體系往往不同，亟須實現不同信任體系數字證書能夠通過一套FreeRadius的EAP-TLS進行認證。

同時，為了無線網絡的安全性需要FreeRadius能夠實時查詢數字證書吊銷狀態，以便及時阻斷已經吊銷的數字證書認證，相關專業學者驗證了FreeRadius支持數字證書吊銷列表（CRL）驗證證書吊銷狀態，但是生產活動中的數字證書廠家的CRL產生周期基本無法做到實時，導致此種方式無法實時驗證數字證書吊銷狀態。

1 方法

搭建FreeRadius仿真環境，驗證不同信任體系數字證書通過EAP-TLS認證效果以及數字證書吊銷后的認證效果。仿真環境組成部分及說明如下：

①無線路由器或無線AP。用于搭建無線網絡，連接FreeRadius服務器進行無線認證；

②FreeRadius服務器。用于部署FreeRadius軟件。

③數字證書系統服務器。用于部署數字證書系統和OCSP系統。

④客戶端電腦。用于安裝客戶端證書以及驗證客戶端證書連接無線網絡。

2 名詞解釋

數字證書：包含所有者公鑰、私鑰和身份信息，私鑰保存在客戶端本地。本文說明的數字證書可來源于專業的數字認證機構，也可通過開源的數字證書生產軟件進行制作，不局限于USB KEY硬件證書或軟證書。

信任體系：數字證書信任體系按照證書鏈逐級信任，根證書是信任的源點，根證書由自己簽發，即頒發者和所有者都是根證書自己。中級證書由根證書簽發，用戶證書由中級證書簽發。從根證書到用戶證書通過簽發證書構成一條證書鏈，如圖1，可以看出下一級受信于上一級。在驗證證書有效性時需要對證書鏈進行驗證。

圖1 證書信任體系

數字證書格式：在FreeRadius的EAP-TLS配置中使用的數字證書格式，如pem格式，通過openssl對pfx、cer等數字證書進行格式轉換。

在線證書狀態協議（OCSP，Online Certificate Status Protocol）：是維護服務器和其他網絡資源安全性的兩種普遍模式之一。另一種更早期的方法是證書吊銷列表（CRL）。在線證書狀態協議（OCSP）克服了證書吊銷列表（CRL）的主要缺陷：必須定時在客戶端下載以確保吊銷列表的更新。當用戶試圖訪問一個服務器時，在線證書狀態協議發送一個對于證書狀態信息的請求，服務器回復一個“有效”、“過期”或“未知”的響應。協議規定了服務器和客戶端應用程序的通訊語法[2]。

3 仿真環境搭建

不同信任體系證書認證配置

關于FreeRadius軟件安裝及FreeRadius EAP-TLS配置內容可參考其他文獻說明，配置項一致，本文不再贅述。經過多次實驗驗證，通過調整可信任證書配置內容，能夠實現不同信任體系數字證書在一套FreeRadius的認證。說明如下：

主要不同點在于EAP.conf文件中的ca_file配置項中的證書內容，該配置項主要用于指定哪些證書機構頒發的客戶端證書應該被信任。如下所示：

Ca_file=${cadir}/mid.pem

針對該配置項，官方注釋說明如下：

# Trusted Root CA list

# ALL of the CA's in this list will be trusted to issue client certificates for authentication.

# In general， you should use self-signed certificates for 802.1x （EAP） authentication.

# In that case， this CA file should contain *one* CA certificate.

但注釋中并未詳細說明如何制作該配置文件所需的信任根證書列表文件。

仿真環境所指定的信任根證書列表文件為mid.pem。

mid.pem證書文件制作說明：

①導出不同證書體系證書鏈中的所有中級證書，如root1.cer、mid1.cer、root2.cer、mid2.cer；

②通過openssl命令將第一步導出的中級證書轉換為pem格式，如root1.pem、mid1.pem、root2.pem、mid2.pem，命令格式為：openssl x509 -inform der -in root1.cer -out root1.pem；

③使用cat命令將第二步制作的pem證書進行合并，此處需注意是將上一級證書加入下一級證書文件中，如cat root1.pem >> mid1.pem，cat root2.pem >> mid2.pem；

④將不同信任體系的數字證書進行合并，如cat mid1.pem >>mid2.pem，mid2.pem即是最終配置到EAP.conf中的mid.pem。

4 在線證書查詢協議配置

FreeRadius作為強大的Radius認證服務器，默認支持在線證書查詢協議獲取數字證書狀態。配置內容依然在EAP.conf文件中，配置內容信息如下：

# OCSP Configuration

# Certificates can be verified against an OCSP Responder. This makes it possible to immediately

# revoke certificates without the distribution of new Certificate Revocation Lists （CRLs）.

ocsp {

# Enable it. The default is "no". Deleting the entire "ocsp" subsection also disables ocsp checking

enable = yes #該配置項填寫“yes”即啟用ocsp驗證

# The OCSP Responder URL can be automatically extracted from the certificate in question. To override the OCSP Responder URL set "override_cert_url = yes".

override_cert_url = no #該配置項內容設置為“no”，將自動從客戶端證書獲取OCSP響應地址

}

關鍵配置內容如上所示：

①enable配置為yes，啟用OCSP驗證；

②override_cert_url配置為no，FreeRadius驗證直接從客戶端證書獲取OCSP響應地址，到該地址去獲取數字證書狀態。

客戶端數字證書配置

生產客戶端數字證書時需要指定相關擴展用法，說明如下：

①Netscape Cert Type：SSL 客戶端身份驗證，SMIME，SMIME CA（a2）（圖2）；

②增強型密鑰用法：客戶端身份驗證（1.3.6.1.5.5.7.3.2）、安全電子郵件（1.3.6.1.5.5.7.3.4）（圖3）；

③授權信息訪問：[1]Authority Info Access Access Method=證書頒發機構頒發者（1.3.6.1.5.5.7.48.2） Alternative Name：URL=http：//…………。其中Alternative Name值為OCSP響應URL，通過該URL能夠以在線證書查詢協議獲取數字證書狀態（圖4）。

圖2 客戶端身份驗證

圖3 增強型密鑰用法

圖4 授權信息訪問

5 驗證結果

證書制作完成后參考其他文獻說明進行FreeRadius相關配置即可，通過無線路由器或無線網關等網絡設備配置EAP中繼采用radius服務器認證，如圖5所示：

圖5 無線網關配置EAP中繼

配置完成后，驗證通過已配置的證書信任體系的客戶端證書訪問無線網絡，選擇使用證書連接，選擇已信任且有效客戶端證書，能夠正常訪問到無線網絡，如圖6所示：

圖6 客戶端證書連接無線網絡

同時通過FreeRadius日志觀察驗證過程，能夠詳細查看到客戶端證書驗證過程及驗證通過。

將已信任的客戶端證書通過數字證書系統服務端進行吊銷，再次連接無線網絡，已經無法連接到無線網絡，同時通過FreeRadius日志觀察認證過程發現，FreeRadius服務端獲取到客戶端證書狀態為revoked，服務端阻斷了已吊銷數字證書的認證請求。

6 結論

FreeRadius作為開源的認證服務器軟件廣泛應用于各種認證場景，但現有文獻或網絡資料中并未對不同信任體系數字證書認證進行說明，本文通過仿真實踐驗證了不同信任體系的數字證書能夠通過FreeRadius的EAP-TLS認證連接無線網絡，同時驗證了FreeRadius支持在線證書狀態查詢協議，能夠實時查詢客戶端數字證書狀態，及時阻斷已吊銷的客戶端數字證書。

萬物互聯的前提是萬物網絡接入，通過數字證書接入能夠避免出現非法入侵網絡導致接入設備信息泄露的風險，本文為不同信任體系數字證書接入無線網絡提供參考示范。

[1]http://www.freeradius.org/.

[2]https://searchsecurity.techtarget.com.cn/whatis/11-25218/.

[3]楊凌鳳.使用USBKey 提高FreeRadius證書認證的安全性[J].計算機安全，2008（2）：42-43.

[4]楊凌鳳.FreeRADIUS EAP-TLS的應用[J].電腦與電信，2007（11）.56-58.

成都市重點研發支撐計劃（立項編號：2019-YF-05-00425-SN）