基本信息
- 项目名称:
- 基于数字证书的无线校园网安全接入认证系统
- 来源:
- 第十二届“挑战杯”省赛作品
- 小类:
- 信息技术
- 大类:
- 科技发明制作A类
- 简介:
- 本项目实现了基于数字证书的无线校园网安全接入统一认证系统,包括支持标准802.1x协议的客户端软件WAAASupplicant和以freeRadius+openLDAP为基础构建的认证服务器两部分。随着WEP、WPA近期被有效破解,无线局域网面临着严峻的接入安全威胁,本作品改变了传统的基于用户名和密码的认证方式,在开放、移动的无线校园网环境中为用户提供高安全性的接入认证服务。
- 详细介绍:
- 根据《2010中国WLAN市场年度研究报告》,截止2010年中国WLAN用户已突破4000万,其中有1500万以上用户集中在高校,无线校园网是校园网未来发展的必然趋势,已成为数字化校园重要组成部分。但同时,无线信道的开放性和用户移动性给校园网建设带来了新的难题,首当其冲的是接入管理和安全问题。IEEE于2004年6月公布了无线局域网(Wireless Local area Network;WLAN)接入认证标准——IEEE 802.1x,802.1x是802.11i安全标准的重要组成部分。 2008年9月,德国学者M.Beck 和E.Tews在日本的PacSec会议上展示了15分钟内对WPA的破解,并且提出了60秒内破解WEP (Wired Equivalent Privacy)密钥的优化方案。目前,针对WPA-PSK的CPU+GPU破解技术已经相当成熟,网络上流行的针对WPA的字典攻击破解软件随处可见。所以,当前公认的唯一可以信赖的WLAN安全国际标准只有实现了802.11i RSN强制性要求的WPA2,WPA2基于802.1x和CCMP(Counter-Mode/CBC-MAC Protocol)机制。不幸的是,2010年7月,airtight安全公司的研究人员发现了WPA2可遭利用“Hole 196”漏洞实施的内部中间人攻击(Man in the Middle,MITM),WLAN安全问题再一次引起广泛关注。 随着近期WLAN中WEP和WPA安全技术被有效破解,传统的基于用户名和口令方式的接入认证已经面临着严峻的安全威胁,基于数字证书的802.1x接入认证是802.11无线网络中目前公认唯一可信的安全接入解决方案。本项目根据WLAN当前面临的严峻安全威胁,设计并实现了基于数字证书的无线校园网安全接入统一认证系统,包括支持标准802.1x协议的客户端软件WAAASupplicant和以freeRadius+openLDAP为基础构建的认证服务器两部分,且WAAASupplicant与认证服务器相互独立。本接入统一认证系统依赖的网络接入设备(NAS)为支持802.1x协议的交换机或无线接入点AP。 通过客户端软件WAAASupplicant,用户可以安全而方便地通过无线方式连接AP完成认证过程,认证通过后被授权接入校园网。基于802.1x标准中的客户端状态机和EAP认证方式,并借助开发工具包 OpenSSL、WinPcap和Platform SDK,在WinXP平台上利用集成开发工具 VS2008,用面向对象编程方法实现支持EAP-TLS认证方式的Windows平台客户端软件WAAASupplicant。 认证服务器开放EAP-TLS、PEAP和EAP-MD5等多种认证方式,支持多个RADIUS认证服务器对LDAP目录服务器的集中统一访问,从而实现对无线和有线局域网用户接入的安全统一认证。以 Linux下开源软件freeRadius为RADIUS服务器,以开源软件openLDAP为 LDAP目录服务器,以开源软件BerkeleyDB为目录服务器的数据库,并通过修改相应的源码文件和配置文件,搭建起Linux操作平台下的IEEE 802局域网安全接入统一认证系统后台认证服务器。 并以编程实现的WAAASupplicant作为客户端软件,用Linux下的开源软件freeRadius+openLDAP作为后台认证服务器,用支持 802.1x标准的无线访问点AP作为认证系统构建具体的无线局域网安全接入统一认证系统实验平台,从实践中检验所实现的安全接入统一认证系统的可行性,可靠性和实用性。
作品图片
作品专业信息
设计、发明的目的和基本思路、创新点、技术关键和主要技术指标
- 随着近期WLAN中WEP和WPA安全技术被有效破解,传统的基于用户名和口令方式的接入认证已经面临着严峻的安全威胁,基于数字证书的802.1x接入认证是802.11无线网络中目前公认唯一可信的安全接入解决方案。本课题要求根据802.1x标准,结合高校无线校园网实际,设计并实现一个C/S架构的基于数字证书安全接入认证系统,实现无线用户的安全接入认证和动态密钥管理。 关键技术与指标如下: 1. 实现了基于数字证书的无线网络安全接入认证。数字证书支持X.509格式,认证方式采用EAP-TLS。 2. 实现动态会话密钥技术,一次一密;实现加密密钥的自动化管理。 3. 兼容现有支持IEEE 802.1x认证协议的网络交换设备,无需特殊硬件支撑,具有较好通用性和兼容性。 4. 设计并实现了一个轻量级CA,使本接入认证系统更适合那些对建设成本要求较低,而对灵活性和可扩展性要求较高的中小型无线网络环境(如企业园区网,校园网)。
科学性、先进性
- 作品的科学性和先进性如下: 1. 改变传统的基于用户名和密码认证方式,实现了基于数字证书的更安全可靠的无线接入认证方式EAP—TLS,达到目前最高安全标准,这也是未来无线网线接入认证技术变革的发展趋势。 2. 实现了轻量级CA,解决了制约数字证书技术在中小型网络环境中应用的高成本问题。由于数字证书的应用需要公钥基础设施(PKI)的支撑,即需要建设CA认证中心,而一个标准的CA系统建设成本很高,且可扩展性和灵活性差[5][6]。在一些环境下,如企业园区网,校园网中中搭建CA不仅要求成本较低,而且灵活性和可扩展性是另一重要指标[7],因此轻量级CA是更好选择。因此,轻量级CA使基于数字证书的无线网络接入认证在校园网中的应用成为可能。
获奖情况及鉴定结果
- 2009年12月,作品在中国科学院软件所举办的首届“中科杯”全国软件设计大赛中入围全国总决赛50强;2011年5月,作品在哈尔滨工程大学举办的第十七届“五四杯”科技创新竞赛中获得二等奖。
作品所处阶段
- 已完成系统实验室联调阶段。正在XX信息安全测评认证中心进行客户端软件测评认证,将在XX大学试运行。
技术转让方式
- 专利转让
作品可展示的形式
- 现场演示
使用说明,技术特点和优势,适应范围,推广前景的技术性说明,市场分析,经济效益预测
- 技术优势:在学术界,基于数字证书的无线接入认证方式EAP-TLS被公认具有最高的安全性,它也是IETF唯一推荐的无线接入认证方法;在业界,microsoft、HP、华为、神话数码均有相关产品,但是他们的产品对象为大型无线网络,仅一台IAS CA 售价达1.6万美元,整套认证系统的费用远非一般中小型企业、学校所能承受。在校园网和企业园区网方面,尚未见有针对性的产品出现。 适用范围:高校无线校园网、企业无线园区网等对成本比较敏感的中小型无线网络环境。 市场前景:无线校园网是已成为数字化校园重要组成部分,但无线信道的开放性和用户移动性给校园网建设带来了严重的接入安全问题。近一两年来,WEP、WPA先后被有效破解,基于数字证书的接入认证方式成为唯一公认安全的解决方案。一方面,广大中小企业无线园区网、无线校园网有着巨大的安全需求;另一方面,传统的PKI/CA公钥证书系统管理难度巨大、费用昂贵。因此,我们的作品在人们对安全和个人隐私的关注度普遍提高的当今时代将有稳定的潜在市场和可观经济效益。
同类课题研究水平概述
- 1. 在学术界,基于数字证书的无线接入认证技术是近两年无线局域网研究的一个热点领域。近两年来,IETF以RFC方文档形式公布了近十余种适于无线接入认证的认证方法如PEAP-TLS, EAP-TLS, EAP-TTLS,EAP-IKEv2,其中EAP-TLS是学界公认具有最高的安全性,它也是IETF唯一推荐的无线接入认证方法。 2. 在业界,国际IT巨头microsoft和HP公司,国内华为、神话数码均有相关产品,但是他们的产品对象为大型无线网络,仅一台IAS CA 售价达1.6万美元,整套认证系统的费用远非一般中小型企业、学样所能承受。在校园网和企业园区网方面,尚未见有针对性的产品出现。
