结合802.1x的数字证书认证方法研究与应用

2017-10-13靳淑娟

网络安全技术与应用 2017年6期

◆靳淑娟袁泉

◆靳淑娟袁泉

（中国直升机设计研究所天津 300300）

身份认证是证实一个声称的身份是否真实有效的过程，是网络安全技术的一个重要组成部分，是整个信息安全体系的基础。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。它是以PKI（Public Key Infrastructure公钥基础设施）为基础，由CA（Certificate Authority认证中心）授权发放和维护。为某企业引进了数字认证技术，与现使用的各应用系统进行整合，尤其是操作系统的安全登录方面，采用数字证书加指纹Key与802.1x网络层身份验证技术相结合的方法，提高系统登录的安全性，保障信息系统更加安全可靠的运转。

身份认证；网络安全；PKI

0 引言

随着信息安全技术不断的发展和信息安全保密要求进一步提高，单一的身份验证方式已经远远不能满足系统安全性的需要，并对安全构成了一定的威胁。某企业的信息系统的建设已初具规模，但在安全方面仍存在一些问题。系统在认证用户中也仅仅采用简单的“用户名+口令”的方式来认证用户。这种模式的身份认证存在极大的安全隐患，如：在客户端口令易被猜测，被恶意攻击者掌握等。

鉴于现有系统存在的安全性问题，某企业在原有802.1x网络层身份验证技术的基础上，利用公开密钥基础设施构建一套双中心（证书管理中心、密钥管理中心）、双证书（签名证书、加密证书）二级架构PKI/CA信任体系，采用数字证书加指纹Key与802.1x网络层身份验证技术相结合的方法，实现某企业信息系统统一身份标识、统一身份签发以及统一身份管理。

1 现有身份认证体系

1.1现有身份认证

某企业初期建立了基于windows域的信息管理系统，通过windows域管理用户访问权限和应用执行权限。然而，基于windows的权限控制只能作用到应用层，无法实现对用户的物理访问权限的控制，比如对网络接入权限的控制，非法用户可随意接入用户网络，这就给网络和应用安全带来很多隐患。因此某企业提出并引入802.1x认证，与域认证结合以加强网络安全。通过技术上的突破，完成802.1x认证流程与windows域登录流程的整合后，某企业实现了初步的身份认证体系。

1.2现有身份认证存在的问题

目前某企业园区网的系统登录认证仍然采用微软传统的Windows登录认证方式，根据保密安全规则用户密码必须满足复杂性要求（口令:字符+数字+字母10位或者10位以上，密码需7天进行更改一次），但是基于用户账号和口令的身份认证机制有以下的弊端：用户口令容易被猜测，被恶意攻击者掌握等。为了更加有效地控制和管理网络资源，提高网络接入的安全性，某企业随后又引入了接入认证系统，通过其802.1x认证实现对接入用户的身份识别和权限控制。但是，802.1x只能从网络层对登陆行为进行认证，对用户信息无法非常准确的核实，因此并不能做到对用户身份信息的确认。因此在本文中提出使用基于数字证书+指纹KEY来实现操作系统的安全登录。

2 PKI/CA认证体系

2.1PKI/CA信任体系层次结构

某企业根据信息系统情况进行CA认证中心或RA注册审核中心的建设。通过构建一个完整的CA认证体系，可以有效实现对数字证书的验证，每一个数字证书都与上一级的签名证书相关联，最终通过安全认证链追溯到一个已知的可信赖的机构，由此便可对各CA中心所签发的数字证书进行有效性验证。

2.2PKI/CA身份认证建设方案

由于某企业已经建有AD域管理系统，因此，此次CA认证体系的上线需要充分考虑到与原有的AD域管理系统及802.1x网络身份认证技术的集成。在实施了指纹KEY的情况下，用户可以通过KEY中的数字证书进行身份验证，即用户必须持有指纹KEY、数字证书才能进行身份验证，这一要求大大地减少了入侵者访问单位网络的可能。

数字认证中心（CA）能够签发符合微软“智能卡登录”的证书，使用“智能卡（指纹KEY）登录”证书不仅可以在线的方式（即由域控制器验证证书，实现域登录）登录系统并访问域中的共享资源，还可以离线的方式（即在不能够访问AD服务器的情况下由本机验证证书，实现本地登录）登录系统。

2.3数字证书认证与现有认证方法整合

当前我们重点要处置双方的安全融合问题。通过对接入认证系统的相关技术的分析，如果在一个已经部署了802.1x与域登录结合的环境内再实施微软智能卡（CA数字证书指纹KEY）登录，存在以下矛盾：

802.1x证书认证不能同域登录同时进行。只能是系统登录完成后，再通过证书认证进行端口认证，通过后联通网络。因此接入认证系统提出了一个“逃生模式”，即在交换机未通过802.1x认证时可以先放过证书验证信息。成功登录后再启动802.1x认证，放过其他网络流量。但这种方案对交换机的型号有要求，有一定的局限性。

对此我们提出了不同的解决方法即安全套件解决模式。其实现方式是：对微软MSGINA界面进行修改，同时将操作系统当前的用户名、口令绑定至指纹KEY中，用户名与口令采用公钥进行加密，从而保证其口令的安全性，客户端启动时候，安全套件模拟原用户进行用户名、口令的提交过程，用户名、口令提交过程被iNode客户端（即802.1x接入认证客户端）所拦截，并发送至认证服务器。一旦认证通过后，启动证书认证流程。

首先在本地计算机上安装PC安全登录系统，绑定数字证书与用户账号的唯一关系，当用户插入指纹KEY登录操作系统时，首先验证usk key中的数字证书，其次通过证书与本地用户账号的关联项，验证用户账号的权限。

指纹KEY登录网络部署图如图1所示：

在某企业园区网中部署完成管理中心（CA）后，通过CA将证书和证书吊销列表（CRL）发布到Active Directory服务器。在域控制器中正确的配置证书的信任链，并通过设置组策略来指定智能卡的使用策略；然后，由管理员选择“域控制器”证书模版，为每台域控制器签发证书，在域控制器证书中绑定域控制器的计算机名、GUID、CRL发布点等信息；最后，在客户端安装指纹KEY驱动以及指纹KEY管理软件，通过CA服务器的申请页面，用户可以在管理员的配合下，选择“智能卡登录”证书模版自主申请并下载智能卡登录证书，智能卡登录证书会绑定用户的登录名、CRL发布点等信息。这样，用户就可以使用指纹KEY登录到域，由域控制器验证用户证书的有效性，如果用户证书被域控制器信任并有效，则允许登录，否则拒绝。

图1系统登录验证部署图

在windows域中部署数字认证中心（CA）的同时，域控制器会通过组策略机制刷新域内所有客户机的组策略，将智能卡证书的信任信息复制到客户机，这样客户机在无法连接到域控制器时，也可以使用智能卡证书登录本机。

2.4整合后的登录流程

在原有认证方式上建设完成的证书认证流程见图2。

图2 证书认证流程

首先需要用户计算机加入到Windows域，用户启动计算机之后，系统提示用户将指纹KEY插入客户端计算机的USB接口。

（1）系统要求用户输入指纹信息；

（2）指纹信息输入正确将解开数字证书（包含私钥）；

（3）通过数字信封解开先去绑定的域账号名、口令；

（4）网络系统模拟原用户登录用户，自动提交用户名、口令；

（5）用户名、口令提交过程被802.1x的iNode客户端所拦截，并发送至认证服务器；

（6）数据库认证通过，网络可以正常连接；

（7）客户端计算机将用户证书及用户签名从用户的指纹KEY发送至 Microsoft 密钥发行中心 (KDC), 该中心对客户进行身份验证；

（8）AD域控与客户端分别下载CRL（数字证书吊销列表）验证其数字证书的有效性。

KDC 将证书中的 UPN（用户主要名称）与 Active Directory 中的 UPN 进行比较。首先验证用户的证书。如果证书有效，那么 KDC 会验证预授权数据字段中的签名数据（该数据由用户在用户证书中使用公钥的初始请求中发送的）。然后 KDC 使用随机产生的对称密钥加密授权票证 (TGT)，之后再用证书的公钥将其作为来自 KDC 响应预授权字段的一部分进行加密。客户端计算机通过收到的密钥来对远程访问服务器进行身份验证。双方因此而进行了相互的身份验证。

用户退出登录时只需将KEY拔出，系统即可进入锁定状态，从而限制了他人对计算机的物理访问。