认证基于LDAP的无线接入统一身份认证机制设计与实现

基于LDAP的无线接入统一身份认证机制设计与实现

摘要对基于LDAP统一身份认证架构下的802.1x的无线接入认证整合进行研究。提出并建立一套保障信息安全的全局身份认证管理系统,在采用RC4安全加密技术的基础上,实现基于RADIUS的无线802.1 x/EAP接入认证和基于LDAP的认证服务的整合。实现接入用户认证管理和应用层统一身份认证用户的全局统一管理。

关键词统一身份认证;轻量级目录访问协议;802.1x;可扩展认证协议

随着高校校园网络规模扩张、应用深入,存在的一些问题日益凸现,显著影响着校园信息化的发展。建立一个能够集成校园内所有服务并且具有独立安全性的统一身份认证体系成为信息化校园建设的重要基础和安全保障。基于认证技术的接入控制和授权机制是无线局域网最基本的安全需求。如果不加限制的使用,将造成无线网络成为黑客和病毒的入侵薄弱环节,更加难以控制和追查。作为全面的“深层防御”安全架构的一部分,内部基础设施的接入访问权管理将从源头上为信息安全设置一道有效的屏障。本文的研究讨论的内容是基于L DAP统一身份认证架构下的802.1x的无线接入认证整合。

1轻量级目录访问协议LDAP

LDAP(Lightweight Directory Acce ss Protoco l:轻量级目录访问协议)是由美国M ic higan大学研发的一个新的目录访问协议,它是在继承了X.500标准的优点的基础上发展起来的。 LDAP不同于关系型数据库,是一种标准的目录服务技术,它为浏览和查找目录及内容读取提供了专门的优化,从LDAP服务器中读取数据比关系型数据库中读取数据快一个数量级。

2系统设计与实现

统一身份认证平台是基于Sun Identity Server开发实现,提供身份管理、单点登录、认证接口和数据同步服务功能。主要由目录服务器、服务提供接口、认证模块、管理平台和数据同步模块几部分组成。

由于LDAP缺乏对原生(Native)Rad ius的支持,设计采用Authe nticatio n pro xy技术方法,通过建立认证代理来完成Rad ius-to-LD AP认证。安全接入和数据保护是WLAN的两个主要安全问题。通过对比分析几种接入认证方式,如web+rad ius、PPPoE+Radius,802.1 x+Radius等等,在本项目中采用RADIUS+802.1 x结合WAP/EAP实现接入访问控制。在客户与RAD IUS服务器之间采用C HAP协议进行身份的认证。有线网协议IEEE802.1 x和新颁布的无线网协议IEEE802.1 li以及IETF RFC3162和Wi-Fi联盟的WPA协议等在内的标准或建议中,均推荐采用基于远程认证拨号接入服务/扩展认证协议(Remote Authentication Dial InServices/Extensible Authentication Protocol,RADIUS/EAP)的集中式处理方式来解决WLAN中接入或访问控制(Acce ss Contro 1)的安全认证问题。