具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性，或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

名词解释：

数字证书：数字证书信任体系按照证书链逐级信任，根证书是信任的源点，根证书由自己签发，即颁发者和所有者都是根证书自己。如图5所示，中级证书由根证书签发，用户证书由中级证书签发。从根证书到用户证书通过签发证书构成一条证书链，在验证证书有效性时需要对证书链进行验证。

数字证书格式：在FreeRadius的EAP-TLS配置中使用的数字证书格式，如pem格式，通过openssl对pfx、cer等数字证书进行格式转换。

在线证书状态协议（OCSP，Online Certificate Status Protocol）：是维护FreeRadius服务器和其他网络资源安全性的两种普遍模式之一，另一种更早期的方法即为证书吊销列表（CRL），OCSP克服了CRL必须定时在客户端下载以确保吊销列表更新的主要缺陷。当用户试图访问一个FreeRadius服务器时，OCSP发送一个对于证书状态信息的请求，FreeRadius服务器回复一个“有效”、“过期”或“未知”的响应，协议规定了服务器和客户端应用程序的通讯语法。

本发明通过下述技术方案实现，如图1所示，一种无线网络安全认证的检测方法，包括以下步骤：

步骤S1：搭建FreeRadius仿真环境，搭建的FreeRadius仿真环境包括FreeRadius服务器、无线路由器或无线AP、数字证书系统服务器、客户端。

具体来说，搭建FreeRadius服务器，用于部署FreeRadius软件；搭建无线路由器或无线AP，用于搭建无线网络，连接FreeRadius服务器进行无线认证；搭建数字证书系统服务器，用于部署数字证书系统和OCSP系统；搭建客户端，安装客户端数字证书以及验证客户端数字证书连接无线网络。

步骤S2：调整FreeRadius仿真环境中不同信任体系的数字证书认证配置，以适配多信任体系数字证书。

关于FreeRadius软件安装及FreeRadius的EAP-TLS配置内容可参考已有的文献说明，经过多次验证，通过调整可信任证书的配置内容，能够实现不同信任体系的数字证书在一套FreeRadius的认证。

调整EAP.conf文件中的ca_file配置项中的数字证书内容，所述ca_file配置项用于指定一个或多个证书机构颁发的客户端证书应该被信任，比如：

ca_file=${cadir}/mid.pem

针对该配置项，官方的注释说明如下：

# Trusted Root CA list.

# ALL of the CA's in this list will be trusted to issue clientcertificates for authentication.

# In general, you should use self-signed certificates for 802.1x(EAP) authentication.

# In that case, this CA file should contain *one* CA certificate.

但是在该注释中并未说明如何制作该配置文件所需的信任根证书列表文件，因此需要在所述ca_file配置项中制作信任根证书列表文件mid.pem，制作mid.pem证书文件的步骤为：

①导出不同信任体系证书链中的所有中级证书，如root1.cer、mid1.cer、root2.cer、mid2.cer；

②通过openssl命令将导出的中级证书转换为pem格式，如root1.pem、mid1.pem、root2.pem、mid2.pem，命令格式为：openssl x509 -inform der -in root1.cer -outroot1.pem；

③使用cat命令将pem格式的中级证书进行合并，形成该信任体系的数字证书，此处需要注意的是将上一级证书加入到下一级证书文件中，如cat root1.pem >> mid1.pem，cat root2.pem >> mid2.pem；

④将不同信任体系的数字证书进行合并，如cat mid1.pem >>mid2.pem，mid2.pem，即形成EAP.conf文件中的信任根证书列表文件mid.pem。

步骤S3：调整FreeRadius仿真环境中在线证书查询协议配置，以启用在线证书状态查询功能。

将EAP.conf文件中的enable配置为yes，启用OCSP验证；将EAP.conf文件中的override_cert_url配置为no，FreeRadius软件从客户端证书获取OCSP相应地址，到该地址获取数字证书状态，以在线查询证书。相关的配置内容信息如下：

# OCSP Configuration.

# Certificates can be verified against an OCSP Responder. This makesit possible to immediately.

# revoke certificates without the distribution of new CertificateRevocation Lists (CRLs).

ocsp {

# Enable it. The default is "no". Deleting the entire "ocsp"subsection also disables ocsp checking.

enable = yes #该配置项填写“yes”即启用ocsp验证

# The OCSP Responder URL can be automatically extracted from thecertificate in question. To override the OCSP Responder URL set "override_cert_url = yes".

override_cert_url = no #该配置项内容设置为“no”，将自动从客户端证书获取OCSP响应地址

}

步骤S4：调整客户端数字证书配置，按照配置制作证书。

安装客户端数字证书时指定其相关扩展用法，请参见图2（a）、2（b）、2（c），所述扩展用法包括：

Netscape Cert Type：SSL客户端身份验证、SMIME、SMIME CA (a2)；

增强型秘钥用法：客户端身份验证、安全电子邮件；

授权信息访问：证书颁发机构颁发者（Authority Info Access Method）、Alternative Name: URL=http://，其中Authority Name值为OCSP响应URL，通过该URL能够以在线证书查询协议获取数字证书状态。

证书制作完成后参考其他文献说明进行FreeRadius相关配置即可，如图3所示，通过无线路由器或无线AP等网络设备配置EAP-TLS中继采用FreeRadius服务器认证。配置完成后，如图4所示，验证通过已配置的证书信任体系的客户端证书访问无线网络，选择使用证书连接，选择已信任且有效客户端证书，能够正常访问到无线网络。

同时通过FreeRadius日志观察验证过程，能够详细查看到客户端证书验证过程及验证通过。

然后将已信任的客户端证书通过数字证书系统服务端进行吊销，再次连接无线网络，已经无法连接到无线网络，同时通过FreeRadius日志观察认证过程发现，FreeRadius服务器获取到客户端证书状态为“revoked”，说明FreeRadius服务器阻断了已吊销数字证书的认证请求。

综上所述，FreeRadius作为开源的认证服务器软件广泛应用于各种认证场景，但现有文献或网络资源中并未对不同信任体系数字证书认证进行说明，本方案通过仿真实现检测了不同信任体系的数字证书能够通过FreeRadius的EAP-TLS认证连接无线网络，同时也检测了FreeRadius支持在线证书状态查询协议，能够实时查询客户端数字证书状态，并及时阻断已吊销的客户端数字证书。万物互联的前提是万物网络接入，通过数字证书接入能够避免出现非法入侵网络导致接入设备信息泄露的风险，本检测方法为不同信任体系数字证书接入无线网络提供了示范。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。