專利名稱:一種eap認(rèn)證中的標(biāo)識(shí)認(rèn)證方法��、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊技術(shù)領(lǐng)域����,尤其涉及一種EAP認(rèn)證中的標(biāo)識(shí)認(rèn)證方法、系統(tǒng)和設(shè)備��。
背景技術(shù):
EAP(Extensible Authentication Protocol, njif MiAilEt^il) Ψ ^Ν 絡(luò)接入認(rèn)證的可擴(kuò)展框架���,可以支持不同的認(rèn)證方法����。EAP—般承載在互聯(lián)網(wǎng)二層協(xié)議 之上��,用戶只有在完成EAP規(guī)定的認(rèn)證之后才能進(jìn)行合法的網(wǎng)絡(luò)通信�,不能正確認(rèn)證的 用戶則不能進(jìn)行數(shù)據(jù)通信���。許多網(wǎng)絡(luò)都使用EAP作為接入認(rèn)證的標(biāo)準(zhǔn)協(xié)議�����,如802. 11��、 WIMAX(Worldwide Interoperability for Microwave Access�,^ ^ ^: ! ) ·。 EAP是互聯(lián)網(wǎng)安全認(rèn)證的基礎(chǔ)��,其包括三個(gè)實(shí)體客戶端��,認(rèn)證者���,AAA (Authentication/ Authorization/Accounting�����,認(rèn)證/授權(quán)/計(jì)費(fèi))服務(wù)器����。其原理如下認(rèn)證者向客戶端發(fā) 起一個(gè)認(rèn)證標(biāo)識(shí)符請(qǐng)求(ΕΑΡ Request/ID)���,客戶端返回自己的認(rèn)證標(biāo)識(shí)符(EAPResponse/ ID)�����,認(rèn)證者把客戶端的認(rèn)證標(biāo)識(shí)轉(zhuǎn)發(fā)給AAA服務(wù)器���,服務(wù)器通過本地配置判斷此客戶端應(yīng) 該進(jìn)行何種具體的認(rèn)證方法(如EAP-MD5���,EAP-TLS等),然后開始發(fā)起具體的認(rèn)證過程�。在 認(rèn)證過程中,認(rèn)證者對(duì)EAP的認(rèn)證消息在客戶端和AAA服務(wù)器之間進(jìn)行透?jìng)?,由于不?zhí)行具 體的認(rèn)證計(jì)算,認(rèn)證者作為接入點(diǎn)不需要實(shí)現(xiàn)具體的認(rèn)證方法��;客戶端和AAA服務(wù)器進(jìn)行 認(rèn)證相關(guān)的安全計(jì)算���,因此保持了網(wǎng)絡(luò)的可擴(kuò)展性�。不同的認(rèn)證方法有不同的安全強(qiáng)度����,比如說EAP-MD5僅讓服務(wù)器認(rèn)證客戶端,客 戶端沒有能力認(rèn)證服務(wù)器��,而EAP-TLS則能夠支持服務(wù)器和客戶端的雙向認(rèn)證����,具有相對(duì) 更高的安全強(qiáng)度�����。這樣造成了偽造認(rèn)證標(biāo)識(shí)符的攻擊形式,假設(shè)用戶A使用的是EAP-MD5�����, 攻擊者M(jìn)竊取了用戶A的認(rèn)證標(biāo)識(shí)向服務(wù)器發(fā)起認(rèn)證���,服務(wù)器則會(huì)向M發(fā)起EAP-MD5的認(rèn) 證���,使得攻擊者M(jìn)較容易入侵網(wǎng)絡(luò)。為了克服現(xiàn)有技術(shù)中存在的偽造認(rèn)證標(biāo)識(shí)符的問題�����,現(xiàn)有技術(shù)中提供了以下解決 方式����。方法一是忽略認(rèn)證標(biāo)識(shí)交互,由于現(xiàn)有技術(shù)中規(guī)定EAP認(rèn)證標(biāo)識(shí)的交互是可選 的���,因此提出可以忽略EAP認(rèn)證開始的認(rèn)證標(biāo)識(shí)交互�,對(duì)所有的用戶使用同一個(gè)初始的認(rèn) 證方法�,在EAP安全隧道建立起來之后再交換認(rèn)證標(biāo)識(shí)����。因此其通過避免EAP認(rèn)證標(biāo)識(shí)的 交互過程來防止偽造認(rèn)證標(biāo)識(shí)的攻擊�。該方法存在的問題在于,其并不能作為一個(gè)通用的 方案�,因?yàn)槟壳昂芏鄨?chǎng)景和認(rèn)證方法都需要AAA服務(wù)器獲知客戶端的認(rèn)證標(biāo)識(shí)。方法二是通過交換一個(gè)匿名的方式來防止攻擊者偽造標(biāo)識(shí)����,具體的,可以使用在 EAP開始的認(rèn)證標(biāo)識(shí)交換過程中使用一個(gè)省略用戶ID的網(wǎng)絡(luò)地址標(biāo)識(shí)�,如”O(jiān)example. net” 來標(biāo)識(shí)客戶端;或在EAP認(rèn)證標(biāo)識(shí)交互中使用“匿名+域名”的方式來提供ID保護(hù)�����,如同一 域(example.net)下的用戶使用”anonymous@example. net”作為統(tǒng)一的認(rèn)證標(biāo)識(shí)����。由于此 NAI中沒有用戶的標(biāo)識(shí)信息,用戶的標(biāo)識(shí)不會(huì)被竊取����。但是該方法存在的問題在于,雖然在 NAI中沒有用戶的標(biāo)識(shí)信息���,但是攻擊者仍然能夠輕易偽造此NAI信息來進(jìn)行ID欺騙����,因此該方法只保護(hù)了用戶的ID不在明文傳輸中泄露���,不能防止偽造ID的攻擊行為����。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供一種EAP認(rèn)證中的標(biāo)識(shí)認(rèn)證方法�����、系統(tǒng)和設(shè)備��,用于防止攻 擊者竊取盜用其他用戶的EAP認(rèn)證標(biāo)識(shí)���。本發(fā)明的實(shí)施例提供了一種EAP認(rèn)證中的標(biāo)識(shí)認(rèn)證方法��,包括接收客戶端發(fā)送的EAP消息����,獲取所述EAP消息中攜帶的所述客戶端的認(rèn)證標(biāo)識(shí)��、 隨機(jī)數(shù)、公鑰以及簽名信息����;根據(jù)認(rèn)證標(biāo)識(shí)生成算法、以及所述隨機(jī)數(shù)和公鑰�,對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽 名信息進(jìn)行認(rèn)證。其中���,所述接收客戶端發(fā)送的EAP消息前��,還包括所述客戶端根據(jù)RSA公開密鑰算法生成公鑰和私鑰����;所述客戶端根據(jù)所述公鑰和認(rèn)證標(biāo)識(shí)生成算法����,生成認(rèn)證標(biāo)識(shí);所述客戶端接收到EAP認(rèn)證請(qǐng)求時(shí)����,生成隨機(jī)數(shù),并根據(jù)所述隨機(jī)數(shù)和所述私鑰 生成簽名信息��;所述客戶端向認(rèn)證服務(wù)器發(fā)送EAP消息�����,所述EAP消息中攜帶所述客戶端的認(rèn)證 標(biāo)識(shí)、隨機(jī)數(shù)��、公鑰以及簽名信息��。其中�,所述對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽名信息進(jìn)行認(rèn)證包括根據(jù)認(rèn)證標(biāo)識(shí)生成算法以及所述公鑰�,生成認(rèn)證標(biāo)識(shí);所述生成的認(rèn)證標(biāo)識(shí)與所 述客戶端發(fā)送的EAP消息中攜帶的認(rèn)證標(biāo)識(shí)相同時(shí)�����,對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)的認(rèn)證成 功�;否則認(rèn)證失敗�;根據(jù)所述客戶端的公鑰和所述隨機(jī)數(shù),對(duì)所述客戶端發(fā)送的EAP消息中攜帶的簽 名信息進(jìn)行認(rèn)證�;獲取認(rèn)證結(jié)果。其中���,所述客戶端發(fā)送的EAP消息為EAP響應(yīng)消息����,所述EAP響應(yīng)消息中攜帶長(zhǎng)度 為160位的認(rèn)證標(biāo)識(shí)、以及長(zhǎng)度為M位的隨機(jī)數(shù)�。其中,所述認(rèn)證標(biāo)識(shí)生成算法為SHA-I單向Hash函數(shù)���。其中���,所述對(duì)客戶端的認(rèn)證標(biāo)識(shí)和簽名信息進(jìn)行認(rèn)證后,還包括對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽名信息的認(rèn)證通過后�����,根據(jù)所述客戶端的認(rèn)證標(biāo)識(shí) 對(duì)應(yīng)的EAP認(rèn)證方法����,對(duì)所述客戶端進(jìn)行EAP認(rèn)證。本發(fā)明的實(shí)施例還提供了一種認(rèn)證服務(wù)器��,包括獲取單元���,用于接收客戶端發(fā)送的EAP消息��,獲取所述EAP消息中攜帶的所述客戶 端的認(rèn)證標(biāo)識(shí)�、隨機(jī)數(shù)、公鑰以及簽名信息�;認(rèn)證單元,用于根據(jù)認(rèn)證標(biāo)識(shí)生成算法��、以及所述隨機(jī)數(shù)和公鑰��,對(duì)所述客戶端的 認(rèn)證標(biāo)識(shí)和簽名信息進(jìn)行認(rèn)證����。其中����,所述認(rèn)證單元具體用于根據(jù)認(rèn)證標(biāo)識(shí)生成算法以及所述公鑰,生成認(rèn)證標(biāo)識(shí)��;所述生成的認(rèn)證標(biāo)識(shí)與所 述客戶端發(fā)送的EAP消息中攜帶的認(rèn)證標(biāo)識(shí)相同時(shí)�,對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)的認(rèn)證成 功;否則認(rèn)證失?���。桓鶕?jù)所述客戶端的公鑰和所述隨機(jī)數(shù)�����,對(duì)所述客戶端發(fā)送的EAP消息中攜帶的簽
5名信息進(jìn)行認(rèn)證;獲取認(rèn)證結(jié)果��。其中�,還包括配置單元,用于存儲(chǔ)每一客戶端認(rèn)證標(biāo)識(shí)對(duì)應(yīng)的EAP認(rèn)證方法�����,并提供給所述認(rèn) 證單元���;所述認(rèn)證單元����,還用于對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽名信息的認(rèn)證通過后�����,根據(jù) 所述客戶端的認(rèn)證標(biāo)識(shí)對(duì)應(yīng)的EAP認(rèn)證方法����,對(duì)所述客戶端進(jìn)行EAP認(rèn)證。本發(fā)明的實(shí)施例還提供了一種客戶端�����,包括密鑰生成單元,用于根據(jù)RSA公開密鑰算法生成公鑰和私鑰��;認(rèn)證標(biāo)識(shí)生成單元��,用于根據(jù)所述公鑰和認(rèn)證標(biāo)識(shí)生成算法��,生成認(rèn)證標(biāo)識(shí)�����;簽名信息生成單元�,用于接收到EAP認(rèn)證請(qǐng)求時(shí),生成隨機(jī)數(shù)�����,并根據(jù)所述隨機(jī)數(shù) 和所述私鑰生成簽名信息���;EAP消息發(fā)送單元,用于向認(rèn)證服務(wù)器發(fā)送EAP消息���,所述EAP消息中攜帶所述客 戶端的認(rèn)證標(biāo)識(shí)�����、隨機(jī)數(shù)�����、公鑰以及簽名信息��。本發(fā)明的實(shí)施例還提供了一種EAP認(rèn)證系統(tǒng)�����,包括客戶端�����,用于向認(rèn)證服務(wù)器發(fā)送EAP消息���,所述EAP消息中攜帶所述客戶端的認(rèn)證 標(biāo)識(shí)���、隨機(jī)數(shù)、公鑰以及簽名信息��;認(rèn)證服務(wù)器���,用于接收所述客戶端發(fā)送的EAP消息�,獲取所述EAP消息中攜帶的所 述客戶端的認(rèn)證標(biāo)識(shí)、隨機(jī)數(shù)��、公鑰以及簽名信息����;根據(jù)認(rèn)證標(biāo)識(shí)生成算法、以及所述隨機(jī) 數(shù)和公鑰����,對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽名信息進(jìn)行認(rèn)證。與現(xiàn)有技術(shù)相比�����,本發(fā)明的實(shí)施例具有以下優(yōu)點(diǎn)本發(fā)明的實(shí)施例中�,利用公開密鑰和EAP認(rèn)證標(biāo)識(shí)ID的綁定技術(shù)來防止認(rèn)證標(biāo)識(shí) 被盜用,徹底的防止了攻擊者竊取盜用其他用戶認(rèn)證標(biāo)識(shí)��,而現(xiàn)有的相關(guān)的技術(shù)沒有解決 這個(gè)問題����;另外�����,其支持不同的EAP認(rèn)證方法,不需要修改已有的EAP認(rèn)證協(xié)議�����,屬于通用的 解決方法����。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下����,還可 以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明實(shí)施例中提供的EAP認(rèn)證中的標(biāo)識(shí)認(rèn)證方法流程圖����;圖2是本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景中提供的EAP認(rèn)證中的標(biāo)識(shí)認(rèn)證方法流程圖;圖3是本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景中EAP Response消息的結(jié)構(gòu)示意圖����;圖4是本發(fā)明實(shí)施例中提供的認(rèn)證服務(wù)器的結(jié)構(gòu)示意圖;圖5是本發(fā)明實(shí)施例中提供的客戶端的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完 整地描述���,顯然���,所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí) 施例����,都屬于本發(fā)明保護(hù)的范圍。本發(fā)明的實(shí)施例提供了一種EAP認(rèn)證中的標(biāo)識(shí)認(rèn)證方法���,如圖1所示�,包括步驟SlOl�、接收客戶端發(fā)送的EAP消息���,獲取EAP消息中攜帶的客戶端的認(rèn)證標(biāo) 識(shí)����、隨機(jī)數(shù)、公鑰以及簽名信息��;步驟sl02����、根據(jù)認(rèn)證標(biāo)識(shí)生成算法、以及隨機(jī)數(shù)和公鑰�,對(duì)客戶端的認(rèn)證標(biāo)識(shí)和簽 名信息進(jìn)行認(rèn)證。本發(fā)明的實(shí)施例提供了一個(gè)具體的應(yīng)用場(chǎng)景����,描述本發(fā)明提供的EAP認(rèn)證中的標(biāo) 識(shí)認(rèn)證方法的具體實(shí)施方式
。本發(fā)明的應(yīng)用場(chǎng)景中���,客戶端生成RSA公鑰算法下對(duì)應(yīng)的公鑰1 和私鑰SK����,利用 PK和認(rèn)證標(biāo)識(shí)生成算法生成自己對(duì)應(yīng)的160位的認(rèn)證標(biāo)識(shí)����,例如采用單向Hash函數(shù)SHA-I 作為認(rèn)證標(biāo)識(shí)生成算法����,則ID = SHA-I (PK)�����。公鑰算法的性質(zhì)保證了通過公鑰Hi無法推導(dǎo) 出私鑰SK�����,而沒有私鑰SK也無法偽造數(shù)字簽名信息��;單向函數(shù)的性質(zhì)保證了無法根據(jù)另外 一個(gè)I3K’映射到同樣一個(gè)ID.另外���,作為EAP認(rèn)證服務(wù)器的AAA服務(wù)器根據(jù)客戶端生成的認(rèn)證標(biāo)識(shí)ID在本地配 對(duì)客戶端配置相應(yīng)的EAP認(rèn)證方法�。如客戶端A使用的認(rèn)證方法為EAP-MD5����,則AAA服務(wù)器 在配置中,對(duì)于客戶端A的ID和EAP-MD5方法之間建立映射關(guān)系��;如用戶B所使用的認(rèn)證 方法為EAP-TLS����,則AAA服務(wù)器在配置中,對(duì)于客戶端B的ID和EAP-TLS方法之間建立映射 關(guān)系�����。本發(fā)明提供的實(shí)施例中,EAP認(rèn)證中的標(biāo)識(shí)認(rèn)證方法如圖2所示����,包括以下步驟步驟s201、認(rèn)證者(Authenticator)發(fā)起EAP認(rèn)證�,向客戶端A (ΕΑΡ PeerA)發(fā)送 EAP Request/ID消息。其中認(rèn)證者可以為網(wǎng)絡(luò)接入服務(wù)器���。步驟s202�����、客戶端A生成數(shù)字簽名�����,附加公鑰信息����。具體的�����,客戶端A生成隨機(jī)數(shù)Ra���,并根據(jù)私鑰SK和數(shù)字簽名算法生成數(shù)字簽名 RSa�。步驟s203、客戶端A返回EAP Response/ID,在消息中攜帶客戶端A的認(rèn)證標(biāo)識(shí) ID,隨機(jī)數(shù)Ra,公鑰PK���,以及簽名信息����。其中���,客戶端A在發(fā)送的EAP Response/ID中�����,添加預(yù)先生成的認(rèn)證標(biāo)識(shí)假設(shè) 為IDa,除了響應(yīng)ID信息之外�����,還在EAP Response/ID消息中附加自己的公鑰PKa,隨機(jī)數(shù) Ra����,以及利用I^a簽名算法和私鑰SKa計(jì)算的簽名信息�����。本發(fā)明的實(shí)施例中,修改后的EAP Response/ID的消息格式的一種可用形式可以如圖3所示���。 步驟s204、EAP標(biāo)識(shí)的認(rèn)證過程。其中�,AAA服務(wù)器接收到客戶端A返回的認(rèn)證標(biāo)識(shí)后��,計(jì)算確認(rèn)此客戶端A是否為 該標(biāo)識(shí)IDa的合法擁有者�。以認(rèn)證標(biāo)識(shí)算法為單向Hash函數(shù)SHA-I為例�,則AAA服務(wù)器首 先檢查公式ID = SHA-I (PK)是否成立��,如果成立�,則再利用公鑰I3K檢查EAP Response/ID 消息中包含的數(shù)字簽名是否正確,如果正確�,AAA服務(wù)器則確認(rèn)此客戶端A的確是此標(biāo)識(shí) IDa的擁有者�,隨后發(fā)起相應(yīng)的EAP認(rèn)證過程。通過上述流程��,攻擊者無法進(jìn)行偽造認(rèn)證標(biāo)識(shí)的攻擊。首先,雖然攻擊者能夠竊聽 到客戶端明文傳輸?shù)腎D信息和公鑰Hi�����,但是攻擊者無法通過公鑰推導(dǎo)出私鑰,也就不能偽造出對(duì)應(yīng)的簽名信息。其次�,攻擊者不能通過另外一個(gè)公鑰來得到相同的ID���,由于ID是由 Hi通過單向函數(shù)SHA-I計(jì)算出來的�,攻擊者不能通過另外一個(gè)PK’來得到相同的ID��。本發(fā)明的實(shí)施例提供的方法中,利用公開密鑰和EAP認(rèn)證標(biāo)識(shí)ID的綁定技術(shù)來防 止認(rèn)證標(biāo)識(shí)被盜用�,徹底的防止了攻擊者竊取盜用其他用戶認(rèn)證標(biāo)識(shí)�,而現(xiàn)有的相關(guān)的技 術(shù)沒有解決這個(gè)問題���;另外,其支持不同的EAP認(rèn)證方法���,不需要修改已有的EAP認(rèn)證協(xié)議����, 屬于通用的解決方法。本發(fā)明的實(shí)施例提供了一種EAP認(rèn)證系統(tǒng)��,包括客戶端����,用于向認(rèn)證服務(wù)器發(fā)送EAP消息��,EAP消息中攜帶客戶端的認(rèn)證標(biāo)識(shí)�、隨 機(jī)數(shù)�、公鑰以及簽名信息;認(rèn)證服務(wù)器�����,用于接收客戶端發(fā)送的EAP消息�,獲取EAP消息中攜帶的客戶端的認(rèn) 證標(biāo)識(shí)����、隨機(jī)數(shù)��、公鑰以及簽名信息�;根據(jù)認(rèn)證標(biāo)識(shí)生成算法、以及隨機(jī)數(shù)和公鑰���,對(duì)客戶端 的認(rèn)證標(biāo)識(shí)和簽名信息進(jìn)行認(rèn)證���。本發(fā)明的實(shí)施例提供的認(rèn)證服務(wù)器中����,其結(jié)構(gòu)如圖4所示���,包括獲取單元10���,用于接收客戶端發(fā)送的EAP消息,獲取EAP消息中攜帶的客戶端的認(rèn) 證標(biāo)識(shí)、隨機(jī)數(shù)��、公鑰以及簽名信息��;認(rèn)證單元20,用于根據(jù)認(rèn)證標(biāo)識(shí)生成算法�、以及隨機(jī)數(shù)和公鑰�����,對(duì)客戶端的認(rèn)證標(biāo) 識(shí)和簽名信息進(jìn)行認(rèn)證���。該認(rèn)證單元20具體用于根據(jù)認(rèn)證標(biāo)識(shí)生成算法以及公鑰,生成認(rèn)證標(biāo)識(shí)�����;生成的認(rèn)證標(biāo)識(shí)與客戶端發(fā)送 的EAP消息中攜帶的認(rèn)證標(biāo)識(shí)相同時(shí)�,對(duì)客戶端的認(rèn)證標(biāo)識(shí)的認(rèn)證成功���;否則認(rèn)證失敗;根 據(jù)客戶端的公鑰和隨機(jī)數(shù)�,對(duì)客戶端發(fā)送的EAP消息中攜帶的簽名信息進(jìn)行認(rèn)證��;獲取認(rèn) 證結(jié)果���。該認(rèn)證服務(wù)器還可以包括配置單元30���,用于存儲(chǔ)每一客戶端認(rèn)證標(biāo)識(shí)對(duì)應(yīng)的 EAP認(rèn)證方法�����,并提供給認(rèn)證單元20����。認(rèn)證單元20�,還用于對(duì)客戶端的認(rèn)證標(biāo)識(shí)和簽名信息的認(rèn)證通過后,根據(jù)客戶端 的認(rèn)證標(biāo)識(shí)對(duì)應(yīng)的EAP認(rèn)證方法����,對(duì)客戶端進(jìn)行EAP認(rèn)證�����。本發(fā)明的實(shí)施例提供的客戶端中����,其結(jié)構(gòu)如圖5所示,包括密鑰生成單元50����,用于根據(jù)RSA公開密鑰算法生成公鑰和私鑰���;認(rèn)證標(biāo)識(shí)生成單元60�,用于根據(jù)公鑰和認(rèn)證標(biāo)識(shí)生成算法,生成認(rèn)證標(biāo)識(shí)����;簽名信息生成單元70��,用于接收到EAP認(rèn)證請(qǐng)求時(shí)��,生成隨機(jī)數(shù)�����,并根據(jù)隨機(jī)數(shù)和 密鑰生成單元50生成的私鑰生成簽名信息���;EAP消息發(fā)送單元80����,用于向認(rèn)證服務(wù)器發(fā)送EAP消息�,EAP消息中攜帶認(rèn)證標(biāo)識(shí) 生成單元60生成的認(rèn)證標(biāo)識(shí)、密鑰生成單元50生成的公鑰以及簽名信息生成單元70生成 的隨機(jī)數(shù)和簽名信息�。本發(fā)明的實(shí)施例提供的系統(tǒng)和設(shè)備中,利用公開密鑰和EAP認(rèn)證標(biāo)識(shí)ID的綁定技 術(shù)來防止認(rèn)證標(biāo)識(shí)被盜用�,徹底的防止了攻擊者竊取盜用其他用戶認(rèn)證標(biāo)識(shí)���,而現(xiàn)有的相 關(guān)的技術(shù)沒有解決這個(gè)問題�����;另外����,其支持不同的EAP認(rèn)證方法,不需要修改已有的EAP認(rèn) 證協(xié)議�����,屬于通用的解決方法。通過以上的實(shí)施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通
8過硬件實(shí)現(xiàn)����,也可以借助軟件加必要的通用硬件平臺(tái)的方式來實(shí)現(xiàn)?�;谶@樣的理解�,本發(fā) 明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ) 介質(zhì)(可以是⑶-ROM����,U盤,移動(dòng)硬盤等)中�����,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可 以是個(gè)人計(jì)算機(jī)�����,服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法�����。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖�����,附圖中的單元或流 程并不一定是實(shí)施本發(fā)明所必須的�。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的單元可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中�,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上 述實(shí)施例的單元可以合并為一個(gè)單元���,也可以進(jìn)一步拆分成多個(gè)子單元�����。上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣����。
權(quán)利要求
1.一種可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證中的標(biāo)識(shí)認(rèn)證方法,其特征在于�����,包括接收客戶端發(fā)送的EAP消息,獲取所述EAP消息中攜帶的所述客戶端的認(rèn)證標(biāo)識(shí)���、隨機(jī) 數(shù)���、公鑰以及簽名信息;根據(jù)所述認(rèn)證標(biāo)識(shí)生成算法�����、以及所述隨機(jī)數(shù)和公鑰��,對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽 名信息進(jìn)行認(rèn)證�����。
2.如權(quán)利要求1所述的方法�����,其特征在于����,所述接收客戶端發(fā)送的EAP消息前��,還包括所述客戶端根據(jù)RSA公開密鑰算法生成公鑰和私鑰�����;所述客戶端根據(jù)所述公鑰和認(rèn)證標(biāo)識(shí)生成算法��,生成認(rèn)證標(biāo)識(shí)��;所述客戶端接收到EAP認(rèn)證請(qǐng)求時(shí)��,生成隨機(jī)數(shù)�����,并根據(jù)所述隨機(jī)數(shù)和所述私鑰生成 簽名信息�;所述客戶端向認(rèn)證服務(wù)器發(fā)送EAP消息���,所述EAP消息中攜帶所述客戶端的認(rèn)證標(biāo)識(shí)�、 隨機(jī)數(shù)����、公鑰以及簽名信息���。
3.如權(quán)利要求1所述的方法����,其特征在于,所述對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽名信息 進(jìn)行認(rèn)證包括根據(jù)認(rèn)證標(biāo)識(shí)生成算法以及所述公鑰��,生成認(rèn)證標(biāo)識(shí)�����;所述生成的認(rèn)證標(biāo)識(shí)與所述客 戶端發(fā)送的EAP消息中攜帶的認(rèn)證標(biāo)識(shí)相同時(shí)�����,對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)的認(rèn)證成功���;否 則認(rèn)證失??;根據(jù)所述客戶端的公鑰和所述隨機(jī)數(shù),對(duì)所述客戶端發(fā)送的EAP消息中攜帶的簽名信 息進(jìn)行認(rèn)證�;獲取認(rèn)證結(jié)果。
4.如權(quán)利要求1至3中任一項(xiàng)所述的方法����,其特征在于�,所述客戶端發(fā)送的EAP消息 為EAP響應(yīng)消息����,所述EAP響應(yīng)消息中攜帶長(zhǎng)度為160位的認(rèn)證標(biāo)識(shí)、以及長(zhǎng)度為M位的 隨機(jī)數(shù)��。
5.如權(quán)利要求1至3中任一項(xiàng)所述的方法��,其特征在于����,所述認(rèn)證標(biāo)識(shí)生成算法為 SHA-I單向Hash函數(shù)。
6.如權(quán)利要求1所述的方法���,其特征在于�����,所述對(duì)客戶端的認(rèn)證標(biāo)識(shí)和簽名信息進(jìn)行 認(rèn)證后���,還包括對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽名信息的認(rèn)證通過后,根據(jù)所述客戶端的認(rèn)證標(biāo)識(shí)對(duì)應(yīng) 的EAP認(rèn)證方法�,對(duì)所述客戶端進(jìn)行EAP認(rèn)證。
7.—種認(rèn)證服務(wù)器,其特征在于���,包括獲取單元,用于接收客戶端發(fā)送的EAP消息����,獲取所述EAP消息中攜帶的所述客戶端的 認(rèn)證標(biāo)識(shí)、隨機(jī)數(shù)����、公鑰以及簽名信息;認(rèn)證單元���,用于根據(jù)認(rèn)證標(biāo)識(shí)生成算法����、以及所述隨機(jī)數(shù)和公鑰��,對(duì)所述客戶端的認(rèn)證 標(biāo)識(shí)和簽名信息進(jìn)行認(rèn)證�。
8.如權(quán)利要求7所述的認(rèn)證服務(wù)器,其特征在于�,所述認(rèn)證單元具體用于根據(jù)認(rèn)證標(biāo)識(shí)生成算法以及所述公鑰,生成認(rèn)證標(biāo)識(shí)���;所述生成的認(rèn)證標(biāo)識(shí)與所述客 戶端發(fā)送的EAP消息中攜帶的認(rèn)證標(biāo)識(shí)相同時(shí)��,對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)的認(rèn)證成功��;否 則認(rèn)證失?����?����;根據(jù)所述客戶端的公鑰和所述隨機(jī)數(shù)�,對(duì)所述客戶端發(fā)送的EAP消息中攜帶的簽名信息進(jìn)行認(rèn)證;獲取認(rèn)證結(jié)果��。
9.如權(quán)利要求7所述的認(rèn)證服務(wù)器�,其特征在于,還包括配置單元���,用于存儲(chǔ)每一客戶端認(rèn)證標(biāo)識(shí)對(duì)應(yīng)的EAP認(rèn)證方法����,并提供給所述認(rèn)證單元����;所述認(rèn)證單元����,還用于對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽名信息的認(rèn)證通過后��,根據(jù)所述 客戶端的認(rèn)證標(biāo)識(shí)對(duì)應(yīng)的EAP認(rèn)證方法����,對(duì)所述客戶端進(jìn)行EAP認(rèn)證����。
10.一種客戶端,其特征在于��,包括密鑰生成單元�,用于根據(jù)RSA公開密鑰算法生成公鑰和私鑰; 認(rèn)證標(biāo)識(shí)生成單元����,用于根據(jù)所述公鑰和認(rèn)證標(biāo)識(shí)生成算法,生成認(rèn)證標(biāo)識(shí)���; 簽名信息生成單元��,用于接收到EAP認(rèn)證請(qǐng)求時(shí)��,生成隨機(jī)數(shù)�����,并根據(jù)所述隨機(jī)數(shù)和所 述私鑰生成簽名信息�����;EAP消息發(fā)送單元��,用于向認(rèn)證服務(wù)器發(fā)送EAP消息�,所述EAP消息中攜帶所述客戶端 的認(rèn)證標(biāo)識(shí)、隨機(jī)數(shù)���、公鑰以及簽名信息�。
11.一種EAP認(rèn)證系統(tǒng)�,其特征在于,包括客戶端�����,用于向認(rèn)證服務(wù)器發(fā)送EAP消息�,所述EAP消息中攜帶所述客戶端的認(rèn)證標(biāo) 識(shí)�、隨機(jī)數(shù)���、公鑰以及簽名信息���;認(rèn)證服務(wù)器,用于接收所述客戶端發(fā)送的EAP消息����,獲取所述EAP消息中攜帶的所述客 戶端的認(rèn)證標(biāo)識(shí)��、隨機(jī)數(shù)��、公鑰以及簽名信息����;根據(jù)認(rèn)證標(biāo)識(shí)生成算法、以及所述隨機(jī)數(shù)和 公鑰���,對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽名信息進(jìn)行認(rèn)證��。
全文摘要
本發(fā)明的實(shí)施例公開了一種可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證中的標(biāo)識(shí)認(rèn)證方法��、系統(tǒng)和設(shè)備�。該方法包括接收客戶端發(fā)送的EAP消息,獲取所述EAP消息中攜帶的所述客戶端的認(rèn)證標(biāo)識(shí)����、隨機(jī)數(shù)、公鑰以及簽名信息�����;根據(jù)認(rèn)證標(biāo)識(shí)生成算法����、以及所述隨機(jī)數(shù)和公鑰,對(duì)所述客戶端的認(rèn)證標(biāo)識(shí)和簽名信息進(jìn)行認(rèn)證��。通過使用本發(fā)明的實(shí)施例����,利用公開密鑰和EAP認(rèn)證標(biāo)識(shí)ID的綁定技術(shù)來防止認(rèn)證標(biāo)識(shí)被盜用,徹底的防止了攻擊者竊取盜用其他用戶認(rèn)證標(biāo)識(shí)��。
文檔編號(hào)H04L29/06GK102082665SQ20091023855
公開日2011年6月1日 申請(qǐng)日期2009年11月30日 優(yōu)先權(quán)日2009年11月30日
發(fā)明者劉大鵬, 曹振, 鄧輝 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司