無法誘使認(rèn)證者關(guān)閉端口,有效提高系統(tǒng)的安全性。
[0119]第二,當(dāng)攻擊者偽造EAP-Failure消息發(fā)送給客戶端時(shí),然而攻擊者沒有共享密鑰,也沒有消息認(rèn)證隨機(jī)數(shù),無法偽造隨后的EAP-Request消息報(bào)文完成下線認(rèn)證,所以無法誘使客戶端關(guān)閉端口,有效提高系統(tǒng)的安全性。
[0120]第三,不需要改變協(xié)議消息格式,只需對支持IEEE802.1X的網(wǎng)絡(luò)設(shè)備進(jìn)行軟件升級即可推廣應(yīng)用。
[0121]綜上所述,本發(fā)明具有以下技術(shù)效果:能夠通過提出一種雙向挑戰(zhàn)握手及下線認(rèn)證的改進(jìn)方法,在不改變原EAP0L數(shù)據(jù)幀格式的基礎(chǔ)上,完善狀態(tài)機(jī),實(shí)現(xiàn)在認(rèn)證階段進(jìn)行雙向認(rèn)證和密鑰協(xié)商,以及提供客戶端下線階段使用密鑰進(jìn)行的身份認(rèn)證。從而避免了攻擊者誘使認(rèn)證者或/和客戶端關(guān)閉端口,加強(qiáng)了消息完整性和源真實(shí)性的保護(hù),此外,還可有效防止會話劫持、重放攻擊和中間人攻擊,減輕拒絕服務(wù)攻擊。
[0122]盡管上文對本發(fā)明進(jìn)行了詳細(xì)說明,但是本發(fā)明不限于IEEE802.1X認(rèn)證機(jī)制,本技術(shù)領(lǐng)域技術(shù)人員可以根據(jù)本發(fā)明的原理進(jìn)行各種修改。因此,凡按照本發(fā)明原理所作的修改,都應(yīng)當(dāng)理解為落入本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種認(rèn)證方法,其特征在于, 客戶端接收來自認(rèn)證服務(wù)器的第一認(rèn)證信息和來自無線接入端的第三認(rèn)證信息,所述第三認(rèn)證信息是無線接入端根據(jù)認(rèn)證服務(wù)器發(fā)送的第二認(rèn)證信息得到的; 根據(jù)所述第一認(rèn)證信息對認(rèn)證服務(wù)器進(jìn)行認(rèn)證,以及根據(jù)所述第三認(rèn)證信息對無線接入端進(jìn)行認(rèn)證。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第一認(rèn)證信息是用來客戶端對認(rèn)證服務(wù)器進(jìn)行認(rèn)證的認(rèn)證信息,第二認(rèn)證信息是用來無線接入端對認(rèn)證服務(wù)器進(jìn)行認(rèn)證的認(rèn)證信息,第三認(rèn)證信息是用來客戶端對無線接入端進(jìn)行認(rèn)證的認(rèn)證信息。3.根據(jù)權(quán)利要求1所述的方法,其特征在于,根據(jù)所述第一認(rèn)證信息對認(rèn)證服務(wù)器進(jìn)行認(rèn)證的步驟包括: 根據(jù)客戶端與認(rèn)證服務(wù)器共享的預(yù)置密鑰,對所述第一認(rèn)證信息進(jìn)行解析,得到第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和共享密鑰; 將解析得到的第一隨機(jī)數(shù)與客戶端預(yù)存的隨機(jī)數(shù)進(jìn)行比對,若相同,則認(rèn)證服務(wù)器認(rèn)證成功。4.根據(jù)權(quán)利要求1或3所述的方法,其特征在于,根據(jù)所述第三認(rèn)證信息對無線接入端進(jìn)行認(rèn)證的步驟包括: 根據(jù)解析得到的共享密鑰,對所述第三認(rèn)證信息進(jìn)行解密,得到第二隨機(jī)數(shù); 將解析得到的第二隨機(jī)數(shù)與所述第一認(rèn)證信息中的第二隨機(jī)數(shù)進(jìn)行比對,若相同,則無線接入端認(rèn)證成功。5.根據(jù)權(quán)利要求1所述的方法,其特征在于,對所述客戶端下線階段進(jìn)行認(rèn)證的步驟包括: 在所述客戶端接收到來自無線接入端的第一下線認(rèn)證信息后,對第一下線認(rèn)證信息進(jìn)行認(rèn)證; 若認(rèn)證成功,則發(fā)送第二下線認(rèn)證信息給無線接入端,由其根據(jù)所述第二下線認(rèn)證信息控制當(dāng)前端口狀態(tài)。6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述的對第一下線認(rèn)證信息進(jìn)行認(rèn)證的步驟包括: 利用共享密鑰對第一下線認(rèn)證信息進(jìn)行解析,得到下線標(biāo)識、無線接入端標(biāo)識和第一隨機(jī)數(shù); 若客戶端主動要求下線,且所解析到的下線標(biāo)識為TRUE,無線接入端標(biāo)識和第一隨機(jī)數(shù)均有效,則無線接入端認(rèn)證成功,反之,則丟棄所述第一下線認(rèn)證信息; 若認(rèn)證失敗,或強(qiáng)制客戶端下線,且所解析到的下線標(biāo)識為FALSE,無線接入端標(biāo)識和第一隨機(jī)數(shù)均有效,則無線接入端認(rèn)證成功,反之,則丟棄第一下線認(rèn)證信息。7.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述的由其根據(jù)所述第二下線認(rèn)證信息控制當(dāng)前端口狀態(tài)的步驟包括: 利用共享密鑰對第二下線認(rèn)證信息進(jìn)行解析,得到下線標(biāo)識、客戶端標(biāo)識和第二隨機(jī)數(shù); 若客戶端主動要求下線,且所解析到的下線標(biāo)識為TRUE,客戶端標(biāo)識和第二隨機(jī)數(shù)均有效,則客戶端認(rèn)證成功,使當(dāng)前端口關(guān)閉,反之,則丟棄第二下線認(rèn)證信息,保持當(dāng)前端口連接; 若認(rèn)證失敗,或強(qiáng)制客戶端下線,且所解析到的下線標(biāo)識為FALSE,客戶端標(biāo)識和第二隨機(jī)數(shù)均有效,則客戶端認(rèn)證成功,使當(dāng)前端口關(guān)閉,反之,則丟棄第二下線認(rèn)證信息,保持當(dāng)前端口連接。8.一種認(rèn)證裝置,其特征在于, 接收模塊,用于客戶端接收來自認(rèn)證服務(wù)器的第一認(rèn)證信息和來自無線接入端的第三認(rèn)證信息,所述第三認(rèn)證信息是所述無線接入端根據(jù)認(rèn)證服務(wù)器發(fā)送的第二認(rèn)證信息得到的; 雙向認(rèn)證模塊,用于根據(jù)所述第一認(rèn)證信息對認(rèn)證服務(wù)器進(jìn)行認(rèn)證,以及根據(jù)所述第三認(rèn)證信息對無線接入端進(jìn)行認(rèn)證。9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述雙向認(rèn)證模塊包括: 第一認(rèn)證解析子模塊,用于根據(jù)客戶端與認(rèn)證服務(wù)器共享的預(yù)置密鑰,對所述第一認(rèn)證信息進(jìn)行解析,得到第一隨機(jī)數(shù)、第二隨機(jī)數(shù)和共享密鑰; 認(rèn)證服務(wù)器認(rèn)證子模塊,用于將解析得到的第一隨機(jī)數(shù)與客戶端預(yù)存的隨機(jī)數(shù)進(jìn)行比對,若相同,則認(rèn)證服務(wù)器認(rèn)證成功。10.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述雙向認(rèn)證模塊包括: 第三認(rèn)證解析子模塊,用于根據(jù)解析得到的共享密鑰,對所述第三認(rèn)證信息進(jìn)行解密,得到第二隨機(jī)數(shù); 無線接入端認(rèn)證子模塊,用于將解析得到的第二隨機(jī)數(shù)與所述第一認(rèn)證信息中的第二隨機(jī)數(shù)進(jìn)行比對,若相同,則無線接入端認(rèn)證成功。11.根據(jù)權(quán)利要求8所述的裝置,其特征在于,還包括: 第一下線認(rèn)證模塊,用于在所述客戶端接收到來自無線接入端的第一下線認(rèn)證信息后,對第一下線認(rèn)證信息進(jìn)行認(rèn)證; 第二下線認(rèn)證模塊,用于若認(rèn)證成功,則發(fā)送第二下線認(rèn)證信息給無線接入端,由其根據(jù)所述第二下線認(rèn)證信息控制當(dāng)前端口狀態(tài)。12.根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述第一下線認(rèn)證模塊包括: 第一下線解析子模塊,用于利用共享密鑰對第一下線認(rèn)證信息進(jìn)行解析,得到下線標(biāo)識、無線接入端標(biāo)識和第一隨機(jī)數(shù); 第一下線主動認(rèn)證子模塊,用于若客戶端主動要求下線,且所解析到的下線標(biāo)識為TRUE,無線接入端標(biāo)識和第一隨機(jī)數(shù)均有效,則無線接入端認(rèn)證成功,反之,則丟棄所述第一下線認(rèn)證信息; 第一下線被動認(rèn)證子模塊,用于若認(rèn)證失敗,或強(qiáng)制客戶端下線,且所解析到的下線標(biāo)識為FALSE,無線接入端標(biāo)識和第一隨機(jī)數(shù)均有效,則無線接入端認(rèn)證成功,反之,則丟棄第一下線認(rèn)證信息。13.根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述第二下線認(rèn)證模塊包括: 第二下線解析子模塊,用于利用共享密鑰對第二下線認(rèn)證信息進(jìn)行解析,得到下線標(biāo)識、客戶端標(biāo)識和第二隨機(jī)數(shù); 第二下線主動認(rèn)證子模塊,用于若客戶端主動要求下線,且所解析到的下線標(biāo)識為TRUE,客戶端標(biāo)識和第二隨機(jī)數(shù)均有效,則客戶端認(rèn)證成功,使當(dāng)前端口關(guān)閉,反之,則丟棄第二下線認(rèn)證信息,保持當(dāng)前端口連接; 第二下線被動認(rèn)證子模塊,用于若認(rèn)證失敗,或強(qiáng)制客戶端下線,且所解析到的下線標(biāo)識為FALSE,客戶端標(biāo)識和第二隨機(jī)數(shù)均有效,則客戶端認(rèn)證成功,使當(dāng)前端口關(guān)閉,反之,則丟棄第二下線認(rèn)證信息,保持當(dāng)前端口連接。14.一種認(rèn)證系統(tǒng)的認(rèn)證方法,其特征在于, 認(rèn)證服務(wù)器對無線接入端和客戶端進(jìn)行認(rèn)證,在認(rèn)證成功后,將第一認(rèn)證信息和第二認(rèn)證信息發(fā)送給所述無線接入端; 無線接入端根據(jù)第二認(rèn)證信息,生成第三認(rèn)證信息,并將所述第一認(rèn)證信息和第三認(rèn)證信息發(fā)送給客戶端; 客戶端根據(jù)所述第一認(rèn)證信息對認(rèn)證服務(wù)器進(jìn)行認(rèn)證,以及根據(jù)所述第三認(rèn)證信息對無線接入端進(jìn)行認(rèn)證。15.—種認(rèn)證系統(tǒng),其特征在于, 認(rèn)證服務(wù)器,用于對無線接入端和客戶端進(jìn)行認(rèn)證,在認(rèn)證成功后,將第一認(rèn)證信息和第二認(rèn)證信息發(fā)送給所述無線接入端; 無線接入端,用于根據(jù)第二認(rèn)證信息,生成第三認(rèn)證信息,并將所述第一認(rèn)證信息和第三認(rèn)證信息發(fā)送給客戶端; 客戶端,用于根據(jù)所述第一認(rèn)證信息對認(rèn)證服務(wù)器進(jìn)行認(rèn)證,以及根據(jù)所述第三認(rèn)證信息對無線接入端進(jìn)行認(rèn)證。
【專利摘要】本發(fā)明公開了一種認(rèn)證方法及裝置系統(tǒng),涉及通信領(lǐng)域,所述方法包括:客戶端接收來自認(rèn)證服務(wù)器的第一認(rèn)證信息和來自無線接入端的第三認(rèn)證信息,所述第三認(rèn)證信息是無線接入端根據(jù)認(rèn)證服務(wù)器發(fā)送的第二認(rèn)證信息得到的;根據(jù)所述第一認(rèn)證信息對認(rèn)證服務(wù)器進(jìn)行認(rèn)證,以及根據(jù)所述第三認(rèn)證信息對無線接入端進(jìn)行認(rèn)證。本發(fā)明能夠在不改變原EAPOL數(shù)據(jù)幀格式的基礎(chǔ)上,實(shí)現(xiàn)在認(rèn)證階段進(jìn)行雙向認(rèn)證和密鑰協(xié)商,以及提供客戶端下線階段使用密鑰進(jìn)行身份認(rèn)證,有效防止會話劫持和中間人攻擊,減輕拒絕服務(wù)攻擊。
【IPC分類】H04L9/32, H04W12/06
【公開號】CN105245338
【申請?zhí)枴緾N201410223696
【發(fā)明人】劉鵬
【申請人】中興通訊股份有限公司
【公開日】2016年1月13日
【申請日】2014年5月26日
【公告號】WO2015180399A1