CN101542973A - 使用eap对对等设备进行认证的方法和系统 - Google Patents
使用eap对对等设备进行认证的方法和系统 Download PDFInfo
- Publication number
- CN101542973A CN101542973A CNA2008800007075A CN200880000707A CN101542973A CN 101542973 A CN101542973 A CN 101542973A CN A2008800007075 A CNA2008800007075 A CN A2008800007075A CN 200880000707 A CN200880000707 A CN 200880000707A CN 101542973 A CN101542973 A CN 101542973A
- Authority
- CN
- China
- Prior art keywords
- peer device
- eap
- key
- authenticator
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 239000000463 material Substances 0.000 claims abstract description 34
- 238000004891 communication Methods 0.000 claims description 11
- 230000000977 initiatory effect Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
一种使用可扩展认证协议(EAP)将对等设备认证至网络的方法和系统。在EAP成功消息中,将与在对等设备和认证服务器中生成的密钥材料相关联的密钥生存期从认证器发送至对等设备。被提供以密钥生存期的对等设备能够预测其已认证的会话的终止,并在密钥生存期届满之前发起重新认证。
Description
技术领域
此处描述的示例实施例一般涉及无线通信网络,具体地,涉及网络接入认证。
背景技术
在传统网络(如无线网络)中,在允许对等设备接入网络之前需要对对等设备进行认证。已经开发了许多标准以管理对等设备的认证并控制对网络的接入。例如,IEEE标准802.11i定义了用于无线网络接入和认证的特定安全协议,IEEE 802.1X为802局域网,特别是遵循IEEE 802.11标准的无线局域网(WLAN)提供了基于端口的认证框架。使用标准认证协议框架,如在RFC 3748中定义的可扩展认证协议(EAP),可以实现IEEE 802.1X。
EAP定义了一种认证框架而不是实际的认证方法。在EAP中存在许多可用于进行认证交换的方法/机制。可以称之为EAP专用认证方法或机制。示例包括EAP-TLS、EAP-SIM、EAP-AKA、PEAP、LEAP和EAP-TTLS。
在EAP专用认证交换期间,对等设备和服务器生成主会话密钥(MSK)。在服务器侧,还生成相关联的密钥生存期。此后,MSK将用于导出其他密钥,包括瞬时会话密钥(TSK)-也被称为成对瞬时密钥(PTK)。所导出的这些PTK或TSK将共享与MSK相同的密钥生存期限制。如果EAP认证交换成功,则通常通过与接入端口相关联的中间认证器,从服务器将EAP成功消息发送到对等设备。
当PTK或TSK的生存期届满时,认证器必须从网络上解除对对等设备的认证。要求对等设备重复认证过程。如果对等设备正参与有效的会话,该解除认证以及随之发生的从接入点的断开是非常不利的。例如,在语音IP(VoIP)和其它这样的通信应用中,断开可以导致电话呼叫掉线。在另外的应用中,由于断开,媒体会话可能中断,数据包可能丢失。
相应地,提供用于对等设备认证的改进的方法和系统是有利的。
发明内容
至少一个示例实施例可以包括一种网络认证方法,将对等设备认证至具有认证器和认证服务器的无线网络,所述网络能够通过认证器来接入。所述方法可以包括:执行对等设备和服务器之间的认证交换;在服务器中生成会话时间;以及将会话时间发送至认证器,并将成功消息从认证器发送至对等设备,其中,所述成功消息包括会话超时值,所述会话超时值包括密钥生存期。
至少一个示例实施例可以包括一种网络认证系统,包括:要认证至无线网络的对等设备;耦合至网络的认证器;以及耦合至网络的认证服务器。所述对等设备和服务器可以被配置为执行认证阶段,所述服务器被配置为生成会话时间并将会话时间发送至认证器,所述认证器被配置为将成功消息发送至对等设备,其中,所述成功消息包括会话超时值,所述会话超时值包括会话时间。
一方面,本申请可以提供一种将对等设备认证至网络的方法,所述网络具有认证器和认证服务器,所述认证服务器支持可扩展认证协议(EAP),所述网络能够通过与认证器相关联的接入点来接入,所述方法包括以下步骤:通过认证器在对等设备和认证服务器之间交换EAP专用认证消息;在对等设备中生成密钥材料(keying material);在认证服务器中生成所述密钥材料和相关联的密钥生存期,并将所述密钥材料和相关联的密钥生存期从认证服务器发送至认证器;以及在交换EAP专用认证消息之后,将EAP成功消息从认证器发送至对等设备,其中,所述EAP成功消息包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。所述方法还包括:进行安全关联协议(如4次握手)来完成认证,并在将EAP成功消息发送至对等设备后,准许对等设备无阻塞地接入网络。
另一方面,本申请可以提供一种通信系统,包括:具有接入点的网络;与所述接入点相关联的认证器;连接至所述网络的认证服务器,所述认证服务器被配置为与认证器通信,所述认证服务器被配置为支持可扩展认证协议(EAP);以及对等设备,被配置为连接至所述接入点并通过认证器与认证服务器交换EAP专用认证消息,所述对等设备还被配置为生成密钥材料,其中,所述认证服务器被配置为生成所述密钥材料和相关联的密钥生存期,并将所述密钥材料和所述相关联的生存期发送至认证器,以及,所述认证器被配置为在交换EAP专用认证消息之后,将EAP成功消息发送至对等设备,其中,所述EAP成功消息(42)包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。所述对等设备和认证器可以被配置为参与安全关联协议,以完成认证并准许对等设备无阻塞地接入网络。
在又一方面,本申请可以提供一种网络中的接入点,用于允许对等设备接入网络,所述网络包括支持可扩展认证协议(EAP)的认证服务器,所述接入点包括认证器,所述认证器被配置为在认证服务器和对等设备之间交换EAP专用认证消息,并被配置为从认证服务器接收密钥材料和相关联的密钥生存期,所述认证器包括用于生成EAP成功消息并用于在交换EAP专用认证消息之后将EAP成功消息发送至对等设备的组件,其中,所述EAP成功消息包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。所述认证器还可以被配置为参与安全关联协议,以完成认证并准许对等设备无阻塞地接入网络。
在又一方面,可以提供一种在网络中的接入点处允许对等设备接入网络的方法,所述网络包括支持可扩展认证协议(EAP)的认证服务器,所述方法包括:在认证服务器和对等设备之间交换EAP专用认证消息;从认证服务器接收密钥材料和相关联的密钥生存期;生成EAP成功消息;以及在交换EAP专用认证消息之后,将EAP成功消息发送至对等设备,其中,所述EAP成功消息包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。
附图说明
现在参考附图,通过示例方式来描述示例实施例,在附图中,使用相似的参考标号来表示相似的特征。
图1示出了其中可以应用实施例的示例无线局域网系统的图解视图;
图2以图解的形式示出了应用于图1所示的系统的对等设备、认证器和认证服务器之间的网络认证对话的示例实施例;以及
图3示出了应用于图1所示系的统中的、在原始会话届满之前发起新的认证会话的示例时间线。
具体实施方式
以下一个或多个具体实施例的描述不应将本发明的实现限制为任何具体计算机编程语言、操作系统、系统架构或设备架构。虽然以下讨论的示例实施例中的一些涉及无线网络或WLAN,但本申请不限于无线网络,而是适用于将EAP框架用于对等设备认证的任何网络。
典型地,EAP是在数据链路层(例如IEEE 802.11、PPP、VPN中的IKEv2等)运行的认证框架。一般而言,EAP允许使用后端认证服务器,通过使用认证器作为一些或所有EAP专用认证消息的通道,后端认证服务器可以实现一些或所有EAP专用认证方法。在IETF的请求注解(RFC)3748中概述了EAP的框架,其内容结合在此作为参考。
现在参见图1,图1示出无线局域网系统10的示例实施例的图解视图。示出了基于以太网的主干线12具有用于连接多个设备的多个端口。如图所示,以太网12可具有至少一个接入点16。系统10包括被配置为与接入点16之一进行无线通信的对等设备20。在其他实施例中,对等设备20可以被配置为与接入点16之一或以太网12上的其它接入点进行有线连接并进行通信。在一些示例实施例中,至少一个接入点16可实现IEEE 802.1X端口接入实体(PAE)17,以允许对等设备20接入主干线12。示出了认证服务器14连接到主干线12并被配置为提供用以认证对等设备20的认证服务。多个其它设备22也可以连接到以太网12并可以被配置为在网络系统10中进行通信。
在一些示例实施例中,对等设备20可以是任何客户端设备,包括计算机终端、无线移动设备、个人数字助理或被配置为通过接入点16之一接入以太网12的其它任何设备。
端口17可全部或部分地从阻塞切换到无阻塞,反之亦然。当接入点16初始检测到设备(如对等设备20)时,从而部分启用端口17并将其设置为“未授权”状态。在这种状态下,只允许802.1X业务量,而阻塞其它业务量,如DHCP(动态主机配置协议)和HTTP(超文本传输协议)。如果对等设备20认证成功,则端口17变为无阻塞。
在一些示例实施例中,如图1所示,接入点16包括认证器15或与认证器15相关联。在其它示例实施例中,认证器15可以与接入点16分离。如以下将更详细描述的,认证器15便于网络系统10中对等设备20的认证。在一些示例实施例中,认证器15用作认证服务器14和对等设备20之间的通道。
在至少一些示例实施例中,可以使用任何适合的服务器设备(例如其上安装有合适的可执行应用程序的控制器)来实现认证服务器14。例如,如本领域所知的,可以使用远程拨号用户认证服务(RADIUS)来配置认证服务器14。一般而言,RADIUS服务器确定对等设备20是否可接受使用指定或规定的协议来进行认证。如果接受,则RADIUS服务器通过将EAP成功消息发送到认证器15来授权对等设备20接入以太网12。在其他示例实施例中,如本领域所知的,可以使用Diameter(例如可以用于执行DIAM-EAP协议)来配置认证服务器14。本领域普通技术人员可以认识到认证服务器14的其它示例实现方式。
现在参见图2,图2示出了应用于图1所示系统的对等设备20、接入点16和认证服务器14之间的网络认证对话的示例性实施例。一般而言,单向箭头表示从一个设备到另一个设备的单向数据传送,而双向箭头表示设备之间的双向数据传送或数据交换。如时间箭头28所指示,可以按照时间顺序来执行该对话。
在一些示例实施例中,假定认证器15和认证服务器14在以太网12上建立了安全通道,例如,如本领域所知的,使用IEEE 802.1X建立安全通道。
在一些示例实施例中,该对话包括发现阶段、附着阶段、认证阶段和安全关联协议阶段,通常称之为4次握手。发现阶段可以包括探查请求和探查响应30。附着阶段可以包括认证请求和认证响应32,以及关联请求和关联响应34。认证阶段可以包括EAP请求标识和EAP响应标识36、接入请求38、EAP专用认证交换40和AAA成功消息41以及EAP成功消息42。安全关联协议阶段包括例如IEEE 802.11i中定义的4次握手44。
发现阶段和附着阶段可以在对等设备20和接入点16之间进行。发现阶段和附着阶段一般位于任何EAP协议外部。在发现阶段,对等设备20主动定位任何接入点16以接入与这些接入点16相关联的特定网络。在一些示例实施例中,手动或自动执行发现阶段。根据适当的协议,发现阶段和后续的附着阶段的每一个步骤可以包括数据帧。对于一些实施例,在IEEE 802.11中概述了发现阶段和附着阶段。
探查请求和响应步骤30是主动的过程,通过该过程,对等设备20主动发现接入点16的安全策略。对等设备20向接入点16发送探查请求。如果探查请求被肯定应答,则接入点16向对等设备20发回探查响应。例如,探查请求数据帧可以包括服务设置标识符和所支持的速率。例如,探查响应数据帧可以包括时间戳、信标间隔、能力信息、SSID、所支持的速率和安全参数。
一旦探查步骤30成功,就交换认证请求和响应步骤32。成功的认证允许进一步的指定数据交换,例如关联步骤34。例如,认证数据帧可以包括认证算法编号、认证事务序列号、状态码和质询文本。
一旦认证步骤32成功,就交换关联请求和响应步骤34。成功的关联允许进一步的指定数据交换,如数据帧、管理帧和控制帧。例如,关联请求数据帧可以包括能力信息、监听间隔、SSID和所支持的速率。例如,关联响应数据帧可以包括能力信息、状态码、关联ID和所支持的速率。
基于附着阶段的成功结束,可以发起认证阶段。可以使用EAP请求标识和EAP响应标识36来开始认证阶段。这可以采用EAP分组的形式。示例性EAP分组格式构造如下:码、标识符、长度和数据。可以有四种类型的码:1)请求、2)响应、3)成功以及4)失败。标识符协助将响应与请求相匹配。长度字段指示EAP分组的长度。数据字段可以是0或更多字节,格式可以根据码字段的不同而变化。
在成功完成EAP请求标识和EAP响应标识36之后,认证器15向认证服务器14发送接入请求38。作为响应,认证器发起与对等设备20的EAP专用认证交换40。EAP认证交换40取决于所使用的EAP协议的类型。例如,EAP认证协议可以是EAP-PEAP、EAP-TLS、EAP-SIM等。
在认证阶段期间,在对等设备20和认证服务器14上都生成密钥材料。在一些实施例中,生成密钥材料作为EAP专用认证交换40的一部分。在系统包括后端认证服务器14的实施例中,在认证阶段期间,有密钥传输步骤,将密钥材料从认证服务器14发送至认证器15。在2006年6月25日的IEIF草案文件draft-ietf-eap-keying-14.txt(以下称为“KMF-EAP”)中描述了一种已提出的密钥管理框架,其内容结合在此作为参考。如KMF-EAP中所述,密钥材料包括主会话密钥(MSK),有时称之为AAA密钥(认证、授权和计费)。在对等设备20和认证服务器14处均导出MSK。在认证阶段期间,认证服务器14将MSK发送至认证器15。认证阶段之后,对等设备20和认证器15可以使用MSK来生成其他密钥,包括成对主密钥(PMK)和瞬时会话密钥(TSK)。
如果认证协议交换40成功,则认证服务器14向认证器15发送AAA成功消息41,以指示对等设备20已经被认证服务器14认证。此时,可以将密钥材料(如MSK)发送到认证器15。密钥材料可以包括在AAA成功消息41中,或在单独的消息中发送。认证服务器14还可以向认证器15发送密钥材料的相关联的密钥生存期。在一些示例实施例中,密钥生存期是默认值,例如8小时。密钥生存期还可被称为会话超时值,指示在要求对等设备20的重新认证之前的最大会话时间。
然后,认证器15生成EAP成功消息42并将其发送到对等设备20。可以使用EAP分组的格式来构造EAP成功消息42。认证器还将密钥生存期发送到对等设备20。在一个实施例中,密钥生存期包含在EAP成功消息42中。例如,密钥生存期可包括在成功分组的数据字段中。定义EAP文献RFC 3748的4.2节中禁止在EAP成功分组的数据部分中包括任何数据。相应地,本申请的实施例将不遵从RFC 3748,除非修改该标准以允许在成功分组中包括这样的数据。
接收到EAP成功消息42后,对等设备20拥有与在对等设备20处生成的MSK相关联的密钥生存期。因此,对等设备20可以准确地预测其必须重新认证的截止时间,以免突然解除认证和可能的断开。
在认证阶段之后,对等设备20和认证器15执行安全相关协议,如本领域所知,在802.11i的情况下,该协议被称为4次握手。4次握手使得认证器15和对等设备20能够建立彼此的安全关联。成功完成4次握手使IEEE 802.1X端口17(在接入点16中)变为无阻塞并允许一般的数据业务量。成功完成安全关联协议还导致生成或导出对等设备20和认证器15已知的瞬时会话密钥(TSK)。
认证器15也可以执行解除认证的步骤。解除认证完全或部分地将对等设备20从系统10断开。IEEE 802.1X端口17变为阻塞并不再允许与对等设备20进行特定的数据交换。例如,在一些实施例中,端口17仍可以允许802.1X业务量,但是阻塞其它业务量(如DHCP和HTTP)。解除认证要求对等设备20再一次执行认证阶段(如果需要,也执行发现阶段和附着阶段)。使用上述处理的对等设备20的重新认证导致生成新密钥材料,该新密钥材料具有新的相关联的密钥生存期,此后,可以准许对等设备20经认证计入网络12。
在一些示例实施例中,系统10可以允许对等设备20的预认证。在这些实施例中,在实际附着到认证器15之前,对等设备20和认证器15预先建立EAP密钥材料。因此,此后可以使用已经建立的密钥来执行4次握手44,以重新建立认证的会话。以与上述认证类似的方式执行预认证。相应地,在一些实施例中,不同之处在于重新认证(例如EAP成功消息42)和4次握手44之间将有延迟。
可以认识到,对于系统10的具体实施例的操作,上述步骤中的一些或全部可能是必要的,也可能不是必要的。例如,当对等设备20和接入点16已经互相发现时,不需要发现阶段。
与可以认识到,密钥生存期从认证器15到对等设备20的传送使得对等设备20能够预测其会话的届满。因此。对等设备20可以采取主动的步骤以确保在有效的媒体会话(如VoIP呼叫)中间会话不会届满。基于对密钥生存期的认识,对等设备20可以在会话届满之前发起重新认证。
通过将密钥生存期的通信结合入EAP成功消息42中,本申请避免了必须对每一种EAP专用方法进行修改,以在EAP专用认证交换40期间传送密钥生存期。这也避免了必须在安全关联协议(例如4次交换)期间传送密钥生存期。
现在参见图3,图3示出了对等设备20和认证器15之间的网络认证会话的示例性时间线。例如,在时刻0处(t=0),可以发起原始网络会话90。例如,可以在4次握手44成功并且端口17无阻塞后发起原始网络会话90。在一些示例实施例中,在会话超时值届满(使用t=tf表示)时,原始会话结束94。此时,认证器15可以执行对等设备20的解除认证,从而完全或部分地断开对等设备20。此后,对等设备20必须发起新的会话,例如通过重新发起认证阶段(或者,合适时发起发现阶段和附着阶段)来发起新的会话。
在其他示例实施例中,再次参见图3,对等设备20可以在原始会话结束94之前发起新的会话92。由于当接收到EAP成功消息42时,对等设备20被通知了密钥生存期值,因此,对等设备20可以选择在原始会话结束94之前的合适的时间来建立新会话92的认证。对等设备20可以基于密钥生存期的百分比来选择发起重新认证的时间。该百分比可以是固定值或可变值,并表示为μ。因此,例如,如果密钥生存期是8小时,则重新发起认证的合适时间可以是6个小时,意味着μ可以被设为0.75。仅作为示例,其它适合的μ值的范围可以从0.5到0.99。理论上说,μ可以在从0到1内的任何范围。在一些实施例中,可以将重新认证时间设为密钥生存期届满之前的固定时间,例如30分钟。可以认识到,可以使用其它适合的固定时间。
在一些实施例中,对等设备20可以尝试确保没有任何有效的媒体会话或服务由于重新认证过程而中断。相应地,在一些示例实施例中,对等设备20可以等待直到对等设备20暂时空闲时进行重新认证。在一些示例实施例中,例如,如果对等设备20被配置为用于语音IP呼叫应用,如果用户在对等设备20上发起语音呼叫,则对等设备20可以告知用户现有会话中剩下的时间。例如,一旦到达重新认证的时间,对等设备20可以进行测试以确定在通信链路上是否存在任何有效的服务或会话。如果有,则在重新认证前,对等设备10等待直到该服务或会话结束。
在一些示例实施例中,在发起新的会话步骤92期间,对等设备20执行重新认证,即重新与认证器15建立EAP密钥材料。这可以通过执行与EAP认证协议交换40类似的步骤来完成,在需要时,也可以执行其它任何在前的步骤。相应地,在原始会话结束94前,对等设备20已经建立适合的密钥,只需要完成用于重新认证的4次握手44。
在一些示例实施例中,在原始会话结束94之前,对等设备20可以被配置为开启或关闭发起新会话92的选项。相应地,对等设备20的用户能够设置或配置所需的选项。
在一些实施例中,对等设备20的用户还可设置默认的μ值和/或在每一个会话开始时手动设置μ值。类似地,在一些示例实施例中,接入点(或认证器15)可以被配置为开启或关闭发起新会话92的选项。
在一些示例实施例中,对等设备20可以在显示屏(未示出)上显示定时器,该定时器对原始网络会话中剩下的时间量进行显示或倒计数。因此,连续地或间歇地通知对等设备20的用户剩下的会话时间。用户可以在原始网络会话结束94之前相应地采取动作。例如,用户可以选择不开始语音呼叫或不发起任何新的数据传送。在一些示例实施例中,对等设备20上还可以有用户可选择的手动选项,其中,基于对等设备20的用户的选择,发起与认证器15的新的会话92。
以上描述不应限于IEEE 802.11i。更合理地,本发明的示例实施例可以应用至其它网络协议,包括使用EAP的网络协议。相应地,例如,本系统可以应用于点对点协议(PPP)上的EAP、IKEv2上的EAP等等。
尽管在以上的描述中详细描述了本发明,但是本领域技术人员应当理解,在不脱离仅由所附权利要求来限定的本发明的范围的前提下,可以做出改变。
Claims (18)
1.一种将对等设备(20)认证至网络的方法,所述网络具有认证器(15)和认证服务器(14),所述认证服务器(14)支持可扩展认证协议“EAP”,所述网络能够通过与认证器相关联的接入点(16)来接入,所述方法包括以下步骤:
通过认证器(15)在对等设备(20)和认证服务器(14)之间交换EAP专用认证消息(40);
在对等设备(20)中生成密钥材料;
在认证服务器(14)中生成所述密钥材料和相关联的密钥生存期,并将所述密钥材料和所述相关联的密钥生存期从认证服务器(14)发送(41)至认证器(15);以及
在交换EAP专用认证消息(40)之后,将EAP成功消息(42)从认证器(15)发送至对等设备(20),其中,所述EAP成功消息(42)包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。
2.根据权利要求1所述的方法,还包括以下步骤:进行安全关联协议(44)来完成认证,并在将EAP成功消息(42)发送至对等设备(20)后,准许对等设备(20)无阻塞地接入网络。
3.根据权利要求2所述的方法,其中,所述密钥材料包括主会话密钥“MSK”,安全关联协议(44)包括4次握手,所述4次握手包括从MSK导出成对主密钥“PMK”,并根据PMK生成瞬时会话密钥“TSK”,所述TSK用于加密对等设备(20)和接入点(16)之间的后续通信。
4.根据权利要求3所述的方法,其中,与MSK相关联的密钥生存期与从MSK导出的每一个密钥相关联,所述从MSK导出的密钥包括PMK和TSK。
5.根据权利要求1至4中任一项所述的方法,还包括,在相关联的密钥生存期届满之前,对等设备(20)发起与服务器的另外的EAP认证交换,以重新认证对等设备,并生成新的密钥材料和新的相关联的密钥生存期。
6.根据权利要求5所述的方法,还包括以下步骤:检测对等设备(20)上有效的会话,并在发起所述另外的EAP认证交换之前,等待所述有效的会话终止。
7.一种通信系统,包括:
具有接入点(16)的网络;
与所述接入点(16)相关联的认证器(15);
连接至所述网络的认证服务器(14),所述认证服务器(14)被配置为与认证器(15)通信,所述认证服务器(14)被配置为支持可扩展认证协议“EAP”;以及
对等设备(20),被配置为连接至所述接入点(16),并通过认证器(15)与认证服务器(14)交换EAP专用认证消息(40),所述对等设备(20)还被配置为生成密钥材料,
其中,所述认证服务器(14)被配置为生成所述密钥材料和相关联的密钥生存期,并将所述密钥材料和所述相关联的生存期发送至认证器(15),以及,
所述认证器(15)被配置为在交换EAP专用认证消息(40)之后,将EAP成功消息(42)发送至对等设备(20),其中,所述EAP成功消息(42)包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。
8.根据权利要求7所述的系统,其中,所述对等设备(20)和所述认证器(15)被配置为参与安全关联协议(44),以完成认证并准许对等设备(20)无阻塞地接入网络。
9.根据权利要求8所述的系统,其中,所述密钥材料包括主会话密钥“MSK”,安全关联协议(44)包括4次握手,所述4次握手包括从MSK导出成对主密钥“PMK”,并根据PMK生成瞬时会话密钥“TSK”,所述TSK用于加密对等设备(20)和接入点(16)之间的后续通信。
10.根据权利要求9所述的系统,其中,与MSK相关联的密钥生存期与从MSK导出的每一个密钥相关联,所述从MSK导出的密钥包括PMK和TSK。
11.根据权利要求7至10中任一项所述的系统,其中,所述对等设备(20)还被配置为,在相关联的密钥生存期届满之前,发起与服务器(14)的另外的EAP认证交换,以重新认证对等设备(20),并生成新的密钥材料和新的相关联的密钥生存期。
12.根据权利要求11所述的系统,其中,所述对等设备(20)还被配置为,检测对等设备(20)上有效的会话,并在发起所述另外的EAP认证交换之前,等待所述有效的会话终止。
13.根据权利要求7至12中任一项所述的系统,其中,所述对等设备(20)包括显示器,所述对等设备(20)被配置为显示定时器,所述定时器指示密钥生存期中剩下的时间。
14.一种网络中的接入点(16),用于允许对等设备(20)接入网络,所述网络包括支持可扩展认证协议“EAP”的认证服务器(14),所述接入点(16)包括:
认证器(15),所述认证器(15)被配置为在认证服务器(14)和对等设备(20)之间交换EAP专用认证消息(40),并被配置为从认证服务器(14)接收密钥材料和相关联的密钥生存期,所述认证器(15)包括用于生成EAP成功消息(42)并用于在交换EAP专用认证消息(40)之后将EAP成功消息(42)发送至对等设备(20)的组件,其中,所述EAP成功消息(42)包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。
15.根据权利要求14所述的接入点,其中,所述对等设备(20)和所述认证器(15)被配置为参与安全关联协议(44),以完成认证并准许对等设备(20)无阻塞地接入网络,其中,所述密钥材料包括主会话密钥“MSK”,安全关联协议(44)包括4次握手,所述4次握手包括从MSK导出成对主密钥“PMK”,并根据PMK生成瞬时会话密钥“TSK”,所述TSK用于加密对等设备(20)和接入点(16)之间的后续通信。
16.根据权利要求15所述的接入点,其中,与MSK相关联的密钥生存期与从MSK导出的每一个密钥相关联,所述从MSK导出的密钥包括PMK和TSK。
17.一种在网络中的接入点(16)处允许对等设备(20)接入网络的方法,所述网络包括支持可扩展认证协议“EAP”的认证服务器(14),所述方法包括:
在认证服务器(14)和对等设备(20)之间交换EAP专用认证消息(40);
从认证服务器(14)接收密钥材料和相关联的密钥生存期;
生成EAP成功消息(42);以及
在交换EAP专用认证消息(40)之后,将EAP成功消息(42)发送至对等设备(20),其中,所述EAP成功消息(42)包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。
18.一种计算机可读介质,包括计算设备的处理器可执行的程序代码,以使所述计算设备执行根据权利要求17所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP07102081A EP1956791A1 (en) | 2007-02-09 | 2007-02-09 | Method and system for authenticating peer devices using EAP |
| EP07102081.2 | 2007-02-09 | ||
| PCT/CA2008/000251 WO2008095308A1 (en) | 2007-02-09 | 2008-02-08 | Method and system for authenticating peer devices using eap |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101542973A true CN101542973A (zh) | 2009-09-23 |
| CN101542973B CN101542973B (zh) | 2012-08-08 |
Family
ID=38268955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008800007075A Active CN101542973B (zh) | 2007-02-09 | 2008-02-08 | 使用eap对对等设备进行认证的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1956791A1 (zh) |
| CN (1) | CN101542973B (zh) |
| CA (1) | CA2660581C (zh) |
| WO (1) | WO2008095308A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014385A (zh) * | 2010-11-22 | 2011-04-13 | 中兴通讯股份有限公司 | 移动终端的认证方法及移动终端 |
| CN102185868A (zh) * | 2011-05-20 | 2011-09-14 | 杭州华三通信技术有限公司 | 基于可扩展认证协议的认证方法、系统和设备 |
| CN103597774A (zh) * | 2011-04-15 | 2014-02-19 | 三星电子株式会社 | 提供机器到机器服务的方法和装置 |
| CN110235423A (zh) * | 2017-01-27 | 2019-09-13 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| CN112740616A (zh) * | 2018-09-19 | 2021-04-30 | 辛纳普蒂克斯公司 | 用于保护车载式以太网链路的方法和系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014205697A1 (en) * | 2013-06-26 | 2014-12-31 | Nokia Corporation | Methods and apparatus for generating keys in device-to-device communications |
| US10374758B2 (en) * | 2014-04-15 | 2019-08-06 | Signify Holding B.V. | Method and apparatus for controlling handshake in a packet transmission network |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8023958B2 (en) | 2003-03-05 | 2011-09-20 | Qualcomm Incorporated | User plane-based location services (LCS) system, method and apparatus |
| US8140054B2 (en) * | 2003-10-31 | 2012-03-20 | Electronics And Telecommunications Research Institute | Method for authenticating subscriber station, method for configuring protocol thereof, and apparatus thereof in wireless portable internet system |
| US20050120213A1 (en) * | 2003-12-01 | 2005-06-02 | Cisco Technology, Inc. | System and method for provisioning and authenticating via a network |
| US8046829B2 (en) * | 2004-08-17 | 2011-10-25 | Toshiba America Research, Inc. | Method for dynamically and securely establishing a tunnel |
| US7676676B2 (en) * | 2005-11-14 | 2010-03-09 | Motorola, Inc. | Method and apparatus for performing mutual authentication within a network |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| US8239671B2 (en) * | 2006-04-20 | 2012-08-07 | Toshiba America Research, Inc. | Channel binding mechanism based on parameter binding in key derivation |
-
2007
- 2007-02-09 EP EP07102081A patent/EP1956791A1/en not_active Ceased
-
2008
- 2008-02-08 CA CA2660581A patent/CA2660581C/en active Active
- 2008-02-08 WO PCT/CA2008/000251 patent/WO2008095308A1/en active Application Filing
- 2008-02-08 CN CN2008800007075A patent/CN101542973B/zh active Active
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014385A (zh) * | 2010-11-22 | 2011-04-13 | 中兴通讯股份有限公司 | 移动终端的认证方法及移动终端 |
| WO2012068801A1 (zh) * | 2010-11-22 | 2012-05-31 | 中兴通讯股份有限公司 | 移动终端的认证方法及移动终端 |
| CN103597774A (zh) * | 2011-04-15 | 2014-02-19 | 三星电子株式会社 | 提供机器到机器服务的方法和装置 |
| CN103621126A (zh) * | 2011-04-15 | 2014-03-05 | 三星电子株式会社 | 提供机器到机器服务的方法和装置 |
| US9317688B2 (en) | 2011-04-15 | 2016-04-19 | Samsung Electronics Co., Ltd. | Method and apparatus for providing machine-to-machine service |
| CN103621126B (zh) * | 2011-04-15 | 2018-06-19 | 三星电子株式会社 | 提供机器到机器服务的方法和装置 |
| CN102185868A (zh) * | 2011-05-20 | 2011-09-14 | 杭州华三通信技术有限公司 | 基于可扩展认证协议的认证方法、系统和设备 |
| CN102185868B (zh) * | 2011-05-20 | 2014-10-22 | 杭州华三通信技术有限公司 | 基于可扩展认证协议的认证方法、系统和设备 |
| CN110235423A (zh) * | 2017-01-27 | 2019-09-13 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| CN110235423B (zh) * | 2017-01-27 | 2022-10-21 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| CN112740616A (zh) * | 2018-09-19 | 2021-04-30 | 辛纳普蒂克斯公司 | 用于保护车载式以太网链路的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2660581C (en) | 2014-04-22 |
| CA2660581A1 (en) | 2008-08-14 |
| CN101542973B (zh) | 2012-08-08 |
| WO2008095308A1 (en) | 2008-08-14 |
| EP1956791A1 (en) | 2008-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9391776B2 (en) | Method and system for authenticating peer devices using EAP | |
| US8881305B2 (en) | Methods and apparatus for maintaining secure connections in a wireless communication network | |
| CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| RU2454832C2 (ru) | Способ аутентификации доступа, применяемый к ibss-сети | |
| EP1540878B1 (en) | Linked authentication protocols | |
| EP1900170B1 (en) | Short authentication procedure in wireless data communications networks | |
| US9009479B2 (en) | Cryptographic techniques for a communications network | |
| Shin et al. | Wireless network security and interworking | |
| EP2383931B1 (en) | Network security hypertext transfer protocol negotiation method and correlated devices | |
| EP2418883B1 (en) | Wireless local area network terminal pre-authentication method and wireless local area network system | |
| CN101542973B (zh) | 使用eap对对等设备进行认证的方法和系统 | |
| US20070283430A1 (en) | Negotiating vpn tunnel establishment parameters on user's interaction | |
| RU2008146960A (ru) | Способ и система предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи | |
| US20070143613A1 (en) | Prioritized network access for wireless access networks | |
| US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
| KR101718096B1 (ko) | 무선통신 시스템에서 인증방법 및 시스템 | |
| CA2708898C (en) | Methods and apparatus for maintaining secure connections in a wireless communication network | |
| WO2005004406A1 (en) | Method and network for wlan session control | |
| CA2595191C (en) | Negotiating vpn tunnel establishment parameters on user's interaction | |
| KR100527631B1 (ko) | Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법 | |
| KR100527632B1 (ko) | Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법 | |
| Asokan et al. | Man-in-the-middle in tunnelled authentication | |
| KR20080004920A (ko) | 범용 이동 통신 시스템-무선랜-와이브로 연동을 위한티켓기반의 개선된 이에이피-아카 프로토콜 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Ontario, Canada Patentee after: BlackBerry Ltd. Country or region after: Canada Address before: Ontario, Canada Patentee before: RESEARCH IN MOTION Ltd. Country or region before: Canada |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240520 Address after: Ai Erlandubailin Patentee after: Maliki Innovation Co.,Ltd. Country or region after: Ireland Address before: Ontario, Canada Patentee before: BlackBerry Ltd. Country or region before: Canada |
|
| TR01 | Transfer of patent right |