CN103795728A - 一种隐藏身份且适合资源受限终端的eap认证方法 - Google Patents
一种隐藏身份且适合资源受限终端的eap认证方法 Download PDFInfo
- Publication number
- CN103795728A CN103795728A CN201410061845.1A CN201410061845A CN103795728A CN 103795728 A CN103795728 A CN 103795728A CN 201410061845 A CN201410061845 A CN 201410061845A CN 103795728 A CN103795728 A CN 103795728A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- user
- sends
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明属于信息安全技术,具体涉及一种应用于无线局域网中的隐藏身份且适合资源受限终端的EAP认证方法。本发明包括:客户端向服务器端发送身份标识ClientID,如果标识不符,则断开连接;如果标识正确,则开始进行认证;客户端与服务器端要有一个共享密钥PSK,通过PSK使用哈希函数推导出认证需要的AK,EK两个密钥;客户端与服务器端进行双向认证;服务器端给客户端发送一个随机生成的字符串作为新的标识来替换旧的标识,下次连接客户端使用新的标识进行认证。利用本发明,整个认证流程采用对称加密思想,进而减少了运算量,利于资源受限终端的部署。利用每次为客户端分配一个新的用户身份标识,能够对用户身份进行动态保护,隐藏用户身份。
Description
技术领域
本发明属于信息安全技术,具体涉及一种应用于无线局域网中的隐藏身份且适合资源受限终端的EAP认证方法。
背景技术
近年来,无线局域网作为一个新兴事物在全世界范围内大规模普及,越来越多的用户开始使用无线网络。无线局域网通过无线链路接入因特网和内网,具有组网灵活、易于移动、易于部署等特点。因为这些优点无线局域网迅猛发展,截至2010年全球WLAN用户已超过4.5亿,中国WLAN用户已超过7500万。因此,无线网络被认为下一代互联网产业发展的最大的推动力。
虽然无线网络在社会生活中日益广泛应用,但是由于无线信道的固有特性和安全机制的缺陷导致安全成为制约其进一步发展的瓶颈问题。为了抵御无线局域网环境下的安全威胁,2004年6月,IEEE802.11TGi工作组正式发布了新一代WLAN安全标准——IEEE802.11i,它包括RSN(Robust Security Network)和pre-RSN两部分,其中pre-RSN即WPA(Wi-FiProtected Access),RSN即业界中常称的WPA2。在无线网络环境中,快速、轻量级和低时延对用户终端是非常重要的性能。共享密钥机制就是一个轻量过程。低时延则要求尽可能在最短的时间内使用户可以连接网络。而在目前的大多数EAP认证协议中,如EAP-TLS、EAP-TTLS、PEAP等需要部署数字证书,认证过程繁琐。这需要公钥基础设施PKI的支撑,即需要建设数字证书认证中心(Certificate Authority,CA)。一个标准的CA系统不仅建设成本很高,大量冗余功能增加了维护难度,而且可扩展性、易用性和灵活性差。EAP-MD5是目前最简单的EAP认证方法,但是它的安全性又较弱,无法实现双向认证,又易于遭受字典攻击、蛮力攻击等。还有一些协议没有对用户身份标识进行隐私保护。协议中有很多信息使用明文传输,容易泄露相关信息,而且也易于受到中间人攻击。
发明内容
本发明的目的在于提供一种减少了运算量的隐藏身份且适合资源受限终端的EAP认证方法。
本发明的目的是这样实现的:
(1)客户端向服务器端发送身份标识ClientID,如果标识不符,则断开连接;如果标识正确,则开始进行认证:
(1.1)认证流程开始,客户端发送EAPOL-Start报文;
(1.2)认证端发送EAP-Request/Identity报文,请求客户端用户名;
(1.3)客户端响应认证端请求,发送EAP-Response/Identity报文,其中包含客户端用户标识ClientID;
(1.4)认证端将收到的EAP-Response/Identity报文解包,转换后封装入RADIUS-Access-Request报文中发送到认证服务器,其中包含客户端的用户标识;
(1.5)认证服务器将收到的客户标识在其数据库中进行匹配,如果相符,进行下一步,否则认证过程结束;
(2)客户端与服务器端要有一个共享密钥PSK,通过PSK使用哈希函数推导出认证需要的AK,EK两个密钥:
(2.1)服务器端根据客户发起登陆的时间生成Ts,再随机生成一个Ns,这主要是为了保持协议的新鲜性,以防止重放攻击。再将Ts和服务器端的标识ServerID用EK加密,与Ns一起向客户端发送。EK=f(PSK,ClientID&Ns),f是一个单向的哈希函数;
(2.2)客户端收到服务器发来的消息后,用生成的EK解密,得到相关信息。然后随机生成一个Nc,再生成AK和MIC1。AK=f(PSK,ServerID&Nc&Ts),MIC1=f(AK,ServerID&Ns&Ts)。用EK加密后发送给认证服务器;
(3)客户端与服务器端进行双向认证:
(3.1)服务器解密之后,用收到的信息生成MIC1,与客户端发送的MIC1相比较;
(3.2)如果比较不一致,则认证过程结束。如果比较一致,则进行下一步;
(3.3)服务器随机生成一个新的客户端用户标识newID来代替之前的标识,这样每次用户登录都会有一个不同的身份标识,从而达到了对用户的隐私保护。然后生成MIC2,与newID一起用EK加密后,发送给客户端。MIC2=f(AK,newID&Nc);
(3.4)客户端收到信息之后,对MIC2验证;
(3.5)如果验证不成功,则认证过程结束。如果验证成功,说明这是之前与其连接的服务器,进行下一步;
(4)服务器端给客户端发送一个随机生成的字符串作为新的标识来替换旧的标识,下次连接客户端使用新的标识进行认证:
(4.1)客户端响应认证端请求,发送EAP-Response并更换新的客户标识;
(4.2)经过客户端与服务器端的双向验证后,服务器端返回Accept报文,允许用户接入网络;
(4.3)认证流程结束。
本发明具有以下有益效果:
1.利用本发明,整个认证流程采用对称加密思想,进而减少了运算量,利于资源受限终端的部署。
2.本发明提供的方法利用每次为客户端分配一个新的用户身份标识,能够对用户身份进行动态保护,即达到了隐藏用户身份的目的。
3.本发明所提供的方法完全依赖客户端与服务器端的共享密钥PSK,通过PSK推导出AK,EK两个密钥。客户端与服务器端使用这两个密钥进行相互认证。这使得协议的安全性大大加强,因为攻击者必须同时具有这两个密钥,才能攻击入侵,提供了良好的前后向安全性。
4.本发明所提供的方法中用户的身份标识只使用一次,第二次使用的是加密传输的新标识。而且随机数的存在也保证了认证过程的时效性,即能够抵抗DoS攻击。
5.本发明所提供的方法每次传递的Nc,Ns和Ts都是一个随机数,它们可以保证每次认证过程都不同于上一次,即能够抵抗重放攻击。
6.本发明所提供的方法共享密钥PSK是不在网络中传递的,攻击者无法知道由其推导出的AK和EK。同时在网络传输的过程中,传输的信息(如MIC)用EK进行加密。攻击者无法破译出这些密钥,即能够抵抗字典攻击和穷举攻击。
附图说明
图1为本发明认证过程示意图;
图2为本发明认证过程流程图。
具体实施方式
下面结合附图对本发明做进一步描述:
1)在接入认证前,客户端向服务器端发送身份标识(ClientID),如果标识不符,则断开连接;如果标识正确,则开始进行认证;
2)在接入阶段,客户端与服务器端要有一个共享密钥(PSK),通过PSK使用哈希函数推导出认证需要的AK,EK两个密钥;
3)在认证阶段,客户端与服务器端进行双向认证;
4)在认证通过之后,服务器端给客户端发送一个随机生成的字符串作为新的标识来替换旧的标识,下次连接客户端使用新的标识进行认证。
首先要求客户端与服务器端有一个共享密钥PSK,通过PSK推导出AK,EK两个密钥。方法的认证过程如图1所示,下面说一下整个方法的交互过程:
(1.1)认证流程开始,客户端发送EAPOL-Start报文。
(1.2)认证端发送EAP-Request/Identity报文,请求客户端用户名。
(1.3)客户端响应认证端请求,发送EAP-Response/Identity报文,其中包含客户端用户标识ClientID。
(1.4)认证端将收到的EAP-Response/Identity报文解包,转换后封装入RADIUS-Access-Request报文中发送到认证服务器,其中包含客户端的用户标识。
(1.5)认证服务器将收到的客户标识在其数据库中进行匹配,如果相符,进行下一步,否则认证过程结束。
(2.1)服务器端根据客户发起登陆的时间生成Ts,再随机生成一个Ns,这主要是为了保持方法的新鲜性,以防止重放攻击。再将Ts和服务器端的标识ServerID用EK加密,与Ns一起向客户端发送。EK=f(PSK,ClientID&Ns),f是一个单向的哈希函数。
(2.2)客户端收到服务器发来的消息后,用生成的EK解密,得到相关信息。然后随机生成一个Nc,再生成AK和MIC1。AK=f(PSK,ServerID&Nc&Ts),MIC1=f(AK,ServerID&Ns&Ts)。用EK加密后发送给认证服务器。
(3.1)服务器解密之后,用收到的信息生成MIC1,与客户端发送的MIC1相比较。
(3.2)如果比较不一致,则认证过程结束。如果比较一致,则进行下一步。
(3.3)服务器随机生成一个新的客户端用户标识newID来代替之前的标识,这样每次用户登录都会有一个不同的身份标识,从而达到了对用户的隐私保护。然后生成MIC2,与newID一起用EK加密后,发送给客户端。MIC2=f(AK,newID&Nc)。
(3.4)客户端收到信息之后,对MIC2验证.
(3.5)如果验证不成功,则认证过程结束。如果验证成功,说明这是之前与其连接的服务器,进行下一步。
(4.1)客户端响应认证端请求,发送EAP-Response并更换新的客户标识。
(4.2)经过客户端与服务器端的双向验证后,服务器端返回Accept报文,允许用户接入网络。
(4.3)认证流程结束。
Claims (1)
1.一种隐藏身份且适合资源受限终端的EAP认证方法,其特征在于:
(1)客户端向服务器端发送身份标识ClientID,如果标识不符,则断开连接;如果标识正确,则开始进行认证:
(1.1)认证流程开始,客户端发送EAPOL-Start报文;
(1.2)认证端发送EAP-Request/Identity报文,请求客户端用户名;
(1.3)客户端响应认证端请求,发送EAP-Response/Identity报文,其中包含客户端用户标识ClientID;
(1.4)认证端将收到的EAP-Response/Identity报文解包,转换后封装入RADIUS-Access-Request报文中发送到认证服务器,其中包含客户端的用户标识;
(1.5)认证服务器将收到的客户标识在其数据库中进行匹配,如果相符,进行下一步,否则认证过程结束;
(2)客户端与服务器端要有一个共享密钥PSK,通过PSK使用哈希函数推导出认证需要的AK,EK两个密钥:
(2.1)服务器端根据客户发起登陆的时间生成Ts,再随机生成一个Ns,这主要是为了保持方法的新鲜性,以防止重放攻击,再将Ts和服务器端的标识ServerID用EK加密,与Ns一起向客户端发送,EK=f(PSK,ClientID&Ns),f是一个单向的哈希函数;
(2.2)客户端收到服务器发来的消息后,用生成的EK解密,得到相关信息,然后随机生成一个Nc,再生成AK和MIC1,AK=f(PSK,ServerID&Nc&Ts),MIC1=f(AK,ServerID&Ns&Ts),用EK加密后发送给认证服务器;
(3)客户端与服务器端进行双向认证:
(3.1)服务器解密之后,用收到的信息生成MIC1,与客户端发送的MIC1相比较;
(3.2)如果比较不一致,则认证过程结束,如果比较一致,则进行下一步;
(3.3)服务器随机生成一个新的客户端用户标识newID来代替之前的标识,这样每次用户登录都会有一个不同的身份标识,从而达到了对用户的隐私保护,然后生成MIC2,与newID一起用EK加密后,发送给客户端,MIC2=f(AK,newID&Nc);
(3.4)客户端收到信息之后,对MIC2验证;
(3.5)如果验证不成功,则认证过程结束,如果验证成功,说明这是之前与其连接的服务器,进行下一步;
(4)服务器端给客户端发送一个随机生成的字符串作为新的标识来替换旧的标识,下次连接客户端使用新的标识进行认证:
(4.1)客户端响应认证端请求,发送EAP-Response并更换新的客户标识;
(4.2)经过客户端与服务器端的双向验证后,服务器端返回Accept报文,允许用户接入网络;
(4.3)认证流程结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410061845.1A CN103795728A (zh) | 2014-02-24 | 2014-02-24 | 一种隐藏身份且适合资源受限终端的eap认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410061845.1A CN103795728A (zh) | 2014-02-24 | 2014-02-24 | 一种隐藏身份且适合资源受限终端的eap认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103795728A true CN103795728A (zh) | 2014-05-14 |
Family
ID=50671014
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410061845.1A Pending CN103795728A (zh) | 2014-02-24 | 2014-02-24 | 一种隐藏身份且适合资源受限终端的eap认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103795728A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104683343A (zh) * | 2015-03-03 | 2015-06-03 | 中山大学 | 一种终端快速登录WiFi热点的方法 |
CN104901946A (zh) * | 2015-04-10 | 2015-09-09 | 中国民航大学 | 基于改进Diameter/EAP-MD5协议的民航SWIM用户认证方法 |
WO2015180399A1 (zh) * | 2014-05-26 | 2015-12-03 | 中兴通讯股份有限公司 | 一种认证方法及装置系统 |
WO2016086490A1 (zh) * | 2014-12-01 | 2016-06-09 | 公安部第三研究所 | 基于密钥分散运算实现网络电子身份标识信息保护的方法 |
WO2016107466A1 (zh) * | 2014-12-31 | 2016-07-07 | 阿里巴巴集团控股有限公司 | 一种标识用户身份的方法及装置 |
CN107491955A (zh) * | 2016-06-13 | 2017-12-19 | 邓斌涛 | 移动终端的加密方法、身份认证和电子支付系统和方法 |
CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
CN108737431A (zh) * | 2018-05-28 | 2018-11-02 | 深圳职业技术学院 | IoT场景下基于混淆的分等级分布式认证方法、装置及系统 |
WO2020041933A1 (en) * | 2018-08-27 | 2020-03-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for a secure connection |
CN112640506A (zh) * | 2020-07-28 | 2021-04-09 | 华为技术有限公司 | 一种蓝牙节点配对方法及相关装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070047033A (ko) * | 2005-11-01 | 2007-05-04 | 주식회사 케이티 | Eap-tlv 메시지를 이용한 공중 무선랜 서비스 접속프로그램의 버전 관리 및 갱신 방법 |
CN101009910A (zh) * | 2006-01-25 | 2007-08-01 | 华为技术有限公司 | 在无线网络中实现扩展认证协议认证的方法及装置 |
CN101222331A (zh) * | 2007-01-09 | 2008-07-16 | 华为技术有限公司 | 一种认证服务器及网状网中双向认证的方法及系统 |
CN101272379A (zh) * | 2008-05-13 | 2008-09-24 | 武汉理工大学 | 基于IEEE802.1x安全认证协议的改进方法 |
CN101296086A (zh) * | 2008-06-18 | 2008-10-29 | 华为技术有限公司 | 接入认证的方法、系统和设备 |
CN101394395A (zh) * | 2007-09-18 | 2009-03-25 | 华为技术有限公司 | 一种认证方法和系统、及装置 |
CN102843687A (zh) * | 2012-09-18 | 2012-12-26 | 惠州Tcl移动通信有限公司 | 智能手机便携式热点安全接入的方法及系统 |
-
2014
- 2014-02-24 CN CN201410061845.1A patent/CN103795728A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070047033A (ko) * | 2005-11-01 | 2007-05-04 | 주식회사 케이티 | Eap-tlv 메시지를 이용한 공중 무선랜 서비스 접속프로그램의 버전 관리 및 갱신 방법 |
CN101009910A (zh) * | 2006-01-25 | 2007-08-01 | 华为技术有限公司 | 在无线网络中实现扩展认证协议认证的方法及装置 |
CN101222331A (zh) * | 2007-01-09 | 2008-07-16 | 华为技术有限公司 | 一种认证服务器及网状网中双向认证的方法及系统 |
CN101394395A (zh) * | 2007-09-18 | 2009-03-25 | 华为技术有限公司 | 一种认证方法和系统、及装置 |
CN101272379A (zh) * | 2008-05-13 | 2008-09-24 | 武汉理工大学 | 基于IEEE802.1x安全认证协议的改进方法 |
CN101296086A (zh) * | 2008-06-18 | 2008-10-29 | 华为技术有限公司 | 接入认证的方法、系统和设备 |
CN102843687A (zh) * | 2012-09-18 | 2012-12-26 | 惠州Tcl移动通信有限公司 | 智能手机便携式热点安全接入的方法及系统 |
Non-Patent Citations (1)
Title |
---|
M.AIT HEMAD, M.A.EI KIRAM, A.LAZREK: "An EAP Authentication Method using One Time Identity", 《INTERNATIONAL JOURNAL OF COMPUTER SCIENCE AND NETWORK SECURITY》 * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015180399A1 (zh) * | 2014-05-26 | 2015-12-03 | 中兴通讯股份有限公司 | 一种认证方法及装置系统 |
US10700858B2 (en) | 2014-12-01 | 2020-06-30 | The Third Institute Of The Ministry Of Public Security | Method for realizing network electronic identity identification information protection based on key dispersion calculation |
US10972264B2 (en) | 2014-12-01 | 2021-04-06 | The Third Institute Of The Ministry Of Public Security | Method for realizing network electronic identity identification information protection based on key dispersion calculation |
WO2016086490A1 (zh) * | 2014-12-01 | 2016-06-09 | 公安部第三研究所 | 基于密钥分散运算实现网络电子身份标识信息保护的方法 |
US10848310B2 (en) | 2014-12-31 | 2020-11-24 | Alibaba Group Holding Limited | Method and device for identifying user identity |
WO2016107466A1 (zh) * | 2014-12-31 | 2016-07-07 | 阿里巴巴集团控股有限公司 | 一种标识用户身份的方法及装置 |
CN104683343B (zh) * | 2015-03-03 | 2018-03-16 | 中山大学 | 一种终端快速登录WiFi热点的方法 |
CN104683343A (zh) * | 2015-03-03 | 2015-06-03 | 中山大学 | 一种终端快速登录WiFi热点的方法 |
CN104901946A (zh) * | 2015-04-10 | 2015-09-09 | 中国民航大学 | 基于改进Diameter/EAP-MD5协议的民航SWIM用户认证方法 |
CN107491955A (zh) * | 2016-06-13 | 2017-12-19 | 邓斌涛 | 移动终端的加密方法、身份认证和电子支付系统和方法 |
CN108347417A (zh) * | 2017-01-24 | 2018-07-31 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
CN108347417B (zh) * | 2017-01-24 | 2020-08-07 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
CN108737431A (zh) * | 2018-05-28 | 2018-11-02 | 深圳职业技术学院 | IoT场景下基于混淆的分等级分布式认证方法、装置及系统 |
WO2020041933A1 (en) * | 2018-08-27 | 2020-03-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for a secure connection |
CN112640506A (zh) * | 2020-07-28 | 2021-04-09 | 华为技术有限公司 | 一种蓝牙节点配对方法及相关装置 |
WO2022021087A1 (zh) * | 2020-07-28 | 2022-02-03 | 华为技术有限公司 | 一种蓝牙节点配对方法及相关装置 |
CN112640506B (zh) * | 2020-07-28 | 2022-04-22 | 华为技术有限公司 | 一种蓝牙节点配对方法及相关装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103795728A (zh) | 一种隐藏身份且适合资源受限终端的eap认证方法 | |
Qiu et al. | A mutual authentication and key establishment scheme for M2M communication in 6LoWPAN networks | |
CN104158653B (zh) | 一种基于商密算法的安全通信方法 | |
US8001381B2 (en) | Method and system for mutual authentication of nodes in a wireless communication network | |
CN108848112B (zh) | 用户设备ue的接入方法、设备及系统 | |
CN105828332B (zh) | 一种无线局域网认证机制的改进方法 | |
JP2011139457A (ja) | 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム | |
CN104754581A (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
Mavridis et al. | Real-life paradigms of wireless network security attacks | |
CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
CN105141629A (zh) | 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法 | |
Noh et al. | Secure key exchange scheme for WPA/WPA2-PSK using public key cryptography | |
JP4550759B2 (ja) | 通信システム及び通信装置 | |
Bansal et al. | Lightweight authentication protocol for inter base station communication in heterogeneous networks | |
KR102219086B1 (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
CN106992866A (zh) | 一种基于nfc无证书认证的无线网络接入方法 | |
Abdo et al. | EC-AKA2 a revolutionary AKA protocol | |
Sakib et al. | Security improvement of WPA 2 (Wi-Fi protected access 2) | |
Kumar et al. | Analysis and literature review of IEEE 802.1 x (Authentication) protocols | |
CN113573307B (zh) | 一种基于可扩展认证协议的快速认证方法 | |
Dey et al. | An efficient dynamic key based eap authentication framework for future ieee 802.1 x wireless lans | |
Ma et al. | The improvement of wireless LAN security authentication mechanism based on Kerberos | |
Yang et al. | Link-layer protection in 802.11 i WLANS with dummy authentication | |
Rai et al. | An efficient password authenticated key exchange protocol for WLAN and WiMAX | |
Jain et al. | Penetration Testing of Wireless EncryptionProtocols |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140514 |
|
RJ01 | Rejection of invention patent application after publication |