CN105245338B - 一种认证方法及装置系统 - Google Patents
一种认证方法及装置系统 Download PDFInfo
- Publication number
- CN105245338B CN105245338B CN201410223696.4A CN201410223696A CN105245338B CN 105245338 B CN105245338 B CN 105245338B CN 201410223696 A CN201410223696 A CN 201410223696A CN 105245338 B CN105245338 B CN 105245338B
- Authority
- CN
- China
- Prior art keywords
- authentication information
- offline
- client
- wireless access
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种认证方法及装置系统,涉及通信领域,所述方法包括:客户端接收来自认证服务器的第一认证信息和来自无线接入端的第三认证信息,所述第三认证信息是无线接入端根据认证服务器发送的第二认证信息得到的;根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。本发明能够在不改变原EAPOL数据帧格式的基础上,实现在认证阶段进行双向认证和密钥协商,以及提供客户端下线阶段使用密钥进行身份认证,有效防止会话劫持和中间人攻击,减轻拒绝服务攻击。
Description
技术领域
本发明涉及通信领域,特别涉及一种认证方法及装置系统。
背景技术
IEEE802LAN/WAN委员会为解决局域网网络安全问题,在2001年制定了标准IEEEStd802.1X-2001,之后在2004年提出其修订版:IEEE Std802.1X-2004。经研究表明,目前,基于802.1X的网络访问控制(NAC:Network Access Control)系统在学校、企业等单位得到广泛应用。然而,IEEE802.1X存在安全缺陷,面临拒绝服务攻击(DoS:Denial of serviceattacks)、会话劫持、重放攻击、中间人攻击等安全威胁。
为了消除协议缺陷,目前已有四次握手认证解决方案,该方案在无线网络得到广泛应用,是IEEE802.11i标准的一部分,但是其仍然存在一定安全隐患,面临几种不同形式的拒绝服务攻击的威胁。
另外,对局域网上的扩展认证协议(EAPOL:Extensible AuthenticationProtocol over LAN)的数据帧增加保护字段并建立共享密钥和密钥轮换机制,并对逐条消息进行完整性和源真实性进行保护。但是,现有IEEE802.1X协议最大的缺陷是状态机不完整,缺乏双向认证,以及对消息的完整性和源真实性的保护力较弱。而且,这些有效改进协议的方案,需要对数据帧格式加以改变,在当前基于IEEE802.1X的NAC系统上实施时具有一定难度,不够实用。
发明内容
本发明的目的在于提供一种认证方法及装置系统,能够解决认证机制在安全方面存在的不足,以及在NAC系统上实施所存在的不便的问题。
根据本发明的一个方面,提供了一种认证方法,包括:
客户端接收来自认证服务器的第一认证信息和来自无线接入端的第三认证信息,所述第三认证信息是无线接入端根据认证服务器发送的第二认证信息得到的;
根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
优选地,所述第一认证信息是用来客户端对认证服务器进行认证的认证信息,第二认证信息是用来无线接入端对认证服务器进行认证的认证信息,第三认证信息是用来客户端对无线接入端进行认证的认证信息。
优选地,根据所述第一认证信息对认证服务器进行认证的步骤包括:
根据客户端与认证服务器共享的预置密钥,对所述第一认证信息进行解析,得到第一随机数、第二随机数和共享密钥;
将解析得到的第一随机数与客户端预存的随机数进行比对,若相同,则认证服务器认证成功。
优选地,根据所述第三认证信息对无线接入端进行认证的步骤包括:
根据解析得到的共享密钥,对所述第三认证信息进行解密,得到第二随机数;
将解析得到的第二随机数与所述第一认证信息中的第二随机数进行比对,若相同,则无线接入端认证成功。
优选地,对所述客户端下线阶段进行认证的步骤包括:
在所述客户端接收到来自无线接入端的第一下线认证信息后,对第一下线认证信息进行认证;
若认证成功,则发送第二下线认证信息给无线接入端,由其根据所述第二下线认证信息控制当前端口状态。
优选地,所述的对第一下线认证信息进行认证的步骤包括:
利用共享密钥对第一下线认证信息进行解析,得到下线标识、无线接入端标识和第一随机数;
若客户端主动要求下线,且所解析到的下线标识为TRUE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃所述第一下线认证信息;
若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃第一下线认证信息。
优选地,所述的由其根据所述第二下线认证信息控制当前端口状态的步骤包括:
利用共享密钥对第二下线认证信息进行解析,得到下线标识、客户端标识和第二随机数;
若客户端主动要求下线,且所解析到的下线标识为TRUE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接;
若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接。
根据本发明的另一方面,提供了一种认证装置,包括:
接收模块,用于客户端接收来自认证服务器的第一认证信息和来自无线接入端的第三认证信息,所述第三认证信息是所述无线接入端根据认证服务器发送的第二认证信息得到的;
双向认证模块,用于根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
优选地,所述双向认证模块包括:
第一认证解析子模块,用于根据客户端与认证服务器共享的预置密钥,对所述第一认证信息进行解析,得到第一随机数、第二随机数和共享密钥;
认证服务器认证子模块,用于将解析得到的第一随机数与客户端预存的随机数进行比对,若相同,则认证服务器认证成功。
优选地,所述双向认证模块包括:
第三认证解析子模块,用于根据解析得到的共享密钥,对所述第三认证信息进行解密,得到第二随机数;
无线接入端认证子模块,用于将解析得到的第二随机数与所述第一认证信息中的第二随机数进行比对,若相同,则无线接入端认证成功。
优选地,还包括:
第一下线认证模块,用于在所述客户端接收到来自无线接入端的第一下线认证信息后,对第一下线认证信息进行认证;
第二下线认证模块,用于若认证成功,则发送第二下线认证信息给无线接入端,由其根据所述第二下线认证信息控制当前端口状态。
优选地,所述第一下线认证模块包括:
第一下线解析子模块,用于利用共享密钥对第一下线认证信息进行解析,得到下线标识、无线接入端标识和第一随机数;
第一下线主动认证子模块,用于若客户端主动要求下线,且所解析到的下线标识为TRUE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃所述第一下线认证信息;
第一下线被动认证子模块,用于若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃第一下线认证信息。
优选地,所述第二下线认证模块包括:
第二下线解析子模块,用于利用共享密钥对第二下线认证信息进行解析,得到下线标识、客户端标识和第二随机数;
第二下线主动认证子模块,用于若客户端主动要求下线,且所解析到的下线标识为TRUE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接;
第二下线被动认证子模块,用于若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接。
根据本发明的另一方面,提供了一种认证系统的认证方法,包括:
认证服务器对无线接入端和客户端进行认证,在认证成功后,将第一认证信息和第二认证信息发送给所述无线接入端;
无线接入端根据第二认证信息,生成第三认证信息,并将所述第一认证信息和第三认证信息发送给客户端;
客户端根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
根据本发明的另一方面,提供了一种认证系统,包括:
认证服务器,用于对无线接入端和客户端进行认证,在认证成功后,将第一认证信息和第二认证信息发送给所述无线接入端;
无线接入端,用于根据第二认证信息,生成第三认证信息,并将所述第一认证信息和第三认证信息发送给客户端;
客户端,用于根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
与现有技术相比较,本发明的有益效果在于:能够通过提出一种双向挑战握手及下线认证的方法,实现在认证阶段进行双向认证和密钥协商,以及下线阶段使用密钥进行的身份认证,从而实现对协议的改进,消除现有认证机制存在的安全问题。
附图说明
图1是本发明实施例提供的认证的方法原理图;
图2是本发明实施例提供的认证的装置结构图;
图3是本发明实施例提供的认证系统认证的方法原理图;
图4是本发明实施例提供的认证系统的结构图;
图5是本发明实施例提供的认证的双向挑战握手和下线认证的示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
图1是本发明实施例提供的认证的方法原理图,如图1所示,具体步骤如下:
步骤S1:客户端接收来自认证服务器的第一认证信息和来自无线接入端的第三认证信息,所述第三认证信息是无线接入端根据认证服务器发送的第二认证信息得到的。
在步骤S1中,所述第一认证信息是用来客户端对认证服务器进行认证的认证信息,第二认证信息是用来无线接入端对认证服务器进行认证的认证信息,第三认证信息是用来客户端对无线接入端进行认证的认证信息。
步骤S2:根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
在步骤S2中,根据所述第一认证信息对认证服务器进行认证的步骤包括:
根据客户端与认证服务器共享的预置密钥,对所述第一认证信息进行解析,得到第一随机数、第二随机数和共享密钥;
将解析得到的第一随机数与客户端预存的随机数进行比对,若相同,则认证服务器认证成功。
进一步地,根据所述第三认证信息对无线接入端进行认证的步骤包括:
根据解析得到的共享密钥,对所述第三认证信息进行解密,得到第二随机数;
将解析得到的第二随机数与所述第一认证信息中的第二随机数进行比对,若相同,则无线接入端认证成功。
进一步地,对所述客户端下线阶段进行认证的步骤包括:
在所述客户端接收到来自无线接入端的第一下线认证信息后,对第一下线认证信息进行认证;
若认证成功,则发送第二下线认证信息给无线接入端,由其根据所述第二下线认证信息控制当前端口状态。
进一步地,所述的对第一下线认证信息进行认证的步骤包括:
利用共享密钥对第一下线认证信息进行解析,得到下线标识、无线接入端标识和第一随机数;
若客户端主动要求下线,且所解析到的下线标识为TRUE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃所述第一下线认证信息;
若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃第一下线认证信息。
进一步地,所述的由其根据所述第二下线认证信息控制当前端口状态的步骤包括:
利用共享密钥对第二下线认证信息进行解析,得到下线标识、客户端标识和第二随机数;
若客户端主动要求下线,且所解析到的下线标识为TRUE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接;
若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接。
图2是本发明实施例提供的认证的装置结构图,如图2所示,包括接收模块210、双向认证模块220、第一下线认证模块230和第二下线认证模块240。
所述接收模块210用于客户端接收来自认证服务器的第一认证信息和来自无线接入端的第三认证信息,所述第三认证信息是所述无线接入端根据认证服务器发送的第二认证信息得到的。
所述双向认证模块220用于根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。其中,所述双向认证模块220的第一认证解析子模块221用于根据客户端与认证服务器共享的预置密钥,对所述第一认证信息进行解析,得到第一随机数、第二随机数和共享密钥。所述双向认证模块220的认证服务器认证子模块222用于将解析得到的第一随机数与客户端预存的随机数进行比对,若相同,则认证服务器认证成功。所述双向认证模块220的第三认证解析子模块223用于根据解析得到的共享密钥,对所述第三认证信息进行解密,得到第二随机数。所述双向认证模块220的无线接入端认证子模块224用于将解析得到的第二随机数与所述第一认证信息中的第二随机数进行比对,若相同,则无线接入端认证成功。
所述第一下线认证模块230用于在所述客户端接收到来自无线接入端的第一下线认证信息后,对第一下线认证信息进行认证。其中,所述第一下线认证模块230的第一下线解析子模块231用于利用共享密钥对第一下线认证信息进行解析,得到下线标识、无线接入端标识和第一随机数。所述第一下线认证模块230的第一下线主动认证子模块232用于若客户端主动要求下线,且所解析到的下线标识为TRUE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃所述第一下线认证信息。所述第一下线认证模块230的第一下线被动认证子模块233用于若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃第一下线认证信息。
所述第二下线认证模块240用于若认证成功,则发送第二下线认证信息给无线接入端,由其根据所述第二下线认证信息控制当前端口状态。所述第二下线认证模块240的第二下线解析子模块241用于利用共享密钥对第二下线认证信息进行解析,得到下线标识、客户端标识和第二随机数。所述第二下线认证模块240的第二下线主动认证子模块242用于若客户端主动要求下线,且所解析到的下线标识为TRUE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接。所述第二下线认证模块240的第二下线被动认证子模块243用于若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接。
图3是本发明实施例提供的认证系统认证的方法原理图,如图3所示,具体步骤如下:
步骤310:认证服务器对无线接入端和客户端进行认证,在认证成功后,将第一认证信息和第二认证信息发送给所述无线接入端。
步骤320:无线接入端根据第二认证信息,生成第三认证信息,并将所述第一认证信息和第三认证信息发送给客户端。
步骤330:客户端根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
图4是本发明实施例提供的认证系统的结构图,如图4所示,包括:认证服务器410、无线接入端420和客户端430。
所述认证服务器410用于对无线接入端和客户端进行认证,在认证成功后,将第一认证信息和第二认证信息发送给所述无线接入端。
所述无线接入端420用于根据第二认证信息,生成第三认证信息,并将所述第一认证信息和第三认证信息发送给客户端。
所述客户端430用于根据所述第一认证信息对认证服务器进行认证,以及根据所述第三认证信息对无线接入端进行认证。
图5是本发明实施例提供的认证的双向挑战握手和下线认证的示意图,如图5所示,PW是客户端和服务器共享的预置密钥(用户密码),Na、Nb、Ns分别是A(客户端标识)、B(认证者标识)、S(认证服务器标识)生成的一次性随机数,Flag为下线标识,客户端主动下线则Flag置为TRUE,认证者强制要求其下线则Flag置为FALSE。虚线箭头表示只有在客户端主动要求下线时才发送EAPOL-Logof帧,此时认证者将回应EAP-Failure消息,并在随后发起一次下线确认的会活过程,如果是认证失败或者认证者强制客户端下线,也会在发送EAP-Failure消息后发起下线确认。考虑到EAP协议的可扩展性,将确认消息封装到EAP-Request/Response消息中进行传递。
序号为(1)、(2)、(3)、(4)、(5)、(8)、(9)、(10)、(11)、(12)的消息报文同时存在于现有IEEE802.1X认证机制以及本发明实施例提供的IEEE802.1X认证机制改进的安全认证机制中。序号为(6)、(7)、(13)、(14)的消息报文与现有技术不同,消息报文(6)和消息报文(7)用于实现在认证阶段进行双向认证和密钥协商,消息报文(13)和消息报文(14)用于实现下线阶段的身份认证。具体实现方法表现为:
第一步,认证阶段进行双向认证和密钥协商。
为了实现对客户端和认证系统(认证者和认证服务器)的双向认证,并由认证服务器分配共享密钥Key。首先是对认证者和认证服务器的认证,由消息报文(6)完成。由于只有客户端和认证服务器持有PW,故而客户端收到消息报文(6)以后,经过解密并核对其真实性即可完成对认证服务器的认证。同时,认证服务器是可信第三方,它可以鉴定认证者的身份,故而在消息报文(6)中包含的信息实现了对认证者身份的鉴定。其次是对客户端的认证,消息报文(7)完成这一过程,这与标准的挑战握手认证类似。另外,在消息报文(5)和消息报文(6)中实现了客户端与认证者的共享密钥Key的分配。
第二步,下线阶段的身份认证。
当客户端主动要求下线而发送EAPOL-Logoff帧时,认证者收到后返回EAPOL-Failure消息。接下来认证者发送消息报文(13),其中用Flag置为TRUE。客户端收到后用Key解密,检查B、Na是否有效,并认证Flag是否为TRUE,如果这三者中任一有误,则丢弃该消息报文,保持当前端口状态。如果认证无误则返回消息报文(14),其中的Flag同样必须为TRUE,客户端接收到消息报文(14)并认证A、Flag、Nb无误后,将端口断开。如果认证有误则丢弃该消息报文,保持当前端口状态。当客户端没有发送EAPOL-Logoff帧,而认证者发送EAP-Failure强制客户端下线,或者客户端认证失败,认证者在消息报文(10)中发送EAP-Failure时,认证者同样发送消息报文(13),其中Flag置为FALSE,客户端认证B、Flag和Na的值并返回消息报文(14),认证者收到消息报文(14)后,同样对A、Flag、Nb进行认证,若认证A、Flag、Nb无误后,将端口断开。如果认证有误则丢弃该消息报文,保持当前端口状态。
如图3所示,PW是客户端A和服务器S共同持有的共享密钥(密码),PW2是认证者B和服务器S共同持有的共享密钥(密码);ID是客户端A的身份标识(可理解为账户名),该标识在服务器S中有记录;ID2是认证者B的身份标识(可理解为账户名),该标识在服务器S中有记录。具体步骤如下:
(1)客户端向认证者发送一个EAPOL-Start报文,开始802.1X认证。
(2)认证者向客户端应答一个EAPOL-Req-Identity报文,要求客户端将用户名等信息发送上来。
(3)客户端向认证者发送EAPOL-Resp/ID,PW(A,PW,Na)应答报文,该报文包含客户端在服务器中用户标识ID,以及使用PW加密后的信息。此处,PW(A,PW,Na)表示客户端A使用PW加密PW和Na后的信息。
(4)认证者向服务器发送请求报文EAPOL-Req/ID,ID2,PW(A,PW,Na),PW2(B,PW2,Nb),其中,PW2(B,PW2,Nb)表示认证者B使用PW2加密PW2和Nb后的信息。通过该报文,服务器可以同时认证客户端和认证者的合法性,比如:服务器对客户端的认证是这样的,将PW(A,PW,Na)使用服务器通过客户端ID找到的密码解密,如果解密出来的密码PW与服务器保存的密码一致,说明该客户端合法;同样,服务器对认证者的认证也是如此。
(5)如果第(4)步认证成功,服务器向认证者发送RA-Challenge/PW(S,Na,Key,Nb,Ns),PW2(S,Na,Key,Nb,Ns)报文,该报文包含服务器分配给认证者和客户端的共享密钥Key,使用PW加密Na,Key,Nb,Ns后的信息,以及使用PW2加密Na,Key,Nb,Ns后的信息。当认证者接收到该报文后,使用PW2解密PW2(S,Na,Key,Nb,Ns),得到Na,Key,Nb,Ns,认证者认证Nb的真实性,从而完成对服务器的认证。
(6)认证者向客户端发送EAP-Req/Key(Nb),PW(S,Na,Key,Nb,Ns)报文,该报文包含认证者使用Key加密Nb后的信息,以及使用PW加密Na,Key,Nb,Ns后的信息。当客户端接收到该报文后,使用PW解密出Na,Key,Nb,Ns,并认证Na的真实性,完成对服务器的认证。然后使用刚解密出的Key解密Key(Nb)来认证Nb的真实性,完成对认证者的认证。
(7)客户端向认证者发送RA-Resp/PW(A,PW,Ns),Key(Na)报文,其中包含客户端使用PW加密PW,Ns后的信息,以及使用Key加密Na后的信息。当认证者接收到该报文后,使用Key解密出Key(Na),认证Na的真实性,完成对客户端的认证。
(8)认证者向服务器发送认证报文RA-Req/PW(A,PW,Ns),PW2(B,PW2,Ns),其中包含客户端使用PW加密PW,Ns后的信息,以及认证者使用PW2加密PW2,Ns后的信息。当服务器接收到该报文后,分别使用PW和PW2解密PW(A,PW,Ns)和PW2(B,PW2,Ns),从而认证Ns的真实性,完成对客户端以及认证者的认证。
(9)服务器向认证者发送RA-Accept/Reject报文,告诉认证者802.1X认证成功与否。
(10)认证者向客户端发送报文EAP-Success/Failure。
(11)客户端主动要求下线,发送EAPOL-Logoff帧给认证者。
(12)认证者收到后返回EAPOL-Failure消息。
(13)认证者随后发送消息报文EAP-Req/Key(B,Flag,Na),其中用Flag置为TRUE。当客户端没有发送EAPOL-Logoff帧,而认证者发送EAP-Failure强制客户端下线,或者客户端认证失败,认证者在(10)中发送EAP-Failure,认证者同样发送消息报文EAP-Req/Key(B,Flag,Na)给客户端,其中Flag置为FALSE。
(14)客户端收到后用Key解密,检查B、Na是否有效,并认证Flag是否为TRUE,如果这三者中任一有误,则丢弃该消息报文,端口保持当前状态。如果认证无误则返回消息报文EAP-Resp/Key(A,Flag,Nb),其中的Flag同样必须为TRUE,认证者接收到该消息报文并认证A、Flag、Nb无误后,将端口断开。如果认证有误则丢弃该消息报文,保持当前端口状态。
其应用价值具体表现为以下三个方面:
第一,当攻击者伪造EAPOL-Logoff帧发送给认证者时,截获到认证者发来的EAP-Failure和EAP-Request认证消息。然而攻击者没有共享密钥,也没有消息认证随机数,无法伪造随后的认证消息,所以无法通过下线认证,也就无法诱使认证者关闭端口,有效提高系统的安全性。
第二,当攻击者伪造EAP-Failure消息发送给客户端时,然而攻击者没有共享密钥,也没有消息认证随机数,无法伪造随后的EAP-Request消息报文完成下线认证,所以无法诱使客户端关闭端口,有效提高系统的安全性。
第三,不需要改变协议消息格式,只需对支持IEEE802.1X的网络设备进行软件升级即可推广应用。
综上所述,本发明具有以下技术效果:能够通过提出一种双向挑战握手及下线认证的改进方法,在不改变原EAPOL数据帧格式的基础上,完善状态机,实现在认证阶段进行双向认证和密钥协商,以及提供客户端下线阶段使用密钥进行的身份认证。从而避免了攻击者诱使认证者或/和客户端关闭端口,加强了消息完整性和源真实性的保护,此外,还可有效防止会话劫持、重放攻击和中间人攻击,减轻拒绝服务攻击。
尽管上文对本发明进行了详细说明,但是本发明不限于IEEE802.1X认证机制,本技术领域技术人员可以根据本发明的原理进行各种修改。因此,凡按照本发明原理所作的修改,都应当理解为落入本发明的保护范围。
Claims (15)
1.一种认证方法,其特征在于,所述方法包括:
客户端接收认证服务器根据所述客户端和所述认证服务器共享的预置密钥生成的包含共享密钥的第一认证信息和无线接入端根据所述认证服务器的包含共享密钥的第二认证信息得到的第三认证信息,所述第三认证信息是所述无线接入端用所述共享密钥加密的认证信息;
所述客户端利用所述共享的预置密钥解密所述第一认证信息,对所述认证服务器进行认证,并得到所述共享密钥,以及根据所得到的共享密钥解密所述第三认证信息,对所述无线接入端进行认证。
2.根据权利要求1所述的方法,其特征在于,所述第一认证信息是用来客户端对认证服务器进行认证的认证信息,第二认证信息是用来无线接入端对认证服务器进行认证的认证信息,第三认证信息是用来客户端对无线接入端进行认证的认证信息。
3.根据权利要求1所述的方法,其特征在于,所述客户端利用所述共享的预置密钥解密所述第一认证信息,对所述认证服务器进行认证,并得到所述共享密钥的步骤包括:
根据客户端与认证服务器共享的预置密钥,对所述第一认证信息进行解析,得到第一随机数、第二随机数和共享密钥;
将解析得到的第一随机数与客户端预存的随机数进行比对,若相同,则认证服务器认证成功。
4.根据权利要求1或3所述的方法,其特征在于,根据所得到的共享密钥解密所述第三认证信息,对所述无线接入端进行认证的步骤包括:
根据解析得到的共享密钥,对所述第三认证信息进行解密,得到第二随机数;
将解析得到的第二随机数与所述第一认证信息中的第二随机数进行比对,若相同,则无线接入端认证成功。
5.根据权利要求1所述的方法,其特征在于,对所述客户端下线阶段进行认证的步骤包括:
在所述客户端接收到来自无线接入端的第一下线认证信息后,对第一下线认证信息进行认证;
若认证成功,则发送第二下线认证信息给无线接入端,由其根据所述第二下线认证信息控制当前端口状态。
6.根据权利要求5所述的方法,其特征在于,所述的对第一下线认证信息进行认证的步骤包括:
利用共享密钥对第一下线认证信息进行解析,得到下线标识、无线接入端标识和第一随机数;
若客户端主动要求下线,且所解析到的下线标识为TRUE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃所述第一下线认证信息;
若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃第一下线认证信息。
7.根据权利要求5所述的方法,其特征在于,所述的由其根据所述第二下线认证信息控制当前端口状态的步骤包括:
利用共享密钥对第二下线认证信息进行解析,得到下线标识、客户端标识和第二随机数;
若客户端主动要求下线,且所解析到的下线标识为TRUE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接;
若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接。
8.一种认证装置,其特征在于,所述装置包括:
接收模块,用于客户端接收认证服务器根据所述客户端和所述认证服务器共享的预置密钥生成的包含共享密钥的第一认证信息和无线接入端根据所述认证服务器的包含共享密钥的第二认证信息得到的第三认证信息,所述第三认证信息是所述无线接入端用所述共享密钥加密的认证信息;
双向认证模块,用于利用所述共享的预置密钥解密所述第一认证信息,对所述认证服务器进行认证,并得到所述共享密钥,以及根据所得到的共享密钥解密所述第三认证信息,对所述无线接入端进行认证。
9.根据权利要求8所述的装置,其特征在于,所述双向认证模块包括:
第一认证解析子模块,用于根据客户端与认证服务器共享的预置密钥,对所述第一认证信息进行解析,得到第一随机数、第二随机数和共享密钥;
认证服务器认证子模块,用于将解析得到的第一随机数与客户端预存的随机数进行比对,若相同,则认证服务器认证成功。
10.根据权利要求8所述的装置,其特征在于,所述双向认证模块包括:
第三认证解析子模块,用于根据解析得到的共享密钥,对所述第三认证信息进行解密,得到第二随机数;
无线接入端认证子模块,用于将解析得到的第二随机数与所述第一认证信息中的第二随机数进行比对,若相同,则无线接入端认证成功。
11.根据权利要求8所述的装置,其特征在于,还包括:
第一下线认证模块,用于在所述客户端接收到来自无线接入端的第一下线认证信息后,对第一下线认证信息进行认证;
第二下线认证模块,用于若认证成功,则发送第二下线认证信息给无线接入端,由其根据所述第二下线认证信息控制当前端口状态。
12.根据权利要求11所述的装置,其特征在于,所述第一下线认证模块包括:
第一下线解析子模块,用于利用共享密钥对第一下线认证信息进行解析,得到下线标识、无线接入端标识和第一随机数;
第一下线主动认证子模块,用于若客户端主动要求下线,且所解析到的下线标识为TRUE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃所述第一下线认证信息;
第一下线被动认证子模块,用于若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,无线接入端标识和第一随机数均有效,则无线接入端认证成功,反之,则丢弃第一下线认证信息。
13.根据权利要求11所述的装置,其特征在于,所述第二下线认证模块包括:
第二下线解析子模块,用于利用共享密钥对第二下线认证信息进行解析,得到下线标识、客户端标识和第二随机数;
第二下线主动认证子模块,用于若客户端主动要求下线,且所解析到的下线标识为TRUE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接;
第二下线被动认证子模块,用于若认证失败,或强制客户端下线,且所解析到的下线标识为FALSE,客户端标识和第二随机数均有效,则客户端认证成功,使当前端口关闭,反之,则丢弃第二下线认证信息,保持当前端口连接。
14.一种认证系统的认证方法,其特征在于,所述方法包括:
认证服务器对无线接入端和客户端进行认证,在认证成功后,将根据所述客户端和所述认证服务器共享的预置密钥生成的包含共享密钥的第一认证信息和包含共享密钥的第二认证信息发送给所述无线接入端;
无线接入端根据所述认证服务器的包含共享密钥的第二认证信息,生成第三认证信息,并将所述第一认证信息和第三认证信息发送给所述客户端,其中,所述第三认证信息是用所述共享密钥加密的认证信息;
客户端利用所述共享的预置密钥解密所述第一认证信息,对认证服务器进行认证,并得到所述共享密钥,以及根据所得到的共享密钥解密所述第三认证信息,对无线接入端进行认证。
15.一种认证系统,其特征在于,所述系统包括:
认证服务器,用于对无线接入端和客户端进行认证,在认证成功后,将根据所述客户端和所述认证服务器共享的预置密钥生成的包含共享密钥的第一认证信息和包含共享密钥的第二认证信息发送给所述无线接入端;
无线接入端,用于根据所述认证服务器的包含共享密钥的第二认证信息,生成第三认证信息,并将所述第一认证信息和所述第三认证信息发送给所述客户端,其中,所述第三认证信息是用所述共享密钥加密的认证信息;
客户端,用于利用所述共享的预置密钥解密所述第一认证信息,对所述认证服务器进行认证,并得到所述共享密钥,以及根据所得到的共享密钥解密所述第三认证信息,对所述无线接入端进行认证。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410223696.4A CN105245338B (zh) | 2014-05-26 | 2014-05-26 | 一种认证方法及装置系统 |
| PCT/CN2014/089704 WO2015180399A1 (zh) | 2014-05-26 | 2014-10-28 | 一种认证方法及装置系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410223696.4A CN105245338B (zh) | 2014-05-26 | 2014-05-26 | 一种认证方法及装置系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105245338A CN105245338A (zh) | 2016-01-13 |
| CN105245338B true CN105245338B (zh) | 2019-04-26 |
Family
ID=54698007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410223696.4A Active CN105245338B (zh) | 2014-05-26 | 2014-05-26 | 一种认证方法及装置系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105245338B (zh) |
| WO (1) | WO2015180399A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108235317B (zh) * | 2016-12-21 | 2019-06-21 | 电信科学技术研究院有限公司 | 一种接入控制的方法及设备 |
| CN109151508B (zh) * | 2018-11-09 | 2020-12-01 | 北京京航计算通讯研究所 | 一种视频加密方法 |
| CN111010354B (zh) * | 2019-12-13 | 2022-03-08 | 苏州浪潮智能科技有限公司 | 一种光模块准入判别方法、装置、主干网交换机及介质 |
| CN112667992A (zh) * | 2021-01-25 | 2021-04-16 | 深圳市欢太科技有限公司 | 认证方法、认证装置、存储介质与电子设备 |
| CN113904856B (zh) * | 2021-10-15 | 2024-04-23 | 广州威戈计算机科技有限公司 | 认证方法、交换机和认证系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1608362A (zh) * | 2001-05-16 | 2005-04-20 | 3Com公司 | 认证方法 |
| CN101009910A (zh) * | 2006-01-25 | 2007-08-01 | 华为技术有限公司 | 在无线网络中实现扩展认证协议认证的方法及装置 |
| CN102833746A (zh) * | 2012-09-14 | 2012-12-19 | 福建星网锐捷网络有限公司 | 用户重认证方法及接入控制器 |
| CN103338448A (zh) * | 2013-06-07 | 2013-10-02 | 国家电网公司 | 一种基于量子密钥分发的无线局域网安全通信方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237325B (zh) * | 2008-03-12 | 2010-10-27 | 杭州华三通信技术有限公司 | 以太网接入认证方法和下线认证方法以及以太网设备 |
| US8370625B2 (en) * | 2008-06-11 | 2013-02-05 | Microsoft Corporation | Extended data signing |
| US8763097B2 (en) * | 2011-03-11 | 2014-06-24 | Piyush Bhatnagar | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication |
| CN103795728A (zh) * | 2014-02-24 | 2014-05-14 | 哈尔滨工程大学 | 一种隐藏身份且适合资源受限终端的eap认证方法 |
-
2014
- 2014-05-26 CN CN201410223696.4A patent/CN105245338B/zh active Active
- 2014-10-28 WO PCT/CN2014/089704 patent/WO2015180399A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1608362A (zh) * | 2001-05-16 | 2005-04-20 | 3Com公司 | 认证方法 |
| CN101009910A (zh) * | 2006-01-25 | 2007-08-01 | 华为技术有限公司 | 在无线网络中实现扩展认证协议认证的方法及装置 |
| CN102833746A (zh) * | 2012-09-14 | 2012-12-19 | 福建星网锐捷网络有限公司 | 用户重认证方法及接入控制器 |
| CN103338448A (zh) * | 2013-06-07 | 2013-10-02 | 国家电网公司 | 一种基于量子密钥分发的无线局域网安全通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015180399A1 (zh) | 2015-12-03 |
| CN105245338A (zh) | 2016-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10027631B2 (en) | Securing passwords against dictionary attacks | |
| US8209744B2 (en) | Mobile device assisted secure computer network communication | |
| US7644275B2 (en) | Pass-thru for client authentication | |
| US8468347B2 (en) | Secure network communications | |
| US8417949B2 (en) | Total exchange session security | |
| US11245526B2 (en) | Full-duplex password-less authentication | |
| WO2017185913A1 (zh) | 一种无线局域网认证机制的改进方法 | |
| CN105245338B (zh) | 一种认证方法及装置系统 | |
| CN109963282A (zh) | 在ip支持的无线传感网络中的隐私保护访问控制方法 | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| US20220116385A1 (en) | Full-Duplex Password-less Authentication | |
| US8601604B2 (en) | Verifying a message in a communication network | |
| Dua et al. | Replay attack prevention in Kerberos authentication protocol using triple password | |
| Abo-Soliman et al. | A study in WPA2 enterprise recent attacks | |
| CZ2013373A3 (cs) | Způsob autentizace bezpečného datového kanálu | |
| CN109150906A (zh) | 一种实时数据通信安全方法 | |
| KR100957044B1 (ko) | 커버로스를 이용한 상호 인증 방법 및 그 시스템 | |
| Welch et al. | A survey of 802.11 a wireless security threats and security mechanisms | |
| CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
| Ajah | Evaluation of enhanced security solutions in 802.11-based networks | |
| Hoeper et al. | Where EAP security claims fail | |
| CN109522689A (zh) | 移动办公环境下的多因子强身份认证方法 | |
| JPH0981523A (ja) | 認証方法 | |
| Ngo et al. | Formal verification of a secure mobile banking protocol | |
| Chen et al. | SSL/TLS session-aware user authentication using a gaa bootstrapped key |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |