CN113573307A - 一种基于可扩展认证协议的快速认证方法 - Google Patents

Abstract

一种基于可扩展认证协议的快速认证方法，其中客户端发起认证请求，接入点响应请求并与客户端进行认证，实现实体间的快速认证，在认证过程中，接入点采用预先存储的服务器信息与客户端进行认证，避免了认证信息在客户端、接入点和服务器之间被多次处理和传输，有效节约了带宽资源，大大提高了认证效率；并且客户端采用哈希算法实时计算验证接入点响应的随机数，有效解决响应多个随机数时出现的异步问题，保证了认证的安全性。

Description

一种基于可扩展认证协议的快速认证方法

技术领域

本发明属于计算机信息安全技术领域，特别涉及一种基于可扩展认证协议的快速认证方法。

背景技术

随着信息技术的迅猛发展，无线局域网已应用在人们生活的各个方面。802.11标准是IEEE制定的无线局域网标准，而IEEE802.1X协议是对802.11协议的安全补充，可扩展认证协议是IEEE802.1X中引入的一个重要协议，为无线局域网提供了一个认证框架，其中认证实体包括客户端、接入点和服务器。通常情况下，客户端发起认证，将其身份验证等因素以EAPOL(EAP over LAN)格式进行封装并发送给接入点，接入点使用RADIUS(RemoteAuthentication Dial In User Service)协议将其提供给服务器，服务器对其验证，验证成功的客户端可以获得服务器提供资源的访问权限，但是传统的认证方法过于繁杂，极大的降低了客户端认证的效率，同时在认证过程中接入点响应多个随机数时存在异步问题，导致认证失败。

发明内容

针对上述现有技术的不足，本发明的目的在于提出一种基于可扩展认证协议的快速认证方法，用于解决认证效率低以及存在的异步问题。

为了实现上述目的，本发明提供如下技术方案：

一种基于可扩展认证协议的快速认证方法，包括如下步骤：

(1)、客户端Client向接入点发送EAP-start，发起认证；

(2)、接入点收到认证开始请求后，发送EAP-Request Identit到客户端；

(3)客户端通过合法的ID_C，计算生成自己的假名CID，使用共享密钥SK和SY，加密CID和随机数N_C，生成并发送

到接入点，其中，CID的计算公式为:

CID＝H(ID_C||T)

(4)接入点接收到

使用存储的共享密钥SK和SY进行解密得到CID和N_C，哈希运算生成H(N_C)，使用共享密钥SK和SY，加密ID_S和随机数K_i，生成

发送

到客户端，其中，K_i的计算公式为：

K_i＝HASH(K_i+1),0≤i≤n-1

(5)客户端进行哈希运算生成H(N_C)，对接收到的消息进行异或运算得到

使用共享密钥SK和SY进行解密得到ID_S和K_i，客户端使用初始K₁计算得到K_i，看与解密得到的K_i是否一致，若一致，客户端认证接入点成功，执行步骤(6)；若不一致，退出认证；

(6)客户端对CID和K_i进行哈希运算，生成并发送H(CID||K_i)到接入点，接入点使用步骤(4)中解密得到的CID和自己生成的K_i进行相同运算，看结果是否一致，若一致，接入点认证客户端成功，执行步骤(7)；若不一致，退出认证；

(7)接入点发送

到客户端，客户端使用共享密钥SK和SY解密得到EAP-Success，客户端和接入点认证成功，认证结束。

本发明的技术效果和优点：

1、本发明在认证过程中，接入点采用预先存储的服务器信息与客户端进行认证，避免了认证信息在客户端、接入点和服务器之间被多次处理和传输，有效节约了带宽资源，大大提高了认证效率。

2、本发明在认证过程中，客户端采用哈希算法实时计算验证接入点响应的随机数，有效解决响应多个随机数时出现的异步问题，保证了认证的安全性。

附图说明

图1是本发明的认证方法的整体流程图。

具体实施方式

下面将结合附图，对本发明实施例中的技术方案进行清晰、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明基于IEEE802.1X中引入的可扩展认证协议，快速认证方法的实体包括客户端和接入点，其中客户端发起认证请求，接入点响应请求并与客户端进行认证，实现实体间的快速认证。具体参照图1，包括如下步骤：

(1)客户端Client向接入点发送EAP-start，发起认证；

(2)接入点收到认证开始请求后，发送EAP-Request Identit到客户端；

(3)客户端通过合法的ID_C，计算生成自己的假名CID，使用共享密钥SK和SY，加密CID和随机数N_C，生成并发送

到接入点，其中，CID的计算公式为:

CID＝H(ID_C||T)

(4)接入点接收到

使用存储的共享密钥SK和SY进行解密得到CID和N_C，哈希运算生成H(N_C)，使用共享密钥SK和SY，加密ID_S和随机数K_i，生成

发送

到客户端，其中，K_i的计算公式为：

K_i＝HASH(K_i+1),0≤i≤n-1

(5)客户端进行哈希运算生成H(N_C)，对接收到的消息进行异或运算得到

使用共享密钥SK和SY进行解密得到ID_S和K_i，客户端使用初始K₁计算得到K_i，看与解密得到的K_i是否一致，若一致，客户端认证接入点成功，执行步骤(6)；若不一致，退出认证；

(6)客户端对CID和K_i进行哈希运算，生成并发送H(CID||K_i)到接入点，接入点使用步骤(4)中解密得到的CID和自己生成的K_i进行相同运算，看结果是否一致，若一致，接入点认证客户端成功，执行步骤(7)；若不一致，退出认证；

(7)接入点发送

到客户端，客户端使用共享密钥SK和SY解密得到EAP-Success，客户端和接入点认证成功，认证结束。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种基于可扩展认证协议的快速认证方法，其特征在于，包括如下步骤：

(1)、客户端Client向接入点发送EAP-start，发起认证；

(2)、接入点收到认证开始请求后，发送EAP-Request Identity到客户端；

(3)客户端通过合法的ID_C，计算生成自己的假名CID，使用共享密钥SK和SY，加密CID和随机数N_C，生成并发送

到接入点，其中，CID的计算公式为：

CID＝H(ID_c||T)

(4)接入点接收到

使用存储的共享密钥SK和SY进行解密得到CID和N_C，哈希运算生成H(N_C)，使用共享密钥SK和SY，加密ID_S和随机数K_i，生成

发送

到客户端，其中，K_i的计算公式为：

K_i＝HASH(K_i+1)，0≤i≤n-1

(5)客户端进行哈希运算生成H(N_C)，对接收到的消息进行异或运算得到

使用共享密钥SK和SY进行解密得到ID_S和K_i，客户端使用初始K₁计算得到K_i，看与解密得到的K_i是否一致，若一致，客户端认证接入点成功，执行步骤(6)；若不一致，退出认证；

(6)客户端对CID和K_i进行哈希运算，生成并发送H(CID||K_i)到接入点，接入点使用步骤(4)中解密得到的CID和自己生成的K_i进行相同运算，看结果是否一致，若一致，接入点认证客户端成功，执行步骤(7)；若不一致，退出认证；

(7)接入点发送

到客户端，客户端使用共享密钥SK和SY解密得到EAP-Success，客户端和接入点认证成功，认证结束。

Images