CN114501438A - 一种电力无线专网的增强型eap身份验证方法 - Google Patents

Abstract

本发明公开了一种电力无线专网的增强型EAP身份验证方法，本发明通过将认证激活请求从AP发送到UE，直到AP和UE接收到MME的证书认证结果并决定是否打开受控端口,UE和AP完成单播密钥协商并生成协商的会话密钥。会话密钥将用于加密后续的通信数据，本发明不仅使WAPI安全协议中的访问认证协议WAPI机制保持不变，而且还保证了UE可以通过WAPI AN安全访问4G网络。

Description

一种电力无线专网的增强型EAP身份验证方法

技术领域

本发明属于无线通信技术领域，尤其涉及一种电力无线专网的增强型EAP身份验证方法。

背景技术

目前，国家电网公司大力推进电力无线专网测试网络的建设。在电力无线专网的建设过程中，具有高速、大容量以及高频谱利用率的TD-LTE(时分长期演进)通信技术已经成为电力无线专网建设的研究热点。LTE是第三代合作伙伴计划(3GPP)组织在4G背景下提出的最新移动通信标准。电力无线专网对网络性能和服务质量有很高的要求，因此在某些情况下仅使用LTE是不行的。LTE的网络架构更加扁平，这有助于简化网络，并减少延迟和成本。而作为局部热点中的应用网络的无线局域网(WLAN)的特点是能够为用户提供更高的传输速率和便利性。因此，将WLAN网络和LTE网络互连将充分利用这两种技术的优势，并发挥互补作用。3GPP提出了一套用于LTE和WLAN网络集成的互连方案和三种互连结构，描述了互连需求，并设计用于安全访问互连的可扩展身份验证和密钥协商协议(EAP-AKA)。

然而，EAP-AKA协议存在以下漏洞和不足：身份验证过程需要多个请求和相应的交互，这使身份验证的延迟很大，当UE(用户设备)在不同的无线LAN之间连续切换时，这些延迟将成为瓶颈；不支持加密套件协商和身份验证协议版本协商；加密密钥和加密解密算法是固定的。

发明内容

针对现有技术存在的问题，本发明提供了一种电力无线专网的增强型EAP身份验证方法，能够提高用户访问效率。

本发明提供如下技术方案：一种电力无线专网的增强型EAP身份验证方法，包括：

用户设备向接入点发送消息启动EAP认证；

认证启动后，接入点向用户设备返回“EAP请求/身份信息”；

响应于收到的“EAP请求/身份信息”报文，用户设备向接入点发送“EAP响应/身份信息”报文，接入点收到后将其转发给认证服务器；

响应于来自接入点的“EAP响应/身份信息”报文，认证服务器根据归属签约用户服务器中的注册信息检查用户身份的合法性，若检查通过则向接入点发送“EAP请求/WAPI身份证书”报文；

接入点收到“EAP请求/WAPI身份证书”报文后将其转发给用户设备；

响应于收到的“EAP请求/WAPI身份证书”报文，用户设备生成“EAP响应/WAPI身份证书”报文返回给接入点；

接入点收到“EAP响应/WAPI身份证书”报文后，则对该报文中的用户身份证书进行验证，若验证通过，则接入点重新生成“EAP响应/WAPI身份证书”报文发送给认证服务器；

认证服务器收到来自接入点的“EAP响应/WAPI身份证书”报文后，对其中的接入点证书和用户设备证书进行验证，若验证通过，则通过归属签约用户服务器判断用户是否有权使用无线网络服务，若有，则通过归属签约用户服务器生成“EAP请求/单播密钥协商请求”报文发送给接入点；

接入点对收到的“EAP请求/单播密钥协商请求”报文进行验证，若验证通过，则重新生成“EAP请求/单播密钥协商请求”报文发送给用户设备；

用户设备对收到的“EAP请求/单播密钥协商请求”报文，若验证通过，则生成“EAP响应/UE单播密钥协商响应”报文发送给接入点；

接入点对收到的“EAP响应/UE单播密钥协商响应”报文进行验证，若验证通过则生成“EAP响应/AP单播密钥协商响应”报文发送给认证服务器；

认证服务器收到“EAP响应/AP单播密钥协商响应”后向接入点发送EAP认证成功消息；

接入点将收到的EAP认证成功消息转发给用户设备完成最终认证。

进一步的，所述用户设备生成“EAP响应/WAPI身份证书”报文包括：用户设备收到“EAP请求/WAPI身份证书”报文后，从认证激活组中选择接入点信任的认证服务器身份，选择由认证服务器颁发的证书；临时私钥x，临时公钥x·P被ECDH和UE挑战NUE交换；生成“EAP响应/WAPI身份证书”报文。

进一步的，所述“EAP响应/WAPI身份证书”报文内容包括：NUE、临时私钥x以及用户证书。

进一步的，重新生成的“EAP响应/WAPI身份证书”报文包括：接入点和用户设备的MAC地址、NAP、NUE、接入点证书以及用户证书。

进一步的，重新生成“EAP请求/单播密钥协商请求”报文内容包括：

基密钥标识符、用户设备和接入点的MAC地址、接入点临时公钥、NAP、NUE、用户设备临时公钥以及证书认证结果。

1、进一步的，生成“EAP响应/UE单播密钥协商响应”报文包括：

用户设备将自己的临时密钥x和接入点的临时公钥y·P进行ECDH计算得到密钥种子(x·y·P)横坐标，将其扩展为KD-HMAC-SHA256(x·y·P)横坐标，NAP||NUE||“密钥扩展”生成长度为16个八位位组的基密钥BK和用于下个证书认证过程的认证标识种子，并对认证标识种子执行SHA-256操作，以获取下个证书认证过程的认证标识；计算单播会话密钥：KD-HMAC-SHA256(BK，ADDID||NAP||NUE||“密钥扩展”)生成96个八位位组，其中，前64个八位位组是单播会话主密钥UMK，这其中前16个八位位组是单播数据加密密钥UEK，第二个16个八位位组是单播完整性检查密钥UCK，第三个16个八位位组是WAI消息认证密钥MAK，第四个16个八位位组是多播密钥的加密密钥KEK；使用MAK计算消息识别码MICAP＝KD-HMAC-SHA256(MAC，BKID||ADDID||NAP||NUE)。

有益效果：本发明针对WLAN-4G互连结构模型中的认证协议EAP-AKA，提出了一种适用于WAPI-4G互连的网络架构。为了解决WAPI用户的安全访问认证问题，本文设计了一种新的访问认证协议WEAP。它使用EAP将证书认证和单播密钥协商过程封装在WAPI中，以实现用户终端和后台认证服务器交互的认证。为了提高用户访问效率，WEAP改进了原来的WAPI-XG1标准，减少了交互次数，并缩短了证书认证和单播密钥协商的时间，仿真数据显示改进后的WEAP认证协议的UE认证延迟减少了11.84％，因此WEAP协议的实现效率优于WAPI-XG1，它可以更好地应用在电力无线专网环境中。

附图说明

图1为本发明的系统架构示意图；

图2为本发明的认证流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

WEAP的思路不仅使WAPI安全协议中的访问认证协议WAPI机制保持不变，而且保证UE可以通过WAPI AN安全访问4G网络。WAI证书认证使用双向认证，当认证请求者UE(用于设备)通过WLAN热点AP(接入点)向认证服务器MME请求认证，AP决定访问网络并完成认证请求者和认证服务器之间的EAP路径桥接，使两者交互；MME对UE和AP的身份进行认证，并将认证结果传递给AP。AP根据MME的认证结果决定是否允许UE访问，然后将认证结果转发给UE。认证结果确定是否访问AP。

如图1-图2所示，以下是WEAP协议的认证过程：

(1)UE与AP建立安全关联后，UE向AP发送EAP启动消息EAP-Stat，以启动EAP认证。

(2)AP向UE发送“EAP请求/身份信息”，以请求用户的身份信息。

(3)UE发送“EAP响应/身份信息”给AP，并在AP收到后转发给MME。

(4)MME根据HSS中的注册信息检查用户身份的合法性。通过检查后，MME发送“EAP请求/WAPI身份证书”以请求UE和AP的证书。

(5)AP接收到“EAP请求/WAPI身份证书”(表示报文里包含两段信息，EAP请求和WAPI身份证书)后，发送“EAP请求/WAPI身份证书”(即认证激活报文)给UE，请求UE的身份证书。该消息将认证激活包消息封装在WAPI中。消息内容主要包括AP的证书、AP信任的身份验证服务器的身份以及使用椭圆曲线非对称加密算法对ECDH(椭圆曲线Diffie-Hellman)参数进行D-H(Diffie-Hellman)协商。

(6)UE收到AP发送的“EAP请求/WAPI身份证书”(即认证激活报文)后，从认证激活组中选择AP信任的MME身份，并选择由MME颁发的证书；临时私钥x，临时公钥x·P被ECDH和UE挑战NUE交换；生成“EAP响应/WAPI身份证书”(即访问认证请求报文)，消息内容主要包括(NUE，x，CertUE)和消息签名SigUE。

(7)AP收到UE发送的“EAP响应/WAPI身份证书”后，对消息中的UE签名SigUE和UE身份证书CertUE进行验证；如果验证成功，则AP在本地生成AP的挑战NA；构造“EAP响应/WAPI身份证书”，消息的主要内容包括(ADDID、NAP、NUE、CertAP、Cert UE)。其中，ADDID是UE和AP的MAC地址。

(8)MME收到AP发送的“EAP响应/WAPI身份证书”(即证书认证请求报文)后，对AP证书CertAP和UE证书CertUE进行验证。如果验证成功，询问HSS/HLR用户是否有权使用WAP无线LAN提供的服务。如果有许可，则HSS/HLR根据AP和UE证书的验证结果构造“EAP请求/单播密钥协商请求”(即证书认证响应报文)，消息内容主要包括签名验证结果Res和AAA ServerSigMME的证书。注意，该消息在功能上由两部分组成：证书认证响应和单播密钥协商请求。

(9)AP收到MME发送的“EAP请求/单播密钥协商请求”(即证书认证响应报文)后，检查消息中的NAP是否与证书认证请求报文中的NAP相同。如果不同，则丢弃证书认证响应报文，相同则在本地生成用于ECDH交换的临时私钥y和临时公钥y·P；用临时密钥y和UE的临时公钥x·P进行ECDH计算，获取密钥种子(x·y·P)横坐标，并将其扩展为KD-HMAC-SHA256(x·y·P)横坐标。用NAP||NUE||“密钥扩展”来生成长度为16个八位位组的基密钥BK和用于下个证书认证过程的认证标识种子，并对认标识种子执行SHA-256操作以获得用于下个证书认证过程的认证身份。重建“EAP请求/单播密钥协商请求”，消息内容主要包括(基密钥标识符BKID、UE和AP的MAC地址ADDID、NAP、NUE、AP临时公钥y·P、UE临时公钥x·P、证书认证结果Res)。该消息包含两部分：访问认证响应和单播密钥协商请求。

(10)UE接收到“EAP请求/单播密钥协商请求”(即证书认证响应报文)后，检查消息中的NUE与证书认证请求报文中的NUE是否相同。如果相同，则继续执行操作；否则，丢弃访问认证响应报文；在访问认证响应报文中查找访问认证结果Res；如果允许访问UE，则UE用其自己的临时密钥x和AP的临时公钥y·P进行ECDH计算，以获取密钥种子(x·y·P)横坐标，并将其扩展为KD-HMAC-SHA256(x·y·P)横坐标，NAP||NUE||“密钥扩展”生成长度为16个八位位组的基密钥BK和用于下个证书认证过程的认证标识种子，并对认证标识种子执行SHA-256操作，以获取下个证书认证过程的认证标识。计算单播会话密钥：KD-HMAC-SHA256(BK，ADDID||NAP||NUE||“密钥扩展”)生成96个八位位组，前64个八位位组是单播会话主密钥UMK(前16个八位位组是单播数据加密密钥UEK，第二个16个八位位组是单播完整性检查密钥UCK，第三个16个八位位组是WAI消息认证密钥MAK，第四个16个八位位组是多播密钥的加密密钥KEK。使用MAK计算消息识别码MICAP＝KD-HMAC-SHA256(MAC，BKID||ADDID||NAP||NUE)。构造“EAP响应/UE单播密钥协商响应”，消息的主要内容包括(NUE，NAP，MICUE)。AP接收到“EAP响应/UE单播密钥协商响应”，并检查接收到的NA是否与本地存储的NA相同。如果相同，则继续以下操作；否则，将其丢弃。计算单播会话密钥：KD-HMAC-SHA256(BK，ADDID||NAP||NUE||“密钥扩展”)生成96个八位位组，前64个八位位组是单播会话主密钥UMK(前16个八位位组是单播数据加密密钥UEK，第二个16个八位位组是单播完整性检查密钥UCK，第三个16个八位位组是WAI消息认证密钥MAK，第四个16个八位位组是多播密钥的加密密钥KEK。使用MAK计算消息识别码MICAP＝KD-HMAC-SHA256(MAC，BKID||ADDID||NAP||NUE)。构造“EAP响应/AP单播密钥协商响应”，消息的主要内容包括(NUE，NAP，MICUE)。

(11)MME收到EAP响应/AP单播密钥协商响应后，向AP发送EAP成功消息。

(12)AP收到EAP成功消息后，转发给UE。至此，访问认证过程结束。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (6)

1.一种电力无线专网的增强型EAP身份验证方法，其特征在于，包括：

用户设备向接入点发送消息启动EAP认证；

认证启动后，接入点向用户设备返回“EAP请求/身份信息”；

响应于收到的“EAP请求/身份信息”报文，用户设备向接入点发送“EAP响应/身份信息”报文，接入点收到后将其转发给认证服务器；

响应于来自接入点的“EAP响应/身份信息”报文，认证服务器根据归属签约用户服务器中的注册信息检查用户身份的合法性，若检查通过则向接入点发送“EAP请求/WAPI身份证书”报文；

接入点收到“EAP请求/WAPI身份证书”报文后将其转发给用户设备；

响应于收到的“EAP请求/WAPI身份证书”报文，用户设备生成“EAP响应/WAPI身份证书”报文返回给接入点；

接入点收到“EAP响应/WAPI身份证书”报文后，则对该报文中的用户身份证书进行验证，若验证通过，则接入点重新生成“EAP响应/WAPI身份证书”报文发送给认证服务器；

认证服务器收到来自接入点的“EAP响应/WAPI身份证书”报文后，对其中的接入点证书和用户设备证书进行验证，若验证通过，则通过归属签约用户服务器判断用户是否有权使用无线网络服务，若有，则通过归属签约用户服务器生成“EAP请求/单播密钥协商请求”报文发送给接入点；

接入点对收到的“EAP请求/单播密钥协商请求”报文进行验证，若验证通过，则重新生成“EAP请求/单播密钥协商请求”报文发送给用户设备；

用户设备对收到的“EAP请求/单播密钥协商请求”报文，若验证通过，则生成“EAP响应/UE单播密钥协商响应”报文发送给接入点；

接入点对收到的“EAP响应/UE单播密钥协商响应”报文进行验证，若验证通过则生成“EAP响应/AP单播密钥协商响应”报文发送给认证服务器；

认证服务器收到“EAP响应/AP单播密钥协商响应”后向接入点发送EAP认证成功消息；

接入点将收到的EAP认证成功消息转发给用户设备完成最终认证。

2.根据权利要求1所述的电力无线专网的增强型EAP身份验证方法，其特征在于，所述用户设备生成“EAP响应/WAPI身份证书”报文包括：用户设备收到“EAP请求/WAPI身份证书”报文后，从认证激活组中选择接入点信任的认证服务器身份，选择由认证服务器颁发的证书；临时私钥x，临时公钥x·P被ECDH和UE挑战NUE交换；生成“EAP响应/WAPI身份证书”报文。

3.根据权利要求1所述的电力无线专网的增强型EAP身份验证方法，其特征在于，所述“EAP响应/WAPI身份证书”报文内容包括：NUE、临时私钥x以及用户证书。

4.根据权利要求2所述的电力无线专网的增强型EAP身份验证方法，其特征在于：重新生成的“EAP响应/WAPI身份证书”报文包括：接入点和用户设备的MAC地址、NAP、NUE、接入点证书以及用户证书。

5.根据权利要求1所述的电力无线专网的增强型EAP身份验证方法，其特征在于，重新生成“EAP请求/单播密钥协商请求”报文内容包括：

基密钥标识符、用户设备和接入点的MAC地址、接入点临时公钥、NAP、NUE、用户设备临时公钥以及证书认证结果。

6.根据权利要求1所述的电力无线专网的增强型EAP身份验证方法，其特征在于，生成“EAP响应/UE单播密钥协商响应”报文包括：

用户设备将自己的临时密钥x和接入点的临时公钥y·P进行ECDH计算得到密钥种子(x·y·P)横坐标，将其扩展为KD-HMAC-SHA256(x·y·P)横坐标，NAP||NUE||“密钥扩展”生成长度为16个八位位组的基密钥BK和用于下个证书认证过程的认证标识种子，并对认证标识种子执行SHA-256操作，以获取下个证书认证过程的认证标识；计算单播会话密钥：KD-HMAC-SHA256(BK，ADDID||NAP||NUE||“密钥扩展”)生成96个八位位组，其中，前64个八位位组是单播会话主密钥UMK，这其中前16个八位位组是单播数据加密密钥UEK，第二个16个八位位组是单播完整性检查密钥UCK，第三个16个八位位组是WAI消息认证密钥MAK，第四个16个八位位组是多播密钥的加密密钥KEK；使用MAK计算消息识别码MICAP＝KD-HMAC-SHA256(MAC，BKID||ADDID||NAP||NUE)。

Images