基于漫游密钥交换认证协议的无线局域网安全接入方法

技术领域

本发明属于无线通信安全技术领域，具体涉及一种基于漫游密钥交换认证协议的无线局域网安全接入方法(EAP-RKE)，为移动节点的本地接入和漫游接入提供安全保证。

术语

EAP-扩展认证协议(Extensible Authentication Protocol)

NAI-网络访问标识(Network Access Identifier)

RADIUS-远程认证拨号用户服务(Remote Authentication Dial In User Service)

AAA-认证、授权和审计(Authentication，Authorization，Accounting)

TLS-传输层安全(Transport Layer Security)

TTLS-隧道传输层安全(Tunneled TLS)

PEAP-保护可扩展身份验证协议(Protected EAP Protocol)

RKE-漫游密钥交换(Roaming Key Exchange)

MN-移动节点(Mobile Node)

AP-接入节点(Access Point)

AS-认证服务器(Authentication Server)

F-AS-外地认证服务器(Foreign Authentication Server)

H-AS-家乡认证服务器(Home Authentication Server)

KKS-已知密钥安全(Known Key Security)

PFS-完善前向保密(Perfect Forward Secrecy)

N-KCI-非密钥泄漏伪装(No Key Compromise Impersonation)

N-UKS-非未知密钥共享(No Unknown Key Share)

AVP-属性值对(Attribute Value Pairs)

MAC-消息认证码(Message Authentication Code)

WAI-无线局域网认证基础(WLAN Authentication Infrastructure)

背景技术

目前IEEE 802.11无线局域网是采用基于有线等价保密WEP(Wired Equivalent Privacy)的方法进行无线终端的安全接入控制和无线链路上的数据保密。

因为基于WEP的无线局域网安全技术缺陷很大，目前提出了很多改进方法。其中基于公钥技术的协议有EAP-TLS(EAP Transport Layer Security)、EAP-TTLS(EAP Tunneled TLSAuthentication Protocol)、PEAP(Protected EAP Protocol)和GB15629.11中使用的WAI(WLANAuthentication Infrastructure)等。除了WAI以外，其他都是封装在扩展认证协议EAP(Extensible Authentication Protocol)中的。

1.EAP-TLS

EAP-TLS是一种基于TLS(Transport Layer Security)的认证方式，由RFC2716给出。认证服务器与客户端采用TLS协议协商会话密钥，协议共五轮交互。它的分析如下：

1)由于双方使用公钥证书进行认证，而且后续的消息都是在公钥的保护下进行的，攻击者即无法得到消息的真正内容，也无法篡改消息，同时利用随机数保证新鲜性，防止重放攻击。存在攻击方式可使双方协商一个强度较低的算法组；

2)该协议要求双方都具有公钥证书，在公钥基础设施没有广泛部署时，在实践中操作起来比较困难；

3)该协议不对用户身份进行保护，协议交互轮数为5轮。

2.PEAP

PEAP消除了对移动节点公钥证书的要求，其认证过程分为两个阶段：第一阶段建立单向服务器认证的TLS隧道；第二阶段在该隧道保护下，对移动节点进行认证。该协议具有较好的扩展性和适应性，对于不同的移动节点可以采用相应的认证方式。其详细描述参见

文献

http：∥www.ietf.org/internet-drafts/draft-josefsson-pppext-eap-tls-eap-07.txt，Oct 2003。其分析

如下：

1)该协议消除了对移动节点公钥证书的要求，具有较好的扩展性，对于不同的移动节点可以采用适合的认证方式，具有很好的适应性。由于该协议的第一部分通过EAP-TLS建立了安全信道，在此安全信道的保护下，完成了对移动节点的认证，移动节点的身份可以得到保密；

2)该协议不具备前向保密性PFS和非密钥泄漏伪装N-KCI的安全性质，协议交互轮数要大于5轮；

3.EAP-TTLS

EAP-TTLS也是IETF的一个草案，它和PEAP非常相似，也是第一阶段建立服务器认证的TLS隧道，在该隧道保护下进行第二阶段对客户端的认证。

它们的不同在于第二阶段，TTLS使用TLS隧道交换″attribute-value pairs″(AVP)，AVP的格式非常类似于RADIUS AVP的格式。这种一般的编码方式使TTLS可以进行各种方式MS-CHAPv2)。其详细描述参见

http：∥www.ietf.org/internet-drafts/draft-ietf-pppext-eap-ttls-03.txt，Aug 2003。它的协议流程和PEAP是一样的。

协议分析和PEAP相同。

4.WAI

国家知识产权局在2003年公开了一项发明专利申请，(公开号：CN14236200A)。此专利申请所涉及的专利在GB15629.11中应用，简称WAI。WAI采用公钥证书进行认证、密钥协商。当移动节点MN登录到无线接入点AP时，移动节点MN与无线接入点通过认证服务器AS进行双向认证；认证成功后，移动节点MN与无线接入点AP进行会话密钥协商，产生会话密钥。由于WAI没有采用EAP的形式，所以协议交互轮数为2轮。在移动节点漫游时，外地认证服务器和家乡认证服务器之间交互的消息为1轮。其分析如下：

1)该协议认证部分和密钥协商部分逻辑上独立，在密钥更新时具有优势；

2)该协议不具备身份保护的性质；

3)移动节点MN和无线接入点AP可能生成不一致的会话密钥。

上述协议都存在明显不足。EAP-TLS虽然具有较高的安全性，却不能提供身份保护；EAP-TTLS和PEAP改变TLS的使用方式，提供了身份保护，却失去了某些安全性质，并且增加了协议交互轮数；WAI虽然协议的交互轮数少，但是WAI在接入节点AP上的公钥运算数量过多，影响了AP的性能，而且不能提供身份保护及会话密钥的一致性；在无线网环境下，用户受到的安全威胁要大于有线网，所以不能牺牲安全性来获得其他利益；但是对于无线移动用户，其身份又是需要保密的。综上所述，目前的已有技术既不能完全满足无线环境对安全性的要求，也不能满足漫游对协议的性能要求。

发明内容

本发明的目的在于克服上述已有技术的不足，提供一种基于漫游密钥交换认证协议的无线局域网安全接入方法(EAP-RKE)，在保证协议安全性和计算性能的前提下，使认证协议具有身份保护的特性，并且在外地认证服务器F-AS和家乡认证服务器F-AS之间交互的消息为1轮，从而保证移动节点安全接入及满足在无线局域网的漫游要求。

为解决上述技术问题，本发明提供的技术方案是采用漫游密钥交换认证协议EAP-RKE，在移动节点MN与接入节点AP进行相互身份认证，协商建立共享密钥，1.一种基于漫游密钥交换认证协议的无线局域网安全接入方法(EAP-RKE)，采用扩展认证协议EAP在移动节点MN与接入节点AP进行相互身份认证，协商建立共享密钥，其主要步骤包括开始认证、进行认证并建立共享密钥和完成认证；

所述开始认证包括：

1)移动节点MN把EAP开始消息发给接入点AP；

2)接入点AP把请求移动节点身份的消息发送给移动节点MN；

所述进行认证并建立共享密钥包括：

1)移动节点MN把响应身份请求的消息发送给接入节点AP，但用户的身份为空；

2)接入节点AP把移动节点MN发送来的消息转发给外地认证服务器F-AS；

3)外地认证服务器F-AS向接入节点AP发送EAP-RKE开始的报文，要求开始EAP-RKE的认证。在消息中包含一个随机数N，作为接入认证挑战标识；

4)接入节点AP把消息转发给移动节点MN；

5)移动节点MN收到开始EAP-RKE认证的消息后，移动节点MN生成临时公私钥对，采用随机化加密的方法对移动节点MN的身份加密；移动节点MN将它的加密后的身份、它的所属域realm、外地认证服务器F-AS的发来的认证挑战N、移动节点MN的临时公钥和移动节点的签名发送给接入节点AP；

6)接入节点AP将收到的消息转发给外地认证服务器F-AS；

7)外地认证服务器F-AS根据消息中的所属域realm判断移动节点MN的家乡，如果移动节点是本地节点，则外地认证服务器F-AS就是移动节点的家乡认证服务器；如不是则将收到的消息传送给相应的移动节点的家乡认证服务器H-AS；

8)家乡认证服务器H-AS收到消息后，解密得到移动节点MN的身份user并确定移动节点的公钥，然后利用该公钥验证移动节点的签名，若验证失败则终止协议；若验证通过，则家乡认证服务器H-AS生成自己的临时公私钥对，利用其临时私钥和移动节点MN的临时公钥计算出主密钥和会话密钥；然后家乡认证服务器H-AS利用认证挑战N、移动节点MN的临时公钥(亦作为认证挑战)和家乡认证服务器H-AS的临时公钥(亦作为认证挑战)计算出家乡认证服务器H-AS的身份鉴别消息，最后家乡认证服务器H-AS将它的身份鉴别消息、它的临时公钥和会话密钥发送给外地认证服务器F-AS；

9)外地认证服务器F-AS把收到的消息中的会话密钥除去，把剩余的内容传送给接入节点AP；

10)接入节点AP把收到的消息发给移动节点MN；移动节点MN收到消息后验证家乡认证服务器的身份鉴别消息，验证失败则终止协议；验证通过后，移动节点MN利用自己的临时私钥和家乡认证服务器H-AS的临时公钥计算主密钥和会话密钥；

所述完成认证包括：

1)移动节点MN把EAP响应消息发送给接入节点AP；

2)接入节点AP把消息转发给外地认证服务器F-AS；

3)外地认证服务器F-AS把认证成功的消息发送给接入节点AP，消息中含有会话密钥；

4)接入节点AP把认证成功的消息发送给移动节点MN。

根据本发明，移动节点在家乡域和漫游到外地域都采用相同的接入方法，即漫游对于移动节点是透明的。

根据本发明，所述对移动节点MN身份随机化加密的方法采用移动节点MN将其身份与一个随机数关联，然后用家乡认证服务器H-AS的公钥加密。

上述对移动节点身份随机化加密的方法还可以采用移动节点MN生成一个临时私钥，与家乡认证服务器H-AS的公钥一起生成身份加解密密钥；使用该身份加解密密钥加密移动节点的身份。

根据本发明，所述家乡认证服务器H-AS的身份鉴别消息可以采用如下方法产生，家乡认证服务器H-AS利用自己的私钥进行签名生成家乡认证服务器H-AS的身份鉴别消息。

所述家乡认证服务器H-AS的身份鉴别消息可以采用如下方法产生，家乡认证服

务器H-AS利用自己的私钥与移动节点MN的临时公钥计算出身份加解密密钥，将该密钥用于带密钥的单向散列函数来生成家乡认证服务器H-AS的身份鉴别消息。

本发明实现了家乡认证服务器H-AS和外地认证服务器F-AS之间的消息交互为1轮；主密钥由移动节点MN的临时私钥和家乡认证服务器H-AS的临时公钥计算产生，同时也由移动节点MN的临时公钥和家乡认证服务器H-AS的临时私钥计算产生，这两个计算得到的主密钥是一致的。

本发明和上述现有技术相比，具有以下优点：

1.把用户身份user和用户所属域realm分开进行处理，实现了用户身份保护；

2.移动节点和局域网之间认证协议交互为4轮，外地认证服务器F-AS和家乡认证服务器H-AS之间消息交互的为1轮，提高了协议性能；

3.协议在Canetti和Krawczyk提出的安全模型下是可证明安全的；

4.协议在Canetti和Krawczyk提出的安全模型下是可证明安全的，则协议就具有KKS、PFS和N-UKS的安全性质。而在协议中，通信双方都必须知道自己的私钥才能生成认证载荷，故协议也具有N-KCI的安全性质。

综上所述，本发明与已有技术安全性比较如表1所示：

                            表1本发明与已有技术安全性比较

注：#指必须使用临时公私对和签名的密钥交换算法

    *表示未作

从表1的比较可以看出，本发明基于EAP-RKE的安全接入方法，其安全性能整体上大大优于现有技术。

附图说明

图1是本发明的EAP-RKE认证过程图

图2是本发明的安全认证系统的逻辑结构图

图3是本发明的移动节点在家乡EAP-RKE与EAP-TLS协议对通信的影响仿真对比图

图4是本发明的移动节点在外地EAP-RKE与EAP-TLS协议对通信的影响仿真对比图

图1中符号说明：

消息格式为：消息类型w/{消息内容}。其中消息类型如下：

EAP-Start           开始扩展认证协议EAP；

EAP-Rqst/RKE        EAP-RKE请求消息；

EAP-Resp/RKE        EAP-RKE响应消息；

EAP-Rqst/ID         EAP请求身份消息；

EAP-Resp/ID         EAP响应身份消息；

EAP-Rqst/RKE start  开始EAP-RKE协议消息；

Radius-Rqst         Radius协议请求消息；

Radius-Acct         Radius协议接受消息；

EAP-Success         EAP成功完成消息。

消息内容说明如下：

u             移动节点的私钥；

g^u           移动节点的公钥；

user          移动节点MN的用户身份；

realm         移动节点MN的所属域；

a             H-AS的私钥；

g^a           H-AS的公钥；

Cert_A        H-AS的证书；

E(k；.)       密钥为k的对称加密的加密函数；

MAC(k；.)     密钥为k的消息认证码函数；

Sig           签名函数；

prf(k；.)     密钥为k的伪随机函数，用于会话密钥导出函数。