專利名稱:一種eap認證中的標識認證方法����、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊技術(shù)領(lǐng)域,尤其涉及一種EAP認證中的標識認證方法�����、系統(tǒng)和設(shè)備����。
背景技術(shù):
EAP(Extensible Authentication Protocol, njif MiAilEt^il) Ψ ^Ν 絡(luò)接入認證的可擴展框架,可以支持不同的認證方法�����。EAP—般承載在互聯(lián)網(wǎng)二層協(xié)議 之上��,用戶只有在完成EAP規(guī)定的認證之后才能進行合法的網(wǎng)絡(luò)通信�����,不能正確認證的 用戶則不能進行數(shù)據(jù)通信���。許多網(wǎng)絡(luò)都使用EAP作為接入認證的標準協(xié)議�����,如802. 11�、 WIMAX(Worldwide Interoperability for Microwave Access,^ ^ ^: ! ) ·�。 EAP是互聯(lián)網(wǎng)安全認證的基礎(chǔ),其包括三個實體客戶端��,認證者�����,AAA (Authentication/ Authorization/Accounting�����,認證/授權(quán)/計費)服務(wù)器���。其原理如下認證者向客戶端發(fā) 起一個認證標識符請求(ΕΑΡ Request/ID)��,客戶端返回自己的認證標識符(EAPResponse/ ID)����,認證者把客戶端的認證標識轉(zhuǎn)發(fā)給AAA服務(wù)器�,服務(wù)器通過本地配置判斷此客戶端應(yīng) 該進行何種具體的認證方法(如EAP-MD5,EAP-TLS等)���,然后開始發(fā)起具體的認證過程�����。在 認證過程中�����,認證者對EAP的認證消息在客戶端和AAA服務(wù)器之間進行透傳�����,由于不執(zhí)行具 體的認證計算�����,認證者作為接入點不需要實現(xiàn)具體的認證方法����;客戶端和AAA服務(wù)器進行 認證相關(guān)的安全計算�,因此保持了網(wǎng)絡(luò)的可擴展性。不同的認證方法有不同的安全強度�,比如說EAP-MD5僅讓服務(wù)器認證客戶端,客 戶端沒有能力認證服務(wù)器�����,而EAP-TLS則能夠支持服務(wù)器和客戶端的雙向認證,具有相對 更高的安全強度�。這樣造成了偽造認證標識符的攻擊形式,假設(shè)用戶A使用的是EAP-MD5�����, 攻擊者M竊取了用戶A的認證標識向服務(wù)器發(fā)起認證��,服務(wù)器則會向M發(fā)起EAP-MD5的認 證���,使得攻擊者M較容易入侵網(wǎng)絡(luò)��。為了克服現(xiàn)有技術(shù)中存在的偽造認證標識符的問題����,現(xiàn)有技術(shù)中提供了以下解決 方式���。方法一是忽略認證標識交互����,由于現(xiàn)有技術(shù)中規(guī)定EAP認證標識的交互是可選 的����,因此提出可以忽略EAP認證開始的認證標識交互����,對所有的用戶使用同一個初始的認 證方法����,在EAP安全隧道建立起來之后再交換認證標識�����。因此其通過避免EAP認證標識的 交互過程來防止偽造認證標識的攻擊����。該方法存在的問題在于,其并不能作為一個通用的 方案���,因為目前很多場景和認證方法都需要AAA服務(wù)器獲知客戶端的認證標識��。方法二是通過交換一個匿名的方式來防止攻擊者偽造標識�,具體的����,可以使用在 EAP開始的認證標識交換過程中使用一個省略用戶ID的網(wǎng)絡(luò)地址標識��,如”O(jiān)example. net” 來標識客戶端�����;或在EAP認證標識交互中使用“匿名+域名”的方式來提供ID保護���,如同一 域(example.net)下的用戶使用”anonymous@example. net”作為統(tǒng)一的認證標識。由于此 NAI中沒有用戶的標識信息��,用戶的標識不會被竊取��。但是該方法存在的問題在于�,雖然在 NAI中沒有用戶的標識信息,但是攻擊者仍然能夠輕易偽造此NAI信息來進行ID欺騙�����,因此該方法只保護了用戶的ID不在明文傳輸中泄露�,不能防止偽造ID的攻擊行為。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種EAP認證中的標識認證方法��、系統(tǒng)和設(shè)備�����,用于防止攻 擊者竊取盜用其他用戶的EAP認證標識。本發(fā)明的實施例提供了一種EAP認證中的標識認證方法����,包括接收客戶端發(fā)送的EAP消息,獲取所述EAP消息中攜帶的所述客戶端的認證標識��、 隨機數(shù)���、公鑰以及簽名信息���;根據(jù)認證標識生成算法�����、以及所述隨機數(shù)和公鑰���,對所述客戶端的認證標識和簽 名信息進行認證�����。其中����,所述接收客戶端發(fā)送的EAP消息前,還包括所述客戶端根據(jù)RSA公開密鑰算法生成公鑰和私鑰���;所述客戶端根據(jù)所述公鑰和認證標識生成算法���,生成認證標識;所述客戶端接收到EAP認證請求時�����,生成隨機數(shù)���,并根據(jù)所述隨機數(shù)和所述私鑰 生成簽名信息�;所述客戶端向認證服務(wù)器發(fā)送EAP消息�����,所述EAP消息中攜帶所述客戶端的認證 標識����、隨機數(shù)、公鑰以及簽名信息�����。其中,所述對所述客戶端的認證標識和簽名信息進行認證包括根據(jù)認證標識生成算法以及所述公鑰����,生成認證標識;所述生成的認證標識與所 述客戶端發(fā)送的EAP消息中攜帶的認證標識相同時��,對所述客戶端的認證標識的認證成 功����;否則認證失敗��;根據(jù)所述客戶端的公鑰和所述隨機數(shù)�,對所述客戶端發(fā)送的EAP消息中攜帶的簽 名信息進行認證;獲取認證結(jié)果�����。其中����,所述客戶端發(fā)送的EAP消息為EAP響應(yīng)消息��,所述EAP響應(yīng)消息中攜帶長度 為160位的認證標識、以及長度為M位的隨機數(shù)�。其中,所述認證標識生成算法為SHA-I單向Hash函數(shù)���。其中����,所述對客戶端的認證標識和簽名信息進行認證后�,還包括對所述客戶端的認證標識和簽名信息的認證通過后,根據(jù)所述客戶端的認證標識 對應(yīng)的EAP認證方法���,對所述客戶端進行EAP認證�。本發(fā)明的實施例還提供了一種認證服務(wù)器�����,包括獲取單元�,用于接收客戶端發(fā)送的EAP消息,獲取所述EAP消息中攜帶的所述客戶 端的認證標識�����、隨機數(shù)�����、公鑰以及簽名信息;認證單元�����,用于根據(jù)認證標識生成算法���、以及所述隨機數(shù)和公鑰����,對所述客戶端的 認證標識和簽名信息進行認證��。其中����,所述認證單元具體用于根據(jù)認證標識生成算法以及所述公鑰,生成認證標識����;所述生成的認證標識與所 述客戶端發(fā)送的EAP消息中攜帶的認證標識相同時���,對所述客戶端的認證標識的認證成 功��;否則認證失?��?��;根據(jù)所述客戶端的公鑰和所述隨機數(shù),對所述客戶端發(fā)送的EAP消息中攜帶的簽
5名信息進行認證��;獲取認證結(jié)果����。其中,還包括配置單元�����,用于存儲每一客戶端認證標識對應(yīng)的EAP認證方法�,并提供給所述認 證單元;所述認證單元��,還用于對所述客戶端的認證標識和簽名信息的認證通過后���,根據(jù) 所述客戶端的認證標識對應(yīng)的EAP認證方法�,對所述客戶端進行EAP認證�����。本發(fā)明的實施例還提供了一種客戶端,包括密鑰生成單元�����,用于根據(jù)RSA公開密鑰算法生成公鑰和私鑰����;認證標識生成單元,用于根據(jù)所述公鑰和認證標識生成算法��,生成認證標識���;簽名信息生成單元��,用于接收到EAP認證請求時���,生成隨機數(shù),并根據(jù)所述隨機數(shù) 和所述私鑰生成簽名信息�����;EAP消息發(fā)送單元��,用于向認證服務(wù)器發(fā)送EAP消息��,所述EAP消息中攜帶所述客 戶端的認證標識���、隨機數(shù)���、公鑰以及簽名信息。本發(fā)明的實施例還提供了一種EAP認證系統(tǒng)�,包括客戶端,用于向認證服務(wù)器發(fā)送EAP消息�����,所述EAP消息中攜帶所述客戶端的認證 標識��、隨機數(shù)��、公鑰以及簽名信息����;認證服務(wù)器,用于接收所述客戶端發(fā)送的EAP消息���,獲取所述EAP消息中攜帶的所 述客戶端的認證標識���、隨機數(shù)���、公鑰以及簽名信息;根據(jù)認證標識生成算法��、以及所述隨機 數(shù)和公鑰��,對所述客戶端的認證標識和簽名信息進行認證�。與現(xiàn)有技術(shù)相比,本發(fā)明的實施例具有以下優(yōu)點本發(fā)明的實施例中���,利用公開密鑰和EAP認證標識ID的綁定技術(shù)來防止認證標識 被盜用���,徹底的防止了攻擊者竊取盜用其他用戶認證標識,而現(xiàn)有的相關(guān)的技術(shù)沒有解決 這個問題��;另外�����,其支持不同的EAP認證方法�����,不需要修改已有的EAP認證協(xié)議,屬于通用的 解決方法��。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹��,顯而易見地����,下面描述中的附圖僅僅是本 發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動性的前提下,還可 以根據(jù)這些附圖獲得其他的附圖�����。圖1是本發(fā)明實施例中提供的EAP認證中的標識認證方法流程圖���;圖2是本發(fā)明實施例的應(yīng)用場景中提供的EAP認證中的標識認證方法流程圖����;圖3是本發(fā)明實施例的應(yīng)用場景中EAP Response消息的結(jié)構(gòu)示意圖;圖4是本發(fā)明實施例中提供的認證服務(wù)器的結(jié)構(gòu)示意圖����;圖5是本發(fā)明實施例中提供的客戶端的結(jié)構(gòu)示意圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完 整地描述�����,顯然��,所描述的實施例僅是本發(fā)明一部分實施例��,而不是全部的實施例�。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實 施例��,都屬于本發(fā)明保護的范圍�����。本發(fā)明的實施例提供了一種EAP認證中的標識認證方法�,如圖1所示,包括步驟SlOl�、接收客戶端發(fā)送的EAP消息��,獲取EAP消息中攜帶的客戶端的認證標 識��、隨機數(shù)�、公鑰以及簽名信息;步驟sl02�����、根據(jù)認證標識生成算法���、以及隨機數(shù)和公鑰��,對客戶端的認證標識和簽 名信息進行認證�����。本發(fā)明的實施例提供了一個具體的應(yīng)用場景�����,描述本發(fā)明提供的EAP認證中的標 識認證方法的具體實施方式
����。本發(fā)明的應(yīng)用場景中,客戶端生成RSA公鑰算法下對應(yīng)的公鑰1 和私鑰SK�,利用 PK和認證標識生成算法生成自己對應(yīng)的160位的認證標識,例如采用單向Hash函數(shù)SHA-I 作為認證標識生成算法����,則ID = SHA-I (PK)。公鑰算法的性質(zhì)保證了通過公鑰Hi無法推導 出私鑰SK��,而沒有私鑰SK也無法偽造數(shù)字簽名信息����;單向函數(shù)的性質(zhì)保證了無法根據(jù)另外 一個I3K’映射到同樣一個ID.另外,作為EAP認證服務(wù)器的AAA服務(wù)器根據(jù)客戶端生成的認證標識ID在本地配 對客戶端配置相應(yīng)的EAP認證方法�����。如客戶端A使用的認證方法為EAP-MD5,則AAA服務(wù)器 在配置中���,對于客戶端A的ID和EAP-MD5方法之間建立映射關(guān)系�����;如用戶B所使用的認證 方法為EAP-TLS��,則AAA服務(wù)器在配置中�,對于客戶端B的ID和EAP-TLS方法之間建立映射 關(guān)系�。本發(fā)明提供的實施例中,EAP認證中的標識認證方法如圖2所示�����,包括以下步驟步驟s201����、認證者(Authenticator)發(fā)起EAP認證���,向客戶端A (ΕΑΡ PeerA)發(fā)送 EAP Request/ID消息�。其中認證者可以為網(wǎng)絡(luò)接入服務(wù)器��。步驟s202、客戶端A生成數(shù)字簽名�,附加公鑰信息。具體的�����,客戶端A生成隨機數(shù)Ra�����,并根據(jù)私鑰SK和數(shù)字簽名算法生成數(shù)字簽名 RSa����。步驟s203、客戶端A返回EAP Response/ID,在消息中攜帶客戶端A的認證標識 ID,隨機數(shù)Ra�,公鑰PK,以及簽名信息���。其中�����,客戶端A在發(fā)送的EAP Response/ID中���,添加預(yù)先生成的認證標識假設(shè) 為IDa,除了響應(yīng)ID信息之外�,還在EAP Response/ID消息中附加自己的公鑰PKa,隨機數(shù) Ra�����,以及利用I^a簽名算法和私鑰SKa計算的簽名信息��。本發(fā)明的實施例中�,修改后的EAP Response/ID的消息格式的一種可用形式可以如圖3所示。 步驟s204���、EAP標識的認證過程�����。其中��,AAA服務(wù)器接收到客戶端A返回的認證標識后���,計算確認此客戶端A是否為 該標識IDa的合法擁有者�。以認證標識算法為單向Hash函數(shù)SHA-I為例,則AAA服務(wù)器首 先檢查公式ID = SHA-I (PK)是否成立���,如果成立��,則再利用公鑰I3K檢查EAP Response/ID 消息中包含的數(shù)字簽名是否正確���,如果正確��,AAA服務(wù)器則確認此客戶端A的確是此標識 IDa的擁有者���,隨后發(fā)起相應(yīng)的EAP認證過程。通過上述流程���,攻擊者無法進行偽造認證標識的攻擊��。首先���,雖然攻擊者能夠竊聽 到客戶端明文傳輸?shù)腎D信息和公鑰Hi,但是攻擊者無法通過公鑰推導出私鑰�����,也就不能偽造出對應(yīng)的簽名信息�。其次,攻擊者不能通過另外一個公鑰來得到相同的ID����,由于ID是由 Hi通過單向函數(shù)SHA-I計算出來的�����,攻擊者不能通過另外一個PK’來得到相同的ID��。本發(fā)明的實施例提供的方法中���,利用公開密鑰和EAP認證標識ID的綁定技術(shù)來防 止認證標識被盜用,徹底的防止了攻擊者竊取盜用其他用戶認證標識���,而現(xiàn)有的相關(guān)的技 術(shù)沒有解決這個問題����;另外�,其支持不同的EAP認證方法,不需要修改已有的EAP認證協(xié)議���, 屬于通用的解決方法��。本發(fā)明的實施例提供了一種EAP認證系統(tǒng)��,包括客戶端,用于向認證服務(wù)器發(fā)送EAP消息��,EAP消息中攜帶客戶端的認證標識、隨 機數(shù)��、公鑰以及簽名信息��;認證服務(wù)器�,用于接收客戶端發(fā)送的EAP消息,獲取EAP消息中攜帶的客戶端的認 證標識��、隨機數(shù)����、公鑰以及簽名信息;根據(jù)認證標識生成算法��、以及隨機數(shù)和公鑰�����,對客戶端 的認證標識和簽名信息進行認證��。本發(fā)明的實施例提供的認證服務(wù)器中���,其結(jié)構(gòu)如圖4所示���,包括獲取單元10��,用于接收客戶端發(fā)送的EAP消息�����,獲取EAP消息中攜帶的客戶端的認 證標識���、隨機數(shù)、公鑰以及簽名信息����;認證單元20,用于根據(jù)認證標識生成算法�、以及隨機數(shù)和公鑰,對客戶端的認證標 識和簽名信息進行認證��。該認證單元20具體用于根據(jù)認證標識生成算法以及公鑰��,生成認證標識�;生成的認證標識與客戶端發(fā)送 的EAP消息中攜帶的認證標識相同時,對客戶端的認證標識的認證成功����;否則認證失敗;根 據(jù)客戶端的公鑰和隨機數(shù)�,對客戶端發(fā)送的EAP消息中攜帶的簽名信息進行認證;獲取認 證結(jié)果�。該認證服務(wù)器還可以包括配置單元30�,用于存儲每一客戶端認證標識對應(yīng)的 EAP認證方法,并提供給認證單元20�。認證單元20,還用于對客戶端的認證標識和簽名信息的認證通過后���,根據(jù)客戶端 的認證標識對應(yīng)的EAP認證方法��,對客戶端進行EAP認證����。本發(fā)明的實施例提供的客戶端中�����,其結(jié)構(gòu)如圖5所示���,包括密鑰生成單元50�,用于根據(jù)RSA公開密鑰算法生成公鑰和私鑰�����;認證標識生成單元60,用于根據(jù)公鑰和認證標識生成算法���,生成認證標識�;簽名信息生成單元70��,用于接收到EAP認證請求時�,生成隨機數(shù),并根據(jù)隨機數(shù)和 密鑰生成單元50生成的私鑰生成簽名信息����;EAP消息發(fā)送單元80,用于向認證服務(wù)器發(fā)送EAP消息�,EAP消息中攜帶認證標識 生成單元60生成的認證標識、密鑰生成單元50生成的公鑰以及簽名信息生成單元70生成 的隨機數(shù)和簽名信息�。本發(fā)明的實施例提供的系統(tǒng)和設(shè)備中,利用公開密鑰和EAP認證標識ID的綁定技 術(shù)來防止認證標識被盜用���,徹底的防止了攻擊者竊取盜用其他用戶認證標識���,而現(xiàn)有的相 關(guān)的技術(shù)沒有解決這個問題;另外�,其支持不同的EAP認證方法�����,不需要修改已有的EAP認 證協(xié)議�,屬于通用的解決方法�。通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通
8過硬件實現(xiàn)���,也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)?�;谶@樣的理解��,本發(fā) 明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來��,該軟件產(chǎn)品可以存儲在一個非易失性存儲 介質(zhì)(可以是⑶-ROM���,U盤�����,移動硬盤等)中�,包括若干指令用以使得一臺計算機設(shè)備(可 以是個人計算機�,服務(wù)器�,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法�。本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖,附圖中的單元或流 程并不一定是實施本發(fā)明所必須的���。本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的單元可以按照實施例描述進行分 布于實施例的裝置中�����,也可以進行相應(yīng)變化位于不同于本實施例的一個或多個裝置中����。上 述實施例的單元可以合并為一個單元�����,也可以進一步拆分成多個子單元���。上述本發(fā)明實施例序號僅僅為了描述���,不代表實施例的優(yōu)劣。
權(quán)利要求
1.一種可擴展認證協(xié)議EAP認證中的標識認證方法��,其特征在于���,包括接收客戶端發(fā)送的EAP消息����,獲取所述EAP消息中攜帶的所述客戶端的認證標識、隨機 數(shù)��、公鑰以及簽名信息��;根據(jù)所述認證標識生成算法����、以及所述隨機數(shù)和公鑰�,對所述客戶端的認證標識和簽 名信息進行認證。
2.如權(quán)利要求1所述的方法����,其特征在于,所述接收客戶端發(fā)送的EAP消息前��,還包括所述客戶端根據(jù)RSA公開密鑰算法生成公鑰和私鑰��;所述客戶端根據(jù)所述公鑰和認證標識生成算法����,生成認證標識�����;所述客戶端接收到EAP認證請求時�����,生成隨機數(shù)��,并根據(jù)所述隨機數(shù)和所述私鑰生成 簽名信息��;所述客戶端向認證服務(wù)器發(fā)送EAP消息��,所述EAP消息中攜帶所述客戶端的認證標識����、 隨機數(shù)�、公鑰以及簽名信息。
3.如權(quán)利要求1所述的方法�����,其特征在于�����,所述對所述客戶端的認證標識和簽名信息 進行認證包括根據(jù)認證標識生成算法以及所述公鑰,生成認證標識����;所述生成的認證標識與所述客 戶端發(fā)送的EAP消息中攜帶的認證標識相同時,對所述客戶端的認證標識的認證成功���;否 則認證失?�?��;根據(jù)所述客戶端的公鑰和所述隨機數(shù),對所述客戶端發(fā)送的EAP消息中攜帶的簽名信 息進行認證���;獲取認證結(jié)果。
4.如權(quán)利要求1至3中任一項所述的方法����,其特征在于,所述客戶端發(fā)送的EAP消息 為EAP響應(yīng)消息����,所述EAP響應(yīng)消息中攜帶長度為160位的認證標識、以及長度為M位的 隨機數(shù)���。
5.如權(quán)利要求1至3中任一項所述的方法���,其特征在于���,所述認證標識生成算法為 SHA-I單向Hash函數(shù)。
6.如權(quán)利要求1所述的方法��,其特征在于���,所述對客戶端的認證標識和簽名信息進行 認證后���,還包括對所述客戶端的認證標識和簽名信息的認證通過后,根據(jù)所述客戶端的認證標識對應(yīng) 的EAP認證方法��,對所述客戶端進行EAP認證�����。
7.—種認證服務(wù)器��,其特征在于�����,包括獲取單元,用于接收客戶端發(fā)送的EAP消息�����,獲取所述EAP消息中攜帶的所述客戶端的 認證標識����、隨機數(shù)、公鑰以及簽名信息���;認證單元�,用于根據(jù)認證標識生成算法��、以及所述隨機數(shù)和公鑰���,對所述客戶端的認證 標識和簽名信息進行認證��。
8.如權(quán)利要求7所述的認證服務(wù)器,其特征在于�����,所述認證單元具體用于根據(jù)認證標識生成算法以及所述公鑰�����,生成認證標識;所述生成的認證標識與所述客 戶端發(fā)送的EAP消息中攜帶的認證標識相同時���,對所述客戶端的認證標識的認證成功��;否 則認證失?����?���;根據(jù)所述客戶端的公鑰和所述隨機數(shù)����,對所述客戶端發(fā)送的EAP消息中攜帶的簽名信息進行認證;獲取認證結(jié)果��。
9.如權(quán)利要求7所述的認證服務(wù)器��,其特征在于��,還包括配置單元,用于存儲每一客戶端認證標識對應(yīng)的EAP認證方法��,并提供給所述認證單元����;所述認證單元,還用于對所述客戶端的認證標識和簽名信息的認證通過后��,根據(jù)所述 客戶端的認證標識對應(yīng)的EAP認證方法����,對所述客戶端進行EAP認證。
10.一種客戶端���,其特征在于��,包括密鑰生成單元���,用于根據(jù)RSA公開密鑰算法生成公鑰和私鑰; 認證標識生成單元����,用于根據(jù)所述公鑰和認證標識生成算法,生成認證標識��; 簽名信息生成單元���,用于接收到EAP認證請求時��,生成隨機數(shù)��,并根據(jù)所述隨機數(shù)和所 述私鑰生成簽名信息�����;EAP消息發(fā)送單元�,用于向認證服務(wù)器發(fā)送EAP消息�����,所述EAP消息中攜帶所述客戶端 的認證標識����、隨機數(shù)、公鑰以及簽名信息�����。
11.一種EAP認證系統(tǒng)�,其特征在于�,包括客戶端����,用于向認證服務(wù)器發(fā)送EAP消息,所述EAP消息中攜帶所述客戶端的認證標 識����、隨機數(shù)、公鑰以及簽名信息�;認證服務(wù)器,用于接收所述客戶端發(fā)送的EAP消息��,獲取所述EAP消息中攜帶的所述客 戶端的認證標識���、隨機數(shù)��、公鑰以及簽名信息�;根據(jù)認證標識生成算法�����、以及所述隨機數(shù)和 公鑰����,對所述客戶端的認證標識和簽名信息進行認證�����。
全文摘要
本發(fā)明的實施例公開了一種可擴展認證協(xié)議EAP認證中的標識認證方法、系統(tǒng)和設(shè)備��。該方法包括接收客戶端發(fā)送的EAP消息���,獲取所述EAP消息中攜帶的所述客戶端的認證標識��、隨機數(shù)����、公鑰以及簽名信息���;根據(jù)認證標識生成算法��、以及所述隨機數(shù)和公鑰����,對所述客戶端的認證標識和簽名信息進行認證�。通過使用本發(fā)明的實施例,利用公開密鑰和EAP認證標識ID的綁定技術(shù)來防止認證標識被盜用��,徹底的防止了攻擊者竊取盜用其他用戶認證標識。
文檔編號H04L29/06GK102082665SQ20091023855
公開日2011年6月1日 申請日期2009年11月30日 優(yōu)先權(quán)日2009年11月30日
發(fā)明者劉大鵬, 曹振, 鄧輝 申請人:中國移動通信集團公司