技術領域

本發明涉及通訊技術領域，尤其涉及一種EAP認證中的標識認證方法、系統和設備。

背景技術

EAP(Extensible?Authentication?Protocol，可擴展認證協議)是一種提供網絡接入認證的可擴展框架，可以支持不同的認證方法。EAP一般承載在互聯網二層協議之上，用戶只有在完成EAP規定的認證之后才能進行合法的網絡通信，不能正確認證的用戶則不能進行數據通信。許多網絡都使用EAP作為接入認證的標準協議，如802.11、WIMAX(Worldwide?Interoperability?for?Microwave?Access，微波存取全球互通)等。EAP是互聯網安全認證的基礎，其包括三個實體：客戶端，認證者，AAA(Authentication/Authorization/Accounting，認證/授權/計費)服務器。其原理如下：認證者向客戶端發起一個認證標識符請求(EAP?Request/ID)，客戶端返回自己的認證標識符(EAPResponse/ID)，認證者把客戶端的認證標識轉發給AAA服務器，服務器通過本地配置判斷此客戶端應該進行何種具體的認證方法(如EAP-MD5，EAP-TLS等)，然后開始發起具體的認證過程。在認證過程中，認證者對EAP的認證消息在客戶端和AAA服務器之間進行透傳，由于不執行具體的認證計算，認證者作為接入點不需要實現具體的認證方法；客戶端和AAA服務器進行認證相關的安全計算，因此保持了網絡的可擴展性。

不同的認證方法有不同的安全強度，比如說EAP-MD5僅讓服務器認證客戶端，客戶端沒有能力認證服務器，而EAP-TLS則能夠支持服務器和客戶端的雙向認證，具有相對更高的安全強度。這樣造成了偽造認證標識符的攻擊形式，假設用戶A使用的是EAP-MD5，攻擊者M竊取了用戶A的認證標識向服務器發起認證，服務器則會向M發起EAP-MD5的認證，使得攻擊者M較容易入侵網絡。

為了克服現有技術中存在的偽造認證標識符的問題，現有技術中提供了以下解決方式。

方法一是忽略認證標識交互，由于現有技術中規定EAP認證標識的交互是可選的，因此提出可以忽略EAP認證開始的認證標識交互，對所有的用戶使用同一個初始的認證方法，在EAP安全隧道建立起來之后再交換認證標識。因此其通過避免EAP認證標識的交互過程來防止偽造認證標識的攻擊。該方法存在的問題在于，其并不能作為一個通用的方案，因為目前很多場景和認證方法都需要AAA服務器獲知客戶端的認證標識。

方法二是通過交換一個匿名的方式來防止攻擊者偽造標識，具體的，可以使用在EAP開始的認證標識交換過程中使用一個省略用戶ID的網絡地址標識，如”@example.net”來標識客戶端；或在EAP認證標識交互中使用“匿名+域名”的方式來提供ID保護，如同一域(example.net)下的用戶使用”anonymous@example.net”作為統一的認證標識。由于此NAI中沒有用戶的標識信息，用戶的標識不會被竊取。但是該方法存在的問題在于，雖然在NAI中沒有用戶的標識信息，但是攻擊者仍然能夠輕易偽造此NAI信息來進行ID欺騙，因此該方法只保護了用戶的ID不在明文傳輸中泄露，不能防止偽造ID的攻擊行為。

發明內容

本發明的實施例提供一種EAP認證中的標識認證方法、系統和設備，用于防止攻擊者竊取盜用其他用戶的EAP認證標識。

本發明的實施例提供了一種EAP認證中的標識認證方法，包括：

接收客戶端發送的EAP消息，獲取所述EAP消息中攜帶的所述客戶端的認證標識、隨機數、公鑰以及簽名信息；

根據認證標識生成算法、以及所述隨機數和公鑰，對所述客戶端的認證標識和簽名信息進行認證。

其中，所述接收客戶端發送的EAP消息前，還包括：

所述客戶端根據RSA公開密鑰算法生成公鑰和私鑰；

所述客戶端根據所述公鑰和認證標識生成算法，生成認證標識；

所述客戶端接收到EAP認證請求時，生成隨機數，并根據所述隨機數和所述私鑰生成簽名信息；

所述客戶端向認證服務器發送EAP消息，所述EAP消息中攜帶所述客戶端的認證標識、隨機數、公鑰以及簽名信息。

其中，所述對所述客戶端的認證標識和簽名信息進行認證包括：

根據認證標識生成算法以及所述公鑰，生成認證標識；所述生成的認證標識與所述客戶端發送的EAP消息中攜帶的認證標識相同時，對所述客戶端的認證標識的認證成功；否則認證失敗；