本發明涉及一種基于EAP?MD5改進協議的身份認證方法及系統，在該方法中，將Challenge和用戶名進行了哈希處理，再將結果與用戶密碼進行異或，從而保護了Challenge，避免了明文傳輸，黑客由于不知道密碼，因此截取數據后，無法直接采用暴力或字典破解的方法破解Challenge值，提高了暴力破解哈希的難度。同時，密碼采用異或而不再明文組合式的包含在哈希值里，更增加了破解難度和復雜度，提高了密碼使用的安全性，并引入時間戳作為后續認證中時間重放的判定依據。本發明可以在身份認證的過程中，有效降低協議被暴力破解的概率，并有效防止數據包的重放攻擊，提高了認證的安全性。

技術領域

本發明涉及計算機通信技術領域，尤其涉及一種基于EAP-MD5改進協議的身份認證方法及系統。

背景技術

可擴展身份認證協議(Extensible?Authentication?Portocol，EAP)是一種支持多種認證方法的認證框架，用于基于端口的802.1X訪問控制。EAP-MD5是一種最為基本的也是第一個用于WLAN中的EAP類型，較廣泛的應用于有線或無線網絡中端口認證。然而傳統的EAP-MD5協議存在幾個缺點，因此在一些高安全級的認證環境中EAP-MD5不被推薦使用，這幾大缺點分別為：

1、易被MD5字典暴力破解用戶密鑰：請求方的用戶名和認證挑戰數總是明文可見，因此由用戶名+密碼+挑戰數組成的MD5哈希值，其很容易受到離線字典攻擊從而破譯出用戶密碼。

2、容易出現重放攻擊，即使不破解MD5哈希值，將上次一認證的所有數據包對認證服務器進行重放，由于服務器無法判斷數據包的時間關系，因此也可能完成認證過程。

發明內容

針對上述問題，本發明旨在提供一種基于EAP-MD5改進協議的身份認證方法及系統，以降低協議被暴力破解哈希的概率，并且有效防止數據包重放攻擊，提高協議的安全性。

具體方案如下：

一種基于EAP-MD5改進協議的身份認證方法，包括以下步驟：

S1：客戶端向接入設備發送EAPOL_Start報文，開始認證接入；

S2：接入設備向客戶端發送EAP_Request_Identity報文，要求客戶端將用戶名發送至接入設備；

S3：客戶端發送請求回應EAP_Response/Identity報文至接入設備，其中請求回應EAP_Response/Identity報文中包括用戶名；

S4：接入設備將接收到的請求回應EAP_Response/Identity報文中的用戶名封裝到RADIUS_Access_Request報文后，發送至認證服務器；

S5：認證服務器判斷用戶名是否屬于合法用戶名，如果不是，則不允許接入；如果是，則認證服務器產生一個Challenge，并將Challenge與用戶名結合后，將結合后的結果進行哈希計算，并將計算的哈希值與用戶密碼進行異或運算處理，得到request信息，并將request信息通過接入設備使用RADIUS_Access_Challenge報文返回給接入設備；

S6：接入設備通過EAP_Request_Method報文，將接收到的request信息轉發至客戶端，要求客戶端進行認證；

S7：客戶端接收到request信息后，首先，將用戶密碼和request信息做異或運算，其次，將運算結果與當前時間戳進行異或運算，最后，將運算結果進行哈希運算得到哈希值，將哈希值與當前時間戳共同放入EAP_Response_Method報文中發送至接入設備；

S8：接入設備根據接收到的EAP_Response_Method報文將哈希值與當前時間戳共同放入RADIUS_Access_Request報文中發送至認證服務器，由認證服務器進行認證；