Download
1 / 17
190 likes | 1.56k Views
EAP-AKA. yliqiang@gmail.com 2005-10-23. EAP-AKA 简介. 用第三代移动通讯网络 (3G) 的认证和密匙协商机制 (Authentication and Key Agreement) 作为 EAP(Extensible Authentication Protocol ) 的一种认证方法。 AKA 基于对称密码学原理,通常运行在手机的 SIM 卡上 ,3G 中称为 USIM 。. EAP 简介.
E N D
EAP-AKA yliqiang@gmail.com 2005-10-23
EAP-AKA简介 • 用第三代移动通讯网络(3G)的认证和密匙协商机制 (Authentication and Key Agreement)作为EAP(Extensible Authentication Protocol )的一种认证方法。 • AKA基于对称密码学原理,通常运行在手机的SIM卡上,3G中称为USIM。
EAP简介 • 可扩展认证协议(Extensible Authentication Protocol )起源于点对点协议(Point-to-Point Protocol,拨号上网就是用此协议)。PPP协议中有一认证环节,如PPP CHAP,就是用在这里。 • EAP也是PPP的一种认证协议,它没有指定具体的认证方法,而是提供了支持多种认证机制的认证框架。
EAP简介 • EAP的优点: • EAP支持多种认证机制,可以由认证方在(authenticator)获得足够信息后选择用哪一种认证方法,而不需要预先协定。 • 认证方不需要为支持新的认证方法而经常升级,EAP允许使用一后台服务器,认证方可把全部或部分认证请求转发给后台服务器。
EAP简介 • EAP除了用于PPP协议外,还可用于以太网、无线局域网(WLAN),IEEE 802.1X是EAP用于以太网的协定。现在大部分交换机、防火墙、无线AP都支持EAP。 • EAP由下面这些组件构成
Method Layer IEEE 802.1X EAPOL Lower Layer Lower Layer Peer(被认证者) Pass-through Authenticator (认证者) Radius Protocol Authentication Server (认证服务器) AAA:Authentication(认证), Authorization (授权), and Accounting (记帐)
AUTN USIM SQN⊕AK AMF MAC =? Generate SQN Generate RAND ⊕ Ki XMAC Ki AK SQN? Functions f5 f1 Functions f1 f5 f2 f3 f4 f2 f3 f4 RES CK IK MAC == XMAC SQN in the correct range Mobile Station 3GPP-AKA简介 Request Authentication Vectors AV IMSI IMSI RAND|XRES|CK|IK|AUTN RAND|AUTN AVi VLR/SGSN HE/HLR = Yes/No
3GPP-AKA简介 • 相对于GSM(2G)认证机制的增强 • 实现了用户和网络的双向认证,GSM中只能网络认证用户。 • 所使用的密匙(CK)长度增至128比特,增加了用于会话完整性保护的密匙(IK)。 • 3GPP2提供了基于SHA-1算法的AKA参考实现[S.S0055-A]。
EAP-AKA认证流程 Peer Authenticator EAP-Request/Identity EAP-Response/Identity (Includes user's NAI) EAP-AKA Full authentication procedure Server runs AKA algorithms, Generates RAND and AUTN EAP-Request/AKA-Challenge (AT_RAND, AT_AUTN, AT_MAC) Peer runs AKA algorithms, verifies AUTN and MAC, derives RES and session key Server checks the given RES, and MAC and finds them correct. EAP-Response/AKA-Challenge (AT_RES, AT_MAC) EAP-Success
EAP-AKA认证流程 • AT_MAC(Message Authentication Code)用来保护EAP数据包的完整性。 • EAP-AKA支持利用已得到的KEY进行快速重新认证。 • 支持用户身份的保密。
EAP-AKA与其他几种认证方法的比较 • EAP-AKA与其他几种认证方法的比较
EAP-AKA与其他几种认证方法的比较 • EAP-TLS基于非对称密码学原理(也称作PKI),智能卡实现成本高,系统实施复杂,主要用于网上银行,电子商务领域。 • EAP-AKA克服了EAP-SIM的已知缺陷,提供了足够的安全性。 • EAP-AKA给3G、WLAN、互联网提供了统一认证方法的可能。
EAP-AKA实施 • 需求清单 • 3G USIM卡,PC/SC兼容的智能卡读卡器。(如:北京一零科技的ED10 USB智能卡读卡器) • 或者仅用北京一零科技的ED11 USB 智能卡读卡器,它内置了3GPP-AKA认证算法。 • 客户端,服务端软件。 • 认证服务器(Radius Server)。
EAP-AKA实施 • 逻辑结构图 Smart card reader USIM NAS/ Radius client Supplicant Smart card Reader built-in AKA Radius/AAA protocol Radius Server 3G HE/HLR AKA module
参考 • [RFC draft] draft-arkko-pppext-eap-aka-15.txt • [TS 33.102] 3rd Generation Partnership Project 2, 3G Security; Security Architecture • [S.S0055-A] 3rd Generation Partnership Project 2, Enhanced Cryptographic Algorithms • [RFC 2284] PPP Extensible Authentication Protocol (EAP) • [RFC 3748] Extensible Authentication Protocol (EAP)
参考 • [RFC draft] draft-haverinen-pppext-eap-sim-16.txt • http://agsm.sourceforge.net/talk/eap-sim.ppt • [一零科技] http://detail.china.alibaba.com/ company/detail/yanglqateds.html
