一种基于SM2算法的可扩展身份认证方法和系统技术方案

本发明专利技术公开了一种基于SM2算法的可扩展身份认证方法和系统，所述方法包括：EAP客户端和EAP服务器基于临时产生的公钥‑私钥对，完成双方的预先生成的公钥‑私钥对中的公钥交换；EAP服务器向EAP客户端发送认证消息1，其中包括利用CertP加密的MAC；EAP客户端利用SkeyP从认证消息1中解密得到MAC后，向EAP服务器发送认证消息2，其中包括利用CertS加密的MAC；EAP服务器利用SkeyS从认证消息2中解密得到MAC后，根据解密得到的MAC和之前加密的MAC之间的比较结果，确定EAP客户端的认证是否通过。应用本发明专利技术可以加强EAP的认证保证，提高网络身份认证安全性。

A scalable authentication method and system based on SM2 algorithm

【技术实现步骤摘要】
一种基于SM2算法的可扩展身份认证方法和系统
本专利技术涉及通信加密
，特别是指一种基于SM2算法的可扩展身份认证方法和系统。
技术介绍
网络的广泛使用，深深影响着人们的生活，但随着网络广泛应用所带来的安全性问题也十分突出。网络安全的众多问题中，身份认证问题是其中一个首要解决的问题。身份认证是用于鉴别接入用户身份，并识别和限制非法用户访问网络系统资源的一种技术手段。如何正确的识别用户身份，并在相对安全的情况下对用户信息进行验证，是身份认证方法设计中普遍的思路。可扩展身份认证协议(ExtensibleAuthenticationPortocol，EAP)最早定义在RFC2284中，被设计用于点对点封装协议PPP协议中，是一种一般运行在数据链路层上，不必依赖于IP，支持多种认证方法的认证框架，而不是一个认证机制，后来被RFC3748更新，用于基于端口的802.1X访问控制，最后又被RFC5247所更新，现在主要用于网络接入认证。EAP协议是IEEE802.1X认证机制的核心，它在链路控制(LCP)阶段没有选定一种认证机制，而把这一步推本文档来自技高网...

【技术保护点】
1.一种基于SM2算法的可扩展身份认证方法，其特征在于，包括：/nEAP客户端和EAP服务器基于临时产生的公钥-私钥对，完成双方的预先生成的公钥-私钥对中的公钥交换；其中，所述EAP客户端、服务器预先生成的公钥-私钥对分别为(CertP，SkeyP)、(CertS，SkeyS)，所述EAP客户端、服务器临时产生的公钥-私钥对分别为(CertP*，SkeyP*)、(CertS*，SkeyS*)；/n所述EAP服务器向所述EAP客户端发送认证消息1，其中包括利用CertP加密的MAC；/n所述EAP客户端利用SkeyP从认证消息1中解密得到MAC后，向所述EAP服务器发送认证消息2，其中包括利用C...

【技术特征摘要】
1.一种基于SM2算法的可扩展身份认证方法，其特征在于，包括：
EAP客户端和EAP服务器基于临时产生的公钥-私钥对，完成双方的预先生成的公钥-私钥对中的公钥交换；其中，所述EAP客户端、服务器预先生成的公钥-私钥对分别为(CertP，SkeyP)、(CertS，SkeyS)，所述EAP客户端、服务器临时产生的公钥-私钥对分别为(CertP*，SkeyP*)、(CertS*，SkeyS*)；
所述EAP服务器向所述EAP客户端发送认证消息1，其中包括利用CertP加密的MAC；
所述EAP客户端利用SkeyP从认证消息1中解密得到MAC后，向所述EAP服务器发送认证消息2，其中包括利用CertS加密的MAC；
所述EAP服务器利用SkeyS从认证消息2中解密得到MAC后，根据解密得到的MAC和之前加密的MAC之间的比较结果，确定所述EAP客户端的认证是否通过。


2.根据权利要求1所述的方法，其特征在于，所述EAP客户端和EAP服务器基于临时产生的公钥-私钥对，完成双方的预先生成的公钥-私钥对中的公钥交换，具体包括：
所述EAP客户端向所述EAP服务器发送认证请求信息；
所述EAP服务器接收到所述认证请求信息后生成临时公钥-私钥对(CertS*，SkeyS*)后，向所述EAP客户端发送认证准备开始消息，所述认证开始消息中携带所述EAP服务器的标识符ID_S和CertS*；
所述EAP客户端接收到所述认证准备开始消息后，向所述EAP服务器发送认证准备消息1，所述认证准备消息1携带所述EAP客户端的标识符ID_P，ECertS*(CertP)和ESkeyP(H(CertP))；
所述EAP服务器利用SkeyS*从接收到的认证准备消息1中解密得到CertP，利用CertP对ESkeyP(H(CertP))验签成功后，向所述EAP客户端发送认证准备消息2，所述认证准备消息2携带所述EAP服务器的标识符ID_S，ECertP(CertS)和ESkeyS(H(CertS))；
所述EAP客户端利用SkeyP从接收到的认证准备消息2中解密得到CertS，利用CertS对ESkeyS(H(CertS))验签成功后，生成临时公钥-私钥对(CertP*，SkeyP*)，并向所述EAP服务器发送认证准备完成消息，所述认证准备完成消息携带ID_S、ID_P、ECertS(CertP*)和ESkeyP*(H(CertP*))；
所述EAP服务器利用SkeyS从接收到的认证准备完成消息中解密得到CertP*，利用CertP*对ESkeyP*(H(CertP*))验签成功后，确认认证准备阶段完成；
其中，ECertS*(CertP)表示用CertS*加密CertP，ESkeyP(H(CertP))表示用SkeyP加密H(CertP)；ECertP(CertS)表示用CertP加密CertS，ESkeyS(H(CertS))表示用SkeyS加密H(CertS)；ECertS(CertP*)表示用CertS加密CertP*；ESkeyP*(H(CertP*))表示用SkeyP*加密H(CertP*)；H(CertP)表示对ID_P和CertP进行哈希Hash运算得到的Hash运算结果；H(CertS)表示对ID_S和CertS进行哈希Hash运算得到的Hash运算结果；H(CertP*)表示对ID_P和CertP*进行哈希Hash运算得到的Hash运算结果。


3.根据权利要求2所述的方法，其特征在于，在所述EAP服务器向所述EAP客户端发送认证消息1之前，还包括：
所述EAP服务器向EAP客户端发送携带ID_S的认证开始消息；
所述EAP客户端向所述EAP服务器返回携带ID_P的认证响应消息。


4.根据权利要求3所述的方法，其特征在于，所述认证消息1还包括：ID_S、ID_P、ESkeyS(H(ID_S|MAC))；以及
在所述EAP客户...

【专利技术属性】
技术研发人员：徐梦剑，张会彬，李良灿，张杰，赵永利，李亚杰，赵硕，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11