【技术实现步骤摘要】
本专利技术实施例涉及通信领域,尤其涉及一种接入认证处理方法及系统、终端和网络设备。
技术介绍
为了弥补有线等效保密(Wired Equivalent Privacy,以下简称WEP)协议安全性较低的缺陷,美国电气和电子工程师协会(Institute of Electrical andElectronicsEngineers,以下简称IEEE)推出了无线局域网(Wireless LocalArea Network,以下简称WLAN)安全标准802. Ili ;为了终端在接入点(AccessPoint,以下简称AP)之间的快速切换问题,IEEE推出了标准802. I Ir。对于802. Ili中终端与AP进行的初始安全接入过程来说,802. Ili采用在进行开放认证过程、关联过程之后进行EAP认证过程以及四步握手过程进行终端的初始接入认证和密钥分发。具体来说,该初始安全接入过程可以为终端通过扫描过程发现WLAN的AP及其具有的安全能力,然后终端和AP在802. 11定义的认证(以下简称Authentication)过程中进行开放系统认证,之后终端和AP使用802. 11定义的关联(以下简称Association)过程建立关联,并通过关联请求和关联响应协商它们之间的密码组件。终端和AP完成关联之后,可以执行扩展认证协议(Extensible Authentication Protocol,以下简称EAP)认证过程进行真正的认证。该EAP认证过程举例来说可以包括终端向AP发送在局域网上的EAP过程开始(EAPoL_Start,以下简称=EAPoL开始)消息指示认 ...
【技术保护点】
【技术特征摘要】
1.ー种接入认证处理方法,其特征在于,包括 向网络设备发送第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、終端现场值以及用户标识; 接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码; 根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,并使用所述临时密钥验证所述第二认证消息的消息完整性码; 向所述网络设备发送第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。2.根据权利要求I所述的方法,其特征在于,所述向网络设备发送第一认证消息之前或之后,还包括 单调更新计数器当前值。3.根据权利要求I所述的方法,其特征在干,所述向网络设备发送第一认证消息,包括向接入点发送所述第一认证消息,所述第一认证消息中还包含认证服务器标识; 所述接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获取的第二身份认证值以及所述第ニ认证消息的消息完整性码,包括 接收所述接入点与认证服务器根据所述用户标识、所述认证服务器标识、所述计数器当前值以及所述第一身份认证值进行快速认证交互后由所述接入点发送的第二认证消息,所述第二认证消息中包含所述认证服务器的认证结果标识、用于对所述认证服务器进行认证的所述第二身份认证值、接入点现场值、所述用户设备标识、所述认证服务器标识、所述计数器当前值以及所述第二认证消息的消息完整性码; 所述根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理,包括 根据所述第二身份认证值对所述认证服务器进行认证,根据所述第二认证消息的消息完整性码对所述接入点进行认证; 所述根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥,包括 根据所述共享密钥和所述计数器当前值生成主密钥,根据所述主密钥、所述终端现场值以及所述接入点现场值生成所述临时密钥。4.根据权利要求I所述的方法,其特征在于,所述第一认证消息和所述第二认证消息中还包含移动域标识。5.根据权利要求I 4中任ー权利要求所述的方法,其特征在于,所述计数器当前值包括终端计数器当前值和/或网络设备计数器当前值。6.根据权利要求5所述的方法,其特征在于,所述向网络设备发送第一认证消息之前,还包括 接收所述网络设备发送的广播消息或探测响应消息,所述广播消息或探测响应消息中至少包含所述网络设备计数器当前值。7.根据权利要求I 4中任ー权利要求所述的方法,其特征在干,向所述网络设备发送第三认证消息之后,还包括 接收所述网络设备发送的第四认证消息,所述第四认证消息中至少包含群临时密钥、组播相关信息以及所述第四认证消息的消息完整性码。8.ー种接入认证处理方法,其特征在于,包括 接收终端发送的第一认证消息,所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获得的第一身份认证值、終端现场值以及用户标识; 根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理; 向所述终端发送第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码; 接收所述终端发送的第三认证消息,所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。9.根据权利要求8所述的方法,其特征在于,所述接收终端发送的第一认证消息,包括 接入点接收所述终端发送的第一认证消息,所述第一认证消息中还包含认证服务器标识; 所述根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理,包括 所述接入点向认证服务器发送认证请求消息,所述认证请求消息中包含所述计数器当前值、所述第一身份认证值以及所述用户标识; 所述认证服务器根据所述用户标识、所述认证服务器标识、所述第一身份认证值以及所述计数器当前值,对所述终端进行认证处理,并向所述接入点发送认证响应消息,所述认证响应消息中包含对所述終端进行认证处理的结果信息和主密钥; 所述接入点生成接入点现场值,根据所述接入点现场值、所述终端现场值以及所述主密钥生成临时密钥。10.根据权利要求9所述的方法,其特征在干, 所述认证服务器根据所述用户标识、所述认证服务器标识、所述第一身份认证值以及所述计数器当前值,对所述终端进行认证处理,并向所述接入点发送认证响应消息,所述认证响应消息中包含对所述終端进行认证处理的结果信息和主密钥,包括 所述认证服务器根据本地存储的计数器当前值确定所述认证请求消息中包含的计数器当前值是否有效,若有效,所述认证服务器根据共享密钥以及所述计数器当前值计算获得身份认证值,并确定计算获得的身份认证值与所述认证请求消息中包含的第一身份认证值是否相等,若相等,则所述认证服务器对所述终端的认证通过,所述认证服务器更新本地存储的计数器当前值;所述认证服务器根据所述共享密钥、所述计数器当前值、所述用户标识以及所述认证服务器标识计算获得主密钥; 所述认证服务器向所述接入点发送认证响应消息,所述认证响应消息中包含所述用户标识、所述认证服务器标识、所述认证服务器的认证结果标识、用于所述终端对所述认证服务器进行认证的第二身份认证值、所述计数器当前值以及所述主密钥; 所述向所述终端发送第二认证消息,所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第ニ认证消息的消息完整性码,包括 所述接入点向所述终端发送第二认证消息,所述第二认证消息中包含所述认证结...
【专利技术属性】
技术研发人员:李兴华,丁志明,方平,树贵明,张志勇,马建峰,姜奇,
申请(专利权)人:华为终端有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。