接入认证处理方法及系统、终端和网络设备技术方案

本发明专利技术实施例提供一种接入认证处理方法及系统、终端和网络设备。本发明专利技术实施例，可以省略现有技术中EAP认证过程和四步握手过程，仅需要三个认证消息即可完成认证和密钥分发过程，消息数量大大减少，但同样可以通过计数器的计数器当前值防止消息重放攻击。因此，本发明专利技术实施例可以适用于802.11i和802.11r两种标准过程，其可以实现WLAN快速安全的初始接入认证，缩短初始接入认证所需要的时间，降低实现的复杂度。

【技术实现步骤摘要】

本专利技术实施例涉及通信领域，尤其涉及一种接入认证处理方法及系统、终端和网络设备。
技术介绍
为了弥补有线等效保密(Wired Equivalent Privacy,以下简称WEP)协议安全性较低的缺陷，美国电气和电子工程师协会(Institute of Electrical andElectronicsEngineers,以下简称IEEE)推出了无线局域网(Wireless LocalArea Network,以下简称WLAN)安全标准802. Ili ;为了终端在接入点(AccessPoint，以下简称AP)之间的快速切换问题，IEEE推出了标准802. I Ir。对于802. Ili中终端与AP进行的初始安全接入过程来说，802. Ili采用在进行开放认证过程、关联过程之后进行EAP认证过程以及四步握手过程进行终端的初始接入认证和密钥分发。具体来说，该初始安全接入过程可以为终端通过扫描过程发现WLAN的AP及其具有的安全能力，然后终端和AP在802. 11定义的认证(以下简称Authentication)过程中进行开放系统认证，之后终端和AP使用802. 11定义的关联(以下简称Association)过程建立关联，并通过关联请求和关联响应协商它们之间的密码组件。终端和AP完成关联之后，可以执行扩展认证协议(Extensible Authentication Protocol,以下简称EAP)认证过程进行真正的认证。该EAP认证过程举例来说可以包括终端向AP发送在局域网上的EAP过程开始(EAPoL_Start，以下简称=EAPoL开始)消息指示认证开始，之后AP向终端发送EAP请求/标识(EAP-Request/Identity)消息以请求终端发送其身份标识。终端在EAP响应/标识(EAP_Response/Identity)消息中将其身份标识发送给AP, AP可以将终端的身份标识发送给认证服务器(Authentication Server,以下简称AS),触发AS和终端使用某种EAP方法执行认证过程，在认证过程中，AP在终端和AS之间转发消息。如果AS部署在AP上，则AP和AS之间的消息交互可以省略。在认证通过后，终端可以与AS协商出主会话密钥(Master SessionKey，以下简称MSK)，AS和终端在MSK的基础上生成对节点主密钥(Pairwise Master Key,以下简称PMK)，AS将PMK发送给AP。如果AS部署在AP上，则不存在该PMK的发送过程，如果AS未部署在AP上，则AS和AP之间存在安全通道，可以安全地将PMK发给AP。AP获取PMK之后，即可通知终端认证成功，然后和终端进行由四个消息组成的四步握手(4-way handshake)过程,在PMK基础上协商对节点临时密钥(PairwiseTransient Key,以下简称PTK)。如果四步握手成功后,则终端和AP就验证了双方PMK的一致性。成功完成四步握手之后，终端和AP之间即可通过PTK进行安全通信。对于802. Ilr中终端与AP进行的初始安全接入过程来说，其接入认证过程与802. Ili近似，仅增加了一些移动域(Mobility Domain,以下简称MD)信息和快速迁移相关信息，其生成密钥的过程与802. Ili存在差别较大。举例来说，其密钥生成过程是在EAP认证过程产生MSK之后，终端和AS在MSK基础上计算PMK-R0，又在PMK-RO的基础上计算PMK-Rl。然后 AS 将 PMK-Rl 发送给 AP。802. Ilr 中的 PMK-Rl 相当于 802. Ili 中的 PMK, {0PMK-Rl和MSK之间多了 PMK-RO，这有利于移动过程中AS和终端在PMK-RO基础上产生与新的AP相关的PMK-R1，而不用再做完整的认证过程了。终端和AP进行四步握手，在PMK-Rl基础上计算PTK。不管是802. Ili中的初始接入过程还是802. Ilr中的初始接入过程，其均需包括开放认证过程、关联过程、EAP认证过程以及四步握手过程，交互次数多，时间较长，不利于提高网络空口利用效率。
技术实现思路
本专利技术实施例提供一种接入认证处理方法及系统、终端和网络设备。本专利技术实施例提供一种接入认证处理方法，包括 向网络设备发送第一认证消息，所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识；接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息，所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码；根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理，根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥，并使用所述临时密钥验证所述第二认证消息的消息完整性码；向所述网络设备发送第三认证消息，所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。本专利技术实施例提供另一种接入认证处理方法，包括接收终端发送的第一认证消息，所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获得的第一身份认证值、终端现场值以及用户标识；根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理；向所述终端发送第二认证消息，所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码；接收所述终端发送的第三认证消息，所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。本专利技术实施例提供一种终端，包括第一计数模块，用于进行计数，获取计数器当前值；第一发送模块，用于向网络设备发送第一认证消息，所述第一认证消息中至少包含所述计数器当前值、根据所述计数器当前值和共享密钥获得的第一身份认证值、终端现场值以及用户标识；第一接收模块，用于接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息，所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码；第一处理模块，用于根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理，根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥，并使用所述临时密钥验证所述第二认证消息的消息完整性码；第二发送模块，用于向所述网络设备发送第三认证消息，所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。本专利技术实施例提供一种网络设备，包括第三接收模块，用于接收终端发送的第一认证消息，所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、终端现场值以及用户标识； 第三处理模块，用于根据所述计数器当前值、所述第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.ー种接入认证处理方法，其特征在于，包括 向网络设备发送第一认证消息，所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获取的第一身份认证值、終端现场值以及用户标识； 接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息，所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码； 根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理，根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥，并使用所述临时密钥验证所述第二认证消息的消息完整性码； 向所述网络设备发送第三认证消息，所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。2.根据权利要求I所述的方法，其特征在于，所述向网络设备发送第一认证消息之前或之后，还包括 单调更新计数器当前值。3.根据权利要求I所述的方法，其特征在干，所述向网络设备发送第一认证消息，包括向接入点发送所述第一认证消息，所述第一认证消息中还包含认证服务器标识； 所述接收所述网络设备根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理后发送的第二认证消息，所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获取的第二身份认证值以及所述第ニ认证消息的消息完整性码，包括 接收所述接入点与认证服务器根据所述用户标识、所述认证服务器标识、所述计数器当前值以及所述第一身份认证值进行快速认证交互后由所述接入点发送的第二认证消息，所述第二认证消息中包含所述认证服务器的认证结果标识、用于对所述认证服务器进行认证的所述第二身份认证值、接入点现场值、所述用户设备标识、所述认证服务器标识、所述计数器当前值以及所述第二认证消息的消息完整性码； 所述根据所述计数器当前值、所述第二身份认证值以及所述共享密钥对所述网络设备进行认证处理，包括 根据所述第二身份认证值对所述认证服务器进行认证，根据所述第二认证消息的消息完整性码对所述接入点进行认证； 所述根据所述网络设备现场值、所述终端现场值、所述共享密钥以及所述计数器当前值生成临时密钥，包括 根据所述共享密钥和所述计数器当前值生成主密钥，根据所述主密钥、所述终端现场值以及所述接入点现场值生成所述临时密钥。4.根据权利要求I所述的方法，其特征在于，所述第一认证消息和所述第二认证消息中还包含移动域标识。5.根据权利要求I 4中任ー权利要求所述的方法，其特征在于，所述计数器当前值包括终端计数器当前值和/或网络设备计数器当前值。6.根据权利要求5所述的方法，其特征在于，所述向网络设备发送第一认证消息之前，还包括 接收所述网络设备发送的广播消息或探测响应消息，所述广播消息或探测响应消息中至少包含所述网络设备计数器当前值。7.根据权利要求I 4中任ー权利要求所述的方法，其特征在干，向所述网络设备发送第三认证消息之后，还包括 接收所述网络设备发送的第四认证消息，所述第四认证消息中至少包含群临时密钥、组播相关信息以及所述第四认证消息的消息完整性码。8.ー种接入认证处理方法，其特征在于，包括 接收终端发送的第一认证消息，所述第一认证消息中至少包含计数器当前值、根据所述计数器当前值和共享密钥获得的第一身份认证值、終端现场值以及用户标识； 根据所述计数器当前值、所述第一身份认证值以及所述用户标识对所述终端进行认证处理； 向所述终端发送第二认证消息，所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第二认证消息的消息完整性码； 接收所述终端发送的第三认证消息，所述第三认证消息中包含对所述网络设备进行认证的结果信息和所述第三认证消息的消息完整性码。9.根据权利要求8所述的方法，其特征在于，所述接收终端发送的第一认证消息，包括 接入点接收所述终端发送的第一认证消息，所述第一认证消息中还包含认证服务器标识； 所述根据所述计数器当前值、所述第一身份认证值以及所述用户标识进行认证处理，包括 所述接入点向认证服务器发送认证请求消息，所述认证请求消息中包含所述计数器当前值、所述第一身份认证值以及所述用户标识； 所述认证服务器根据所述用户标识、所述认证服务器标识、所述第一身份认证值以及所述计数器当前值，对所述终端进行认证处理，并向所述接入点发送认证响应消息，所述认证响应消息中包含对所述終端进行认证处理的结果信息和主密钥； 所述接入点生成接入点现场值，根据所述接入点现场值、所述终端现场值以及所述主密钥生成临时密钥。10.根据权利要求9所述的方法，其特征在干， 所述认证服务器根据所述用户标识、所述认证服务器标识、所述第一身份认证值以及所述计数器当前值，对所述终端进行认证处理，并向所述接入点发送认证响应消息，所述认证响应消息中包含对所述終端进行认证处理的结果信息和主密钥，包括 所述认证服务器根据本地存储的计数器当前值确定所述认证请求消息中包含的计数器当前值是否有效，若有效，所述认证服务器根据共享密钥以及所述计数器当前值计算获得身份认证值，并确定计算获得的身份认证值与所述认证请求消息中包含的第一身份认证值是否相等，若相等，则所述认证服务器对所述终端的认证通过，所述认证服务器更新本地存储的计数器当前值；所述认证服务器根据所述共享密钥、所述计数器当前值、所述用户标识以及所述认证服务器标识计算获得主密钥； 所述认证服务器向所述接入点发送认证响应消息，所述认证响应消息中包含所述用户标识、所述认证服务器标识、所述认证服务器的认证结果标识、用于所述终端对所述认证服务器进行认证的第二身份认证值、所述计数器当前值以及所述主密钥； 所述向所述终端发送第二认证消息，所述第二认证消息中至少包含所述网络设备的网络设备现场值、根据所述共享密钥和所述计数器当前值获得的第二身份认证值以及所述第ニ认证消息的消息完整性码，包括 所述接入点向所述终端发送第二认证消息，所述第二认证消息中包含所述认证结...

【专利技术属性】
技术研发人员：李兴华，丁志明，方平，树贵明，张志勇，马建峰，姜奇，
申请(专利权)人：华为终端有限公司，
类型：发明
国别省市：