專利名稱:實(shí)現(xiàn)安全性認(rèn)證的ip網(wǎng)絡(luò)系統(tǒng)及其方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)安全技術(shù),尤其涉及一種實(shí)現(xiàn)安全性認(rèn)證的IP網(wǎng)絡(luò)系統(tǒng)及其方法����。
背景技術(shù):
現(xiàn)有網(wǎng)絡(luò)身份的識(shí)別一般通過用戶名加密碼的方式來解決。雖然此種方式對(duì)一般的安全性要求已經(jīng)足夠�,但對(duì)于安全敏感性較高和需要建立具有不可抵賴性應(yīng)用情況下,這種方式就無法滿足需求��。
為解決上述問題��,業(yè)界采用數(shù)字證書技術(shù)���,該技術(shù)通過第三方的CA(請(qǐng)給出英語全稱及中文解釋)認(rèn)證來鑒別用戶身份�,使交易雙方能夠建立信用關(guān)系�����,且通過數(shù)字簽名來保證記錄的不可抵賴性�。數(shù)據(jù)證書通過國際電信聯(lián)盟的標(biāo)準(zhǔn)來保證互通性。但數(shù)字證書通常需要保留在PC機(jī)的硬盤上���,這樣如果黑客通過木馬程序就有可能盜用��;而且保留在硬盤上的數(shù)據(jù)證書的可移動(dòng)性比較差�,如果想通過公用設(shè)備來將其接入網(wǎng)絡(luò)����,則存在較大不便����。
在現(xiàn)有技術(shù)中���,智能卡不但能保護(hù)證明用戶身份的私有密鑰�����,而且還能保護(hù)保存密鑰的物理介質(zhì)�����。具體地講一方面����,智能卡可以為私有密鑰提供更好的防護(hù)手段�����,因?yàn)楸4嬖谥悄芸ɡ锏乃接忻荑€是不可讀的�����,需要用到私有密鑰進(jìn)行加解密的過程--數(shù)字簽名和解密公共密鑰加密的數(shù)據(jù)--都由卡上的處理器來完成,自始至終私有密鑰都不會(huì)離開智能卡�����;另一方面�����,要使用卡里的私有密碼還需要知道卡的密碼(PIN)�,防止智能卡丟失��。這種雙重的驗(yàn)證機(jī)制比起密碼口令來要安全得多�����,它可以確保只有合法的所有者才可以使用他的數(shù)字證書���。同時(shí)�����,智能卡還易于使用�����、便于攜帶并且難以復(fù)制�����,而且在使用智能卡時(shí)�,還要先輸入密碼,如果不知道密碼��,那么在連續(xù)輸錯(cuò)若干次后��,卡便會(huì)自動(dòng)加鎖��,防止對(duì)他人智能卡的盜用���。
可見如何將現(xiàn)有技術(shù)中的智能卡應(yīng)用在INTERNET上以解決用戶身份識(shí)別的安全問題�,是業(yè)界目前需要解決的一個(gè)重要問題���。
發(fā)明內(nèi)容
本發(fā)明提供一種實(shí)現(xiàn)安全性認(rèn)證的IP網(wǎng)絡(luò)系統(tǒng)及其方法�,以解決現(xiàn)有技術(shù)中INTERNET網(wǎng)絡(luò)上用戶身份識(shí)別安全認(rèn)證技術(shù)移動(dòng)性較差��、安全性較低的問題�。
為解決上述問題,本發(fā)明提供如下的技術(shù)方案一種IP網(wǎng)絡(luò)實(shí)現(xiàn)安全性認(rèn)證系統(tǒng)����,包括認(rèn)證鑒權(quán)服務(wù)器�,通過IP網(wǎng)絡(luò)與該認(rèn)證鑒權(quán)服務(wù)器連接的接入服務(wù)器和客戶端��,其特征在于所述的客戶端還連接有讀卡裝置及用于該裝置的SIM卡�,所述客戶端通過應(yīng)用程序接口模塊驅(qū)動(dòng)所述讀卡裝置,經(jīng)讀卡裝置與所述SIM交互信息���,客戶端將SIM卡中的用戶信息傳送至接入服務(wù)器處理,處理后的信息發(fā)送至所述的認(rèn)證鑒權(quán)服務(wù)器進(jìn)行認(rèn)證�。
一種在IP網(wǎng)絡(luò)上實(shí)現(xiàn)安全性認(rèn)證的方法,該方法包括下述步驟A����、服務(wù)器產(chǎn)生一個(gè)隨機(jī)數(shù)下發(fā)給客戶端;B����、客戶端將所述隨機(jī)數(shù)傳送給SIM卡,SIM卡依據(jù)該隨機(jī)數(shù)至少計(jì)算出SRES����,同時(shí)讀出SIM卡的IMSI碼,并將該SRES和IMSI碼傳送給客戶端��;C、客戶端將從SIM卡得到的信息發(fā)送給接入服務(wù)器��;D�、接入服務(wù)器處理從客戶端得到的信息,向認(rèn)證鑒權(quán)服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息���,并在該消息中至少包含所述的隨機(jī)數(shù)���、SRES和IMSI碼;E����、認(rèn)證鑒權(quán)服務(wù)器根據(jù)請(qǐng)求消息中IMS I碼判斷該用戶是否屬于SIM卡認(rèn)證的用戶,如果判斷結(jié)果為否���,則回應(yīng)認(rèn)證失敗消息�����,轉(zhuǎn)步驟G�����;F��、如果步驟E的判斷結(jié)果為是�����,認(rèn)證鑒權(quán)服務(wù)器則按照SIM卡中相應(yīng)的算法�,利用所述隨機(jī)數(shù)計(jì)算出SRES,并比較該SRES與從請(qǐng)求消息中接收到的SERS是否一致��,如果一致����,則給接入服務(wù)器回應(yīng)鑒權(quán)通過消息��,否則回應(yīng)鑒權(quán)失敗消息��;G�����、接入服務(wù)器收到認(rèn)證鑒權(quán)服務(wù)器回應(yīng)消息后�����,根據(jù)鑒權(quán)結(jié)果向客戶端發(fā)送相應(yīng)的回應(yīng)消息��。
本發(fā)明的有益效果1、將SIM卡的安全性與Internet的開放性結(jié)合�����,實(shí)現(xiàn)了internet信用支付體系����;2、SIM讀卡器采用USB接口�����,且讀卡器體積小����,容易攜帶,方便用戶移動(dòng)���;3�、用戶密鑰無需用戶自己管理�����,能夠保證智能卡的安全性和易用性���,降低運(yùn)營(yíng)成本��;4�����、將SIM卡與WEB認(rèn)證結(jié)合�,方便擴(kuò)展業(yè)務(wù),但不需要升級(jí)客戶端�。
圖1為本發(fā)明系統(tǒng)結(jié)構(gòu)示意圖;圖2本發(fā)明采用CHAP實(shí)現(xiàn)PPPoE SIM認(rèn)證流程����;圖3本發(fā)明采用EAP-MD5實(shí)現(xiàn)802.1xSIM卡認(rèn)證流程圖;圖4本發(fā)明采用CHAP實(shí)現(xiàn)WEB SIM卡認(rèn)證流程圖�;圖5本發(fā)明采用BAS終結(jié)EAP報(bào)文���;圖6本發(fā)明采用BAS透?jìng)鱁AP報(bào)文����;圖7本發(fā)明采用802.1x實(shí)現(xiàn)標(biāo)準(zhǔn)EAP流程����;圖8本發(fā)明采用WEB實(shí)現(xiàn)標(biāo)準(zhǔn)EAP認(rèn)證流程�。
具體實(shí)施例方式
參考圖1�,認(rèn)證系統(tǒng)包括認(rèn)證鑒權(quán)服務(wù)器,通過IP網(wǎng)絡(luò)與該認(rèn)證鑒權(quán)服務(wù)器連接的接入服務(wù)器和PC客戶端�����,在客戶端連接有讀卡裝置及用于該裝置的SIM卡���,客戶端通過應(yīng)用程序接口模塊驅(qū)動(dòng)所述讀卡裝置����,經(jīng)讀卡裝置與所述SIM交互信息��,客戶端將SIM卡中的用戶信息傳送至接入服務(wù)器處理����,處理后的信息發(fā)送至所述的認(rèn)證鑒權(quán)服務(wù)器進(jìn)行認(rèn)證。
讀卡器和SIM卡根據(jù)驅(qū)動(dòng)程序API進(jìn)行相應(yīng)的處理�����;主要功能是計(jì)算SRES(Signed RES ponse calculated by a SIM�����,字面意思為“SIM卡計(jì)算的簽名響應(yīng)”)和Kc(Cryptographic key,簡(jiǎn)稱Kc����,用于A5密碼),讀出IMSI和其他保存的信息��。
PC客戶端執(zhí)行認(rèn)證客戶端�,調(diào)用S IM讀卡器的的驅(qū)動(dòng)程序API,與接入服務(wù)器或者Portal服務(wù)器交互��。
認(rèn)證門戶服務(wù)器(Portal)在WEB認(rèn)證的情況下才有用����,提供認(rèn)證頁面,CHAP認(rèn)證方式下可以提供隨機(jī)數(shù)���,轉(zhuǎn)發(fā)客戶端和接入服務(wù)器之間的認(rèn)證報(bào)文����。
接入服務(wù)器進(jìn)行認(rèn)證報(bào)文處理�����,控制PC客戶端的接入�����。
鑒權(quán)認(rèn)證服務(wù)器根據(jù)認(rèn)證請(qǐng)求��,進(jìn)行相應(yīng)的認(rèn)證處理���;控制接入服務(wù)器是否允許PC終端接入���。
協(xié)議說明Portal協(xié)議為實(shí)現(xiàn)WEB認(rèn)證,Portal服務(wù)器和接入服務(wù)器之間的私有協(xié)議�。
PPPoE/EAPoL/IP接入服務(wù)器與PC終端認(rèn)證報(bào)文的PPPoE/EAPoL/IP承載協(xié)議。
Radius協(xié)議接入服務(wù)器與認(rèn)證服務(wù)器之間的協(xié)議�;包括標(biāo)準(zhǔn)Radius協(xié)議和EAPoRadius。
驅(qū)動(dòng)程序API認(rèn)證客戶端調(diào)用讀卡器功能的接口����。
SIM卡是由微處理器和存儲(chǔ)單元組成,通過標(biāo)準(zhǔn)的接口可以驅(qū)動(dòng)SIM卡中的微處理器���,對(duì)存儲(chǔ)單元進(jìn)行操作���。SIM卡提供雙重的安全保護(hù)個(gè)人識(shí)別碼(PIN)和SIM卡本身。
PIN碼是對(duì)SIM卡本身的保護(hù)方式。非法用戶在輸入三次錯(cuò)誤的PIN碼后��,SIM卡將加鎖����;SIM卡中有永遠(yuǎn)無法讀出的內(nèi)置共享密鑰Ki,保證了SIM卡的無法復(fù)制�����,而對(duì)SIM卡的攻擊是十分困難的��。SIM卡物理上的唯一性也保證了不可抵賴性���。
USB/SIM卡的解決方案中需要兩個(gè)部分用戶的SIM卡�����、方便攜帶的USB接口讀卡器�����。SIM卡作為用戶身份的識(shí)別�,已經(jīng)廣泛應(yīng)用于移動(dòng)通信中���,其安全性已經(jīng)得到驗(yàn)證����。USB接口的讀卡器體積小�,方便攜帶,移動(dòng)性強(qiáng)���。USB/SIM有效解決了網(wǎng)絡(luò)應(yīng)用的用戶身份識(shí)別和信用關(guān)系問題����,在未來網(wǎng)絡(luò)應(yīng)用中具有很強(qiáng)的競(jìng)爭(zhēng)力���。
在USB/SIM認(rèn)證方式中����,可采用基于802.1x和WEB方式承載SIM卡的認(rèn)證���;使用802.1x認(rèn)證需要特殊的客戶端來控制認(rèn)證流程�����;使用WEB方式是通過下載的Applet作為客戶端��,擴(kuò)充Portal協(xié)議來實(shí)現(xiàn)用戶認(rèn)證�����。
在使用的認(rèn)證方法方面��,可以有兩種方式1)使用原有的CHAP認(rèn)證流程和字段來承載SIM卡的信息�����。即802.1x通過EAP-MD5的流程和字段實(shí)現(xiàn)SIM卡信息的承載��,在BAS端經(jīng)過轉(zhuǎn)換成CHAP的RADIUS請(qǐng)求形式進(jìn)行認(rèn)證�;WEB方式就是通過原來的CHAP方式,認(rèn)證流程無須改變����;2)使用標(biāo)準(zhǔn)的擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol簡(jiǎn)稱EAP)方式。這需要BAS和RADIUS Server都支持標(biāo)準(zhǔn)EAP認(rèn)證的流程��,BAS時(shí)間完成的是EAP報(bào)文的封裝和重傳功能���,提供認(rèn)證的通道��,而無須關(guān)心傳遞的EAP報(bào)文���;認(rèn)證由客戶端和RADIUS Server實(shí)現(xiàn)端到端的認(rèn)證��。(EAP認(rèn)證方法可以使用Nokia提供的草案�,也可自己定義)�。
以下根據(jù)不同的流程對(duì)本發(fā)明進(jìn)行詳細(xì)說明在本實(shí)施例中接入服務(wù)器為寬帶接入服務(wù)器(簡(jiǎn)稱BAS)��。
參閱圖2所示以CHAP實(shí)現(xiàn)PPPoE SIM卡認(rèn)證流程1�����、先由BAS產(chǎn)生一個(gè)16字節(jié)的隨機(jī)數(shù)RAND1�,由PPPoE/PPP/CHAP/CHALLENGE下發(fā)給客戶端。
2�、客戶端在收到BAS下發(fā)的報(bào)文之后,會(huì)調(diào)用讀卡器提供的API�,將解析出的RADN1傳給SIM卡,由SIM卡內(nèi)的算法程序根據(jù)內(nèi)置的共享秘鑰Ki和RAND1�,依據(jù)A4算法得出SRES(Signed RESponse calculated by a SIM,字面意思為“SIM卡計(jì)算的簽名響應(yīng)”)���;依據(jù)A8算法得出密鑰Kc(Cryptographic key����,簡(jiǎn)稱Kc,用于A5密碼)�����。再將SRES填充成16字節(jié)(SERS為4字節(jié)�,而CHAP算法中如果為MD5算法,RESPONSE應(yīng)該為16字節(jié)��,所以可以在SRES的后面填充12字節(jié))����,同時(shí)讀出SIM卡的IMSI,組合成一個(gè)用戶名如IMSI@SIM的格式�,由PPPoE/PPP/CHAP/RESPONSE報(bào)文發(fā)送給BAS。
3�����、BAS在收到域名為一個(gè)特定名稱的(如@SIM)用戶名之后����,會(huì)將認(rèn)證信息通過標(biāo)準(zhǔn)的RADIUS報(bào)文傳給后臺(tái)的RADIUS SERVER進(jìn)行認(rèn)證。RADIUS SERVER在分析用戶的用戶名時(shí)�,根據(jù)域名判斷是否是SIM卡認(rèn)證的用戶,如果是��,則解析出由BAS產(chǎn)生的隨機(jī)數(shù)RAND1,根據(jù)和客戶端SIM卡中一樣的算法��,得出(SRES���,Kc)�����,比較SRES與接收到的SERS是否一致,如果一致��,則給BAS回應(yīng)一個(gè)RADIUS/ACCESS-ACCEPT消息��,同時(shí)帶上一些標(biāo)準(zhǔn)的RADIUS屬性����,否則回應(yīng)一個(gè)RADIUS/ACCESS-REJECT消息。
4��、BAS在收到RADIUS SERVER發(fā)送過來的報(bào)文之后��,如果是成功消息����,則向客戶端發(fā)送PPPoE/PPP/CHAP/SUCCESS消息���,通知客戶端認(rèn)證已經(jīng)成功,可以進(jìn)行下階段的工作�,如進(jìn)行IPCP的過程;否則則向客戶端發(fā)送PPPoE/PPP/CHAP/FAILUE的消息��,告訴客戶端失敗����,并且根據(jù)具體的策略決定是否啟動(dòng)下線的流程。
參閱圖3所示以EAP-MD5實(shí)現(xiàn)802.1xSIM卡認(rèn)證流程1���、EAP-StartClient發(fā)起(可選)��,表示EAP過程的開始��;2����、EAP-Req/IDBAS詢問Client的身份�����;3、EAP-Resp/IDClient通過從卡中讀出IMSI�,并從卡中讀出域名(Domain字段可以存放在SIM卡的某個(gè)文件中),組合成IMSI@Domain的格式��,發(fā)送給BAS�����。
4��、EAP-ChallengeBAS生成Rand(隨機(jī)數(shù))�����,發(fā)送給Client�����;5�、EAP-Resp/sresClient調(diào)用SIM卡的加密算法�,生成驗(yàn)證字sres,回送給BAS�����;6、Radius-Auth-ReqBAS設(shè)備將sres和rand按照CHAP的方式����,向RADIUSServer發(fā)送認(rèn)證請(qǐng)求(IMSI@Domain作為用戶名;sres作為CHAP密碼)���;7�����、Radius-Accept/RejectRADIUs Server通過相同的算法使用rand生成sres和用戶生成的sres比較���,判斷用戶是否合法,給出認(rèn)證結(jié)果�;8、EAP-Success/FailureBAS給Client認(rèn)證結(jié)果�;參閱圖4以CHAP實(shí)現(xiàn)WEB SIM卡認(rèn)證流程
WEB認(rèn)證的流程和802.1x認(rèn)證基本相同。不同的是驅(qū)動(dòng)SIM卡的是下載的Applet客戶端(下文詳細(xì)說明)�。IMSI和sres在Portal協(xié)議中,可以使用原來定義的CHAP字段����,BAS無須解釋,由RADIUS Server通過域名來區(qū)分并驗(yàn)證���。
以PPPoE實(shí)現(xiàn)標(biāo)準(zhǔn)EAP的SIM卡認(rèn)證流程BAS終結(jié)EAP的流程如圖5所示這種方式����,對(duì)BAS要求支持PPP/EAP的方式,并且能夠解析EAP的報(bào)文�����?����?蛻舳艘笫呛虲HAP認(rèn)證方式差不多�,要求客戶端也支持PPP/EAP的方式。其接入流程如下1����、在PPP的LCP階段協(xié)商確定在認(rèn)證階段BAS對(duì)終端的認(rèn)證采取EAP的認(rèn)證方式。BAS向客戶端發(fā)出PPPoE/PPP/EAP-Request/Identity的報(bào)文��。
2�����、客戶端在收到BAS發(fā)送過來的報(bào)文之后��,通過讀卡器提供的函數(shù)從SIM卡獲得IMSI��,按照特定的格式生成Identity����,如IMSI@SIM,通過PPPoE/PPP/EAP-Response/Identity發(fā)送給BAS����。
3、BAS收到客戶端發(fā)送過來的報(bào)文之后��,產(chǎn)生一個(gè)16字節(jié)的隨機(jī)數(shù)RAND1�����,由PPPoE/PPP/EAP-Request/MD5-Challenge下發(fā)給客戶端�����。
4�����、客戶端在收到BAS下發(fā)的報(bào)文之后�,會(huì)調(diào)用讀卡器提供的API���,將解析出的RADN1傳給SIM卡,由SIM卡內(nèi)的算法程序根據(jù)內(nèi)置的共享秘鑰Ki和RAND1����,依據(jù)A4算法得出SRES;依據(jù)A8算法得出Kc���。再將SRES填充成16字節(jié)(SERS為4字節(jié)����,而如果為MD5算法���,RESPONSE應(yīng)該為16字節(jié)��,所以可以在SRES的后面填充12字節(jié))���,同時(shí)讀出SIM卡的IMSI,組合成一個(gè)用戶名如IMSI@SIM的格式��,由PPPoE/PPP/EAP-Response/MD5-Challenge報(bào)文發(fā)送給BAS�。
5���、BAS在收到域名為一個(gè)特定名稱的(如@SIM)用戶名之后�,會(huì)將認(rèn)證信息通過標(biāo)準(zhǔn)的RADIUS報(bào)文傳給后臺(tái)的RADIUS SERVER進(jìn)行認(rèn)證。RADIUS SERVER在分析用戶的用戶名時(shí)����,根據(jù)域名判斷是否是SIM卡認(rèn)證的用戶,如果是�����,則解析出由BAS產(chǎn)生的隨機(jī)數(shù)RAND1��,根據(jù)和客戶端SIM卡中一樣的算法��,得出(SRES�,Kc),比較SRES與接收到的SERS是否一致�����,如果一致�,則給BAS回應(yīng)一個(gè)RADIUS/ACCESS-ACCEPT消息,同時(shí)帶上一些標(biāo)準(zhǔn)的RADIUS屬性����,否則回應(yīng)一個(gè)RADIUS/ACCESS-REJECT消息�����。
6��、BAS在收到RADIUS SERVER發(fā)送過來的報(bào)文之后���,如果是成功消息,則向客戶端發(fā)送PPPoE/PPP/EAP-SUCCESS消息��,通知客戶端認(rèn)證已經(jīng)成功�,可以進(jìn)行下階段的工作,如進(jìn)行IPCP的過程��;否則則向客戶端發(fā)送PPPoE/PPP/EAP-FAILUE的消息�,告訴客戶端失敗,并且根據(jù)具體的策略決定是否啟動(dòng)下線的流程����。
BAS透?jìng)鱁AP流程如圖6所示這種方式,對(duì)BAS要求支持PPP/EAP的方式���,不需要解析EAP的報(bào)文�����,只有做EAP報(bào)文的重封裝和監(jiān)視最終的結(jié)果���。客戶端要求是和CHAP認(rèn)證方式差不多��,要求客戶端也支持PPP/EAP的方式����。其接入流程描述如下所示1、在PPP的LCP階段協(xié)商確定在認(rèn)證階段BAS對(duì)終端的認(rèn)證采取EAP的認(rèn)證方式����。BAS向客戶端發(fā)出PPPoE/PPP/EAP-Request/Identity的報(bào)文。
2�����、客戶端在收到BAS發(fā)送過來的報(bào)文之后���,通過讀卡器提供的函數(shù)從SIM卡獲得IMSI�����,按照特定的格式生成Identity�����,如IMSI@SIM�����,通過PPPoE/PPP/EAP-Response/Identity發(fā)送給BAS��。
3�、BAS將從客戶端收到的報(bào)文中的Identity解析出來,根據(jù)域名來判斷是否做透?jìng)鹘o后臺(tái)服務(wù)器處理�����,(要在BAS上做相應(yīng)的配置)�。如果是SIM卡的認(rèn)證方式,則封裝RADIUS/Access-Request/EAP-Message/EAP-Response/Identity的報(bào)文發(fā)送給RADIUS SERVER�。
4、RADIUS SRVER在收到BAS發(fā)送過來的報(bào)文之后���,根據(jù)用戶的IMSI從后臺(tái)的服務(wù)器里生成一組鑒權(quán)集(SRES��,RAND�,Kc),并封裝報(bào)文RADIUS/Access-Challenge/EAP-Message/EAP-Request/MD5-Challenge將RAND1發(fā)送給BAS����。該隨機(jī)數(shù)一般在找到IMSI對(duì)應(yīng)的合法用戶后產(chǎn)生,也可以在收到BAS發(fā)送過來的請(qǐng)求報(bào)文后產(chǎn)生���,該隨機(jī)數(shù)用來和用戶的Ki一起計(jì)算出SRES和Kc,RADIUS只會(huì)將RAND發(fā)送給設(shè)備����。
5、BAS在收到RADIUS SERVER發(fā)送過來的報(bào)文之后����,將其中的EAP報(bào)文進(jìn)行重封裝成PPPoE/PPP/EAP-Request/MD5-Challenge下發(fā)給客戶端。
6���、客戶端在收到BAS下發(fā)的報(bào)文之后��,會(huì)調(diào)用讀卡器提供的API��,將解析出的RADN1傳給SIM卡���,由SIM卡內(nèi)的算法程序根據(jù)內(nèi)置的共享秘鑰Ki和RAND1,依據(jù)A4算法得出SRES;依據(jù)A8算法得出Kc����。再將SRES填充成16字節(jié)(SERS為4字節(jié),而如果為MD5算法�,RESPONSE應(yīng)該為16字節(jié),所以可以在SRES的后面填充12字節(jié))���,同時(shí)讀出SIM卡的IMSI����,組合成一個(gè)用戶名如IMSI@SIM的格式���,由PPPoE/PPP/EAP-Response/MD5-Challenge報(bào)文發(fā)送給BAS����。
7���、BAS在收到客戶端發(fā)送過來的EAP報(bào)文之后��,剝離PPoE/PPP的頭��,將EAP報(bào)文封裝成RADIUS/Access-Request/EAP-Message/EAP-Response/MD5-Challenge報(bào)文��,傳給后臺(tái)的RADIUS SERVER進(jìn)行認(rèn)證�����。RADIUS SERVER在分析用戶的用戶名時(shí)����,根據(jù)域名判斷是否是SIM卡認(rèn)證的用戶,并解析出客戶端生成的SRES���,和后臺(tái)數(shù)據(jù)庫里的SRES進(jìn)行比較。如果一致����,表示該認(rèn)證用戶為合法用戶,向BAS回應(yīng)一個(gè)RADIUS/ACCESS-ACCEPT/EAP-Message/EAP-SUCCESS消息���,同時(shí)帶上一些標(biāo)準(zhǔn)的RADIUS屬性���,否則回應(yīng)一個(gè)RADIUS/ACCESS-REJECT/EAP-Message/EAP-FAILURE消息。
8����、BAS在收到RADIUS SERVER發(fā)送過來的報(bào)文之后��,如果是成功消息�,則向客戶端發(fā)送PPPoE/PPP/EAP-SUCCESS消息���,通知客戶端認(rèn)證已經(jīng)成功���,可以進(jìn)行下階段的工作,如進(jìn)行IPCP的過程��;否則則向客戶端發(fā)送PPPoE/PPP/EAP-FAILUE的消息����,告訴客戶端失敗,并且根據(jù)具體的策略決定是否啟動(dòng)下線的流程�����。
另外����,還可以802.1x實(shí)現(xiàn)標(biāo)準(zhǔn)EAP認(rèn)證流程,如圖7所示���。802.1x標(biāo)準(zhǔn)本身定義了需要實(shí)現(xiàn)標(biāo)準(zhǔn)的EAP流程��。SIM認(rèn)證作為EAP認(rèn)證的一種����,可以直接應(yīng)用于EAP認(rèn)證流程,所涉及的只是認(rèn)證客戶端和認(rèn)證服務(wù)器間端對(duì)端的交互�。因?yàn)?02.1x認(rèn)證是標(biāo)準(zhǔn)的EAP的應(yīng)用,所以不做詳細(xì)的解釋�����。
參考圖8����,WEB認(rèn)證實(shí)現(xiàn)EAP需要擴(kuò)充Portal協(xié)議,使用Portal協(xié)議來傳遞EAP的認(rèn)證報(bào)文���。
對(duì)EAP流程中的重傳處理客戶端的重傳在RFC2284中規(guī)定,客戶端的響應(yīng)是必須受到Authenticator的請(qǐng)求后才能夠發(fā)送(也必須發(fā)送)��,無須設(shè)置定時(shí)器重傳�����。重新發(fā)送的EAP請(qǐng)求報(bào)文通過報(bào)文中的Identifier來區(qū)分是否是重發(fā)的請(qǐng)求報(bào)文�。
BAS設(shè)備的重傳處理BAS設(shè)備作為Authenticator和RADIUS Client����,必須在兩個(gè)方向上實(shí)現(xiàn)請(qǐng)求報(bào)文的重發(fā)對(duì)認(rèn)證客戶端的報(bào)文重發(fā)和對(duì)RADIUSServer的報(bào)文重發(fā)��。
在RFC2869中關(guān)于報(bào)文重發(fā)的描述是因?yàn)锽AS設(shè)備是無法知道對(duì)EAP報(bào)文的重傳參數(shù)的��,所以可以通過session-Timeout(重傳超時(shí)時(shí)長(zhǎng))和Password-Retry(重傳最大次數(shù))屬性來實(shí)現(xiàn)對(duì)于EAP Request的重傳控制�����。如果RADIUS-Access-Challenge中同時(shí)有EAP-Message屬性和Session-Timeout屬性的話��,Session-Timeout用來控制BAS對(duì)EAP Request報(bào)文的重傳超時(shí)時(shí)長(zhǎng)(單位Second)��;報(bào)文中如果同時(shí)帶有Password-Retry屬性并沒有說明如何使用��,考慮是用來控制重傳的次數(shù)�。
Portal Server的重傳處理在WEB實(shí)現(xiàn)EAP認(rèn)證中,涉及到Portal Server對(duì)報(bào)文的重發(fā)�����??紤]Portal Server重發(fā)機(jī)制如下1)Portal-EAP-Start(在Portal協(xié)議中新定義)需要Portal Server實(shí)現(xiàn)重發(fā),在發(fā)送N次得不到響應(yīng)后�,認(rèn)為認(rèn)證失?�?;2)對(duì)于EAP的Response報(bào)文�����,重發(fā)機(jī)制和EAP規(guī)定的相同��,即在收到EAPRequest報(bào)文后再響應(yīng)����;3)Portal Server和認(rèn)證客戶端Applet有一個(gè)統(tǒng)一的關(guān)系,所有PortalServer對(duì)于EAP認(rèn)證的超時(shí)應(yīng)該是可知的���,由Portal Server自己控制對(duì)認(rèn)證的超時(shí)��;4)Portal Server和Applet間消息傳遞是實(shí)現(xiàn)相關(guān)的�����,由具體實(shí)現(xiàn)控制;5)Portal Server對(duì)于收到的EAP Request報(bào)文必須要回應(yīng)���。
權(quán)利要求
1.一種實(shí)現(xiàn)安全性認(rèn)證的IP網(wǎng)絡(luò)系統(tǒng)����,包括認(rèn)證鑒權(quán)服務(wù)器,通過IP網(wǎng)絡(luò)與該認(rèn)證鑒權(quán)服務(wù)器連接的接入服務(wù)器和客戶端��,其特征在于所述的客戶端還連接有讀卡裝置及用于該裝置的SIM卡����,所述客戶端通過應(yīng)用程序接口模塊驅(qū)動(dòng)所述讀卡裝置,經(jīng)讀卡裝置與所述SIM交互信息���,客戶端將SIM卡中的用戶信息傳送至接入服務(wù)器處理����,處理后的信息發(fā)送至所述的認(rèn)證鑒權(quán)服務(wù)器進(jìn)行認(rèn)證���。
2.如權(quán)利要求1所述的系統(tǒng)��,其特征在于還進(jìn)一步包括與所述接入服務(wù)器連接的認(rèn)證門戶服務(wù)器(Portal)服務(wù)器��,用于在采用Web方式認(rèn)證時(shí)提供認(rèn)證頁面��。
3.如權(quán)利要求1或2所述的系統(tǒng)����,其特征在于所述的讀卡裝置經(jīng)通用串行口(USB)與所述的客戶端連接。
4.一種在IP網(wǎng)絡(luò)上實(shí)現(xiàn)安全性認(rèn)證的方法����,其特征在于包括下述步驟A、服務(wù)器產(chǎn)生一個(gè)隨機(jī)數(shù)下發(fā)給客戶端�����;B�����、客戶端將所述隨機(jī)數(shù)傳送給SIM卡�,SIM卡依據(jù)該隨機(jī)數(shù)至少計(jì)算出SRES,同時(shí)讀出SIM卡的IMSI碼��,并將該SRES和IMSI碼傳送給客戶端����;C、客戶端將從SIM卡得到的信息發(fā)送給接入服務(wù)器��;D�����、接入服務(wù)器處理從客戶端得到的信息�����,向認(rèn)證鑒權(quán)服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息�����,并在該消息中至少包含所述的隨機(jī)數(shù)�、SRES和IMSI碼;E��、認(rèn)證鑒權(quán)服務(wù)器根據(jù)請(qǐng)求消息中IMSI碼判斷該用戶是否屬于SIM卡認(rèn)證的用戶���,如果判斷結(jié)果為否��,則回應(yīng)認(rèn)證失敗消息�����,轉(zhuǎn)步驟G����;F、如果步驟E的判斷結(jié)果為是����,認(rèn)證鑒權(quán)服務(wù)器則按照SIM卡中相應(yīng)的算法,利用所述隨機(jī)數(shù)計(jì)算出SRES�����,并比較該SRES與從請(qǐng)求消息中接收到的SERS是否一致����,如果一致,則給接入服務(wù)器回應(yīng)鑒權(quán)通過消息���,否則回應(yīng)鑒權(quán)失敗消息����;G����、接入服務(wù)器收到認(rèn)證鑒權(quán)服務(wù)器回應(yīng)消息后,根據(jù)鑒權(quán)結(jié)果向客戶端發(fā)送相應(yīng)的回應(yīng)消息�。
5.如權(quán)利要求4所述的方法,其特征在于對(duì)客戶端采用CHAP方式進(jìn)行認(rèn)證�����。
6.如權(quán)利要求4所述的方法,其特征在于對(duì)客戶端采用EAP方式進(jìn)行認(rèn)證�����,該認(rèn)證在步驟A之前還進(jìn)一步包括對(duì)客戶端的SIM卡進(jìn)行檢測(cè)��,檢測(cè)通過則繼續(xù)步驟A���,否則拒絕接入。
7.如權(quán)利要求6所述的方法�����,其特征在于所述檢測(cè)包括步驟a����、客戶端向接入服務(wù)器發(fā)送EAP開始請(qǐng)求b、接入服務(wù)器向請(qǐng)求接入的客戶端發(fā)送身份識(shí)別請(qǐng)求消息���;c���、客戶端通過讀卡器從SIM卡中得到IMSI碼和域名����,并組成特定的用戶名返回給接入服務(wù)器�����。
8.如權(quán)利要求6或7所述的方法�����,其特征在于通過重傳超時(shí)時(shí)長(zhǎng)和重傳最大次數(shù)屬性來實(shí)現(xiàn)對(duì)于EAP請(qǐng)求的重傳控制����。
9.如權(quán)利要求4所述的方法,其特征在于對(duì)客戶端采用WEB方式進(jìn)行認(rèn)證�。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)安全性認(rèn)證的IP網(wǎng)絡(luò)系統(tǒng)及其方法,該系統(tǒng)包括認(rèn)證鑒權(quán)服務(wù)器�,通過IP網(wǎng)絡(luò)與該認(rèn)證鑒權(quán)服務(wù)器連接的接入服務(wù)器和客戶端,以及與客戶端連接的讀卡裝置及用于該裝置的SIM卡��,所述SIM卡作為用戶身份識(shí)別�����。當(dāng)客戶端請(qǐng)求接入而進(jìn)行認(rèn)證時(shí)從SIM中獲取信息傳送至接入服務(wù)器處理����,處理后的信息發(fā)送至所述的認(rèn)證鑒權(quán)服務(wù)器進(jìn)行認(rèn)證���。本發(fā)明將SIM卡的安全性與Internet的開放性結(jié)合,實(shí)現(xiàn)了internet信用支付體系�,具有方便用戶移動(dòng)、降低運(yùn)營(yíng)成本和方便擴(kuò)展業(yè)務(wù)等優(yōu)點(diǎn)�����。
文檔編號(hào)H04L9/00GK1503525SQ0215319
公開日2004年6月9日 申請(qǐng)日期2002年11月26日 優(yōu)先權(quán)日2002年11月26日
發(fā)明者鄭志鵬, 顧勤豐, 高江海, 孔濤 申請(qǐng)人:華為技術(shù)有限公司