Aaa加強(qiáng)加密認(rèn)證方法
【專利摘要】AAA加強(qiáng)加密認(rèn)證方法,它涉及一種認(rèn)證方法��,它的加密認(rèn)證流程如下:用戶接入NAS�����,NAS向RADIUS服務(wù)器使用Access-Request數(shù)據(jù)包提交用戶信息�,其中用戶密碼是經(jīng)過MD5加密的,雙方使用共享密鑰���;RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗���;如果合法���,給NAS返回Access-Accept數(shù)據(jù)包,允許用戶進(jìn)行下一步工作���,否則返回Access-Reject數(shù)據(jù)包��,拒絕用戶訪問��;如果允許訪問,NAS向RADIUS服務(wù)器提出計費請求Account-Request����,RADIUS服務(wù)器響應(yīng)Account-Accept,對用戶開始計費��,同時用戶可以進(jìn)行自己的相關(guān)操作���。它提高了移動互聯(lián)網(wǎng)領(lǐng)域AAA認(rèn)證的安全性����,降低了認(rèn)證被攻擊的風(fēng)險����。
【專利說明】AAA加強(qiáng)加密認(rèn)證方法
【技術(shù)領(lǐng)域】
:
[0001]本發(fā)明涉及一種認(rèn)證方法�,具體涉及一種AAA加強(qiáng)加密認(rèn)證方法����。
【背景技術(shù)】
:
[0002]AAA協(xié)議是認(rèn)證、授權(quán)和計費的簡稱�,這些一起實現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益����,又能保證網(wǎng)絡(luò)系統(tǒng)安全可靠的運行。
[0003]IETF的AAA協(xié)議主要是RADIUS協(xié)議����。它是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)的全面應(yīng)用。RADIUS以客戶/服務(wù)器模式工作���,實現(xiàn)了對遠(yuǎn)程撥號用戶的身份認(rèn)證�����、授權(quán)和計賬功能��。其客戶端多為網(wǎng)絡(luò)訪問服務(wù)器(NAS)����,主要負(fù)責(zé)把用戶信息傳遞給指定的RADIUS服務(wù)器,然后對返回的響應(yīng)進(jìn)行操作��;RADIUS服務(wù)器負(fù)責(zé)接收用戶連接請求���,認(rèn)證用戶身份�,然后返回客戶端為用戶提供服務(wù)所需的全部配置信息��。為保證傳輸?shù)陌踩?���,RADIUS客戶端及RADIUS服務(wù)器間的通信通過共享密鑰來進(jìn)行相互認(rèn)證�,這個共享密鑰不在網(wǎng)絡(luò)上發(fā)送。此夕卜�,在客戶端和服務(wù)器之間傳送的數(shù)據(jù)均以MD5方式加密,以消除有人在不安全網(wǎng)絡(luò)上竊聽�。RADIUS協(xié)議是一種基于UDP協(xié)議的上層協(xié)議。一般情況下�����,認(rèn)證服務(wù)的監(jiān)聽端口號為1812��,記賬服務(wù)的監(jiān)聽端口號為1813。
[0004]RADIUS協(xié)議在2000年6月成為正式RFC(RFC2865)����,隨后逐步完善和擴(kuò)展,成為AAA的首選協(xié)議�����。然而���,隨著網(wǎng)絡(luò)技術(shù)的不斷更新��,尤其是無線互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的快速發(fā)展�,RADIUS協(xié)議的缺點也顯現(xiàn)出來����。
[0005]由RADIUS協(xié)議采用的安全策略分析,它存在明顯的安全弱點:
[0006](I)基于用戶密碼(User-Password)屬性的共享密鑰攻擊:由于采用流加密(Stream-Cipher)技術(shù)來保護(hù)用戶密碼屬性���,因此攻擊者如果能觀察到網(wǎng)絡(luò)流量�����,就可以獲得有關(guān)共享密鑰的信息��,并嘗試認(rèn)證過程��。攻擊者可以用某個知道的密碼向客戶端發(fā)起認(rèn)證��,這樣就能捕獲客戶端發(fā)出的RADIUS接入請求包�����。通過捕獲的包進(jìn)行一定的計算��,就能使攻擊者對共享的密鑰發(fā)起離線的徹底攻擊���。
[0007](2)重放攻擊:RADIUS的所有報文沒有經(jīng)過加密����;Access_Request報文的Access Authenticator只是一個隨機(jī)數(shù),而不能算作鑒別碼�;因此RADIUS服務(wù)器并不能對Access-Request報文進(jìn)行鑒別����;協(xié)議雖然要求Access-Request報文的請求鑒別碼字段是不可預(yù)測的,并且在一段時間內(nèi)不能重復(fù)�,但RADIUS服務(wù)器并不對他的重復(fù)使用進(jìn)行檢查,所以可能導(dǎo)致重放攻擊�����。
【發(fā)明內(nèi)容】
:
[0008]本發(fā)明的目的是提供一種AAA加強(qiáng)加密認(rèn)證方法,它提高了移動互聯(lián)網(wǎng)領(lǐng)域AAA認(rèn)證的安全性��,降低了認(rèn)證被攻擊的風(fēng)險�����。
[0009]為了解決【背景技術(shù)】所存在的問題�,本發(fā)明是采用如下技術(shù)方案:它的認(rèn)證裝置包含移動終端1、V接入網(wǎng)關(guān)服務(wù)器2���、V認(rèn)證服務(wù)器3����,移動終端I通過APN與3G網(wǎng)絡(luò)連接���,3G網(wǎng)絡(luò)經(jīng)VPN加密隧道與V接入網(wǎng)關(guān)服務(wù)器2連接����,V接入網(wǎng)關(guān)服務(wù)器2通過網(wǎng)絡(luò)與V認(rèn)證服務(wù)器3連接�����。
[0010]它的加密認(rèn)證流程如下:用戶接入NAS,NAS向RADIUS服務(wù)器使用Access-Request數(shù)據(jù)包提交用戶信息��,其中用戶密碼是經(jīng)過MD5加密的�,雙方使用共享密鑰,這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播�����;RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗�����,必要時可以提出一個Challenge,要求進(jìn)一步對用戶認(rèn)證,也可以對NAS進(jìn)行類似的認(rèn)證����;如果合法,給NAS返回Access-Accept數(shù)據(jù)包,允許用戶進(jìn)行下一步工作,否則返回Access-Reject數(shù)據(jù)包,拒絕用戶訪問���;如果允許訪問����,NAS向RADIUS服務(wù)器提出計費請求Account-Request,RADIUS服務(wù)器響應(yīng)Account-Accept,對用戶開始計費���,同時用戶可以進(jìn)行自己的相關(guān)操作����。
[0011]本發(fā)明具有以下特點:
[0012]一����、客戶端/服務(wù)器結(jié)構(gòu);
[0013]二��、采用共享密鑰保證網(wǎng)絡(luò)傳輸安全性����;
[0014]三、良好的可擴(kuò)展性��;
[0015]四�����、認(rèn)證機(jī)制靈活�����。
[0016]本發(fā)明有如下有益效果:提高了移動互聯(lián)網(wǎng)領(lǐng)域AAA認(rèn)證的安全性����,降低認(rèn)證被攻擊的風(fēng)險��。
【專利附圖】
【附圖說明】
:
[0017]圖1為本發(fā)明的結(jié)構(gòu)示意圖��,
[0018]圖2為本發(fā)明的流程示意圖���。
【具體實施方式】
:
[0019]參看圖1-圖2,本【具體實施方式】采用如下技術(shù)方案:它的認(rèn)證裝置包含移動終端UV接入網(wǎng)關(guān)服務(wù)器2�����、V認(rèn)證服務(wù)器3�����,移動終端I通過APN與3G網(wǎng)絡(luò)連接����,3G網(wǎng)絡(luò)經(jīng)VPN加密隧道與V接入網(wǎng)關(guān)服務(wù)器2連接,V接入網(wǎng)關(guān)服務(wù)器2通過網(wǎng)絡(luò)與V認(rèn)證服務(wù)器3連接��。
[0020]它的加密認(rèn)證流程如下:用戶接入NAS�,NAS向RADIUS服務(wù)器使用Access-Request數(shù)據(jù)包提交用戶信息,其中用戶密碼是經(jīng)過MD5加密的�����,雙方使用共享密鑰���,這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播���;RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗,必要時可以提出一個Challenge,要求進(jìn)一步對用戶認(rèn)證,也可以對NAS進(jìn)行類似的認(rèn)證��;如果合法,給NAS返回Access-Accept數(shù)據(jù)包,允許用戶進(jìn)行下一步工作����,否則返回Access-Reject數(shù)據(jù)包,拒絕用戶訪問;如果允許訪問����,NAS向RADIUS服務(wù)器提出計費請求Account-Request, RADIUS服務(wù)器響應(yīng)Account-Accept,對用戶開始計費,同時用戶可以進(jìn)行自己的相關(guān)操作����。
[0021]本發(fā)明具有以下特點:
[0022]一、客戶端/服務(wù)器結(jié)構(gòu)����;
[0023]二、采用共享密鑰保證網(wǎng)絡(luò)傳輸安全性��;
[0024]三、良好的可擴(kuò)展性����;
[0025]四、認(rèn)證機(jī)制靈活��。
[0026]本【具體實施方式】解決了移動互聯(lián)網(wǎng)中的Radius認(rèn)證報文不加密帶來的安全缺陷�����,消除了 MD5協(xié)議本身的不安全性���;同時每次會話采用協(xié)商臨時密鑰的方法保證密鑰安全���。
[0027]本【具體實施方式】有如下有益效果:提高了移動互聯(lián)網(wǎng)領(lǐng)域AAA認(rèn)證的安全性,降低認(rèn)證被攻擊的風(fēng)險�����。
【權(quán)利要求】
1.AAA加強(qiáng)加密認(rèn)證方法�����,其特征在于它的認(rèn)證裝置包含移動終端(I)、V接入網(wǎng)關(guān)服務(wù)器⑵���、V認(rèn)證服務(wù)器⑶��,移動終端⑴通過APN與3G網(wǎng)絡(luò)連接��,3G網(wǎng)絡(luò)經(jīng)VPN加密隧道與V接入網(wǎng)關(guān)服務(wù)器(2)連接,V接入網(wǎng)關(guān)服務(wù)器(2)通過網(wǎng)絡(luò)與V認(rèn)證服務(wù)器(3)連接��。
2.AAA加強(qiáng)加密認(rèn)證方法�����,其特征在于它的加密認(rèn)證流程如下:用戶接入NAS���,NAS向RADIUS服務(wù)器使用Access-Request數(shù)據(jù)包提交用戶信息�����,其中用戶密碼是經(jīng)過MD5加密的�,雙方使用共享密鑰����,這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播;RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗,必要時可以提出一個Challenge�����,要求進(jìn)一步對用戶認(rèn)證��,也可以對NAS進(jìn)行類似的認(rèn)證�;如果合法,給NAS返回Access-Accept數(shù)據(jù)包,允許用戶進(jìn)行下一步工作,否則返回Access-Reject數(shù)據(jù)包����,拒絕用戶訪問;如果允許訪問�����,NAS向RADIUS服務(wù)器提出計費請求Account-Request, RADIUS服務(wù)器響應(yīng)Account-Accept,對用戶開始計費���,同時用戶可以進(jìn)行自己的相關(guān)操作�����。
【文檔編號】H04W12/06GK104184706SQ201310195880
【公開日】2014年12月3日 申請日期:2013年5月24日 優(yōu)先權(quán)日:2013年5月24日
【發(fā)明者】路剛 申請人:北京環(huán)亞瑞達(dá)科技有限公司