1 / 17

EAP-AKA

EAP-AKA. yliqiang@gmail.com 2005-10-23. EAP-AKA 简介. 用第三代移动通讯网络 (3G) 的认证和密匙协商机制 (Authentication and Key Agreement) 作为 EAP(Extensible Authentication Protocol ) 的一种认证方法。 AKA 基于对称密码学原理,通常运行在手机的 SIM 卡上 ,3G 中称为 USIM 。. EAP 简介.

jana
Download Presentation

EAP-AKA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. EAP-AKA yliqiang@gmail.com 2005-10-23

  2. EAP-AKA简介 • 用第三代移动通讯网络(3G)的认证和密匙协商机制 (Authentication and Key Agreement)作为EAP(Extensible Authentication Protocol )的一种认证方法。 • AKA基于对称密码学原理,通常运行在手机的SIM卡上,3G中称为USIM。

  3. EAP简介 • 可扩展认证协议(Extensible Authentication Protocol )起源于点对点协议(Point-to-Point Protocol,拨号上网就是用此协议)。PPP协议中有一认证环节,如PPP CHAP,就是用在这里。 • EAP也是PPP的一种认证协议,它没有指定具体的认证方法,而是提供了支持多种认证机制的认证框架。

  4. EAP简介 • EAP的优点: • EAP支持多种认证机制,可以由认证方在(authenticator)获得足够信息后选择用哪一种认证方法,而不需要预先协定。 • 认证方不需要为支持新的认证方法而经常升级,EAP允许使用一后台服务器,认证方可把全部或部分认证请求转发给后台服务器。

  5. EAP简介 • EAP除了用于PPP协议外,还可用于以太网、无线局域网(WLAN),IEEE 802.1X是EAP用于以太网的协定。现在大部分交换机、防火墙、无线AP都支持EAP。 • EAP由下面这些组件构成

  6. Method Layer IEEE 802.1X EAPOL Lower Layer Lower Layer Peer(被认证者) Pass-through Authenticator (认证者) Radius Protocol Authentication Server (认证服务器) AAA:Authentication(认证), Authorization (授权), and Accounting (记帐)

  7. AUTN USIM SQN⊕AK AMF MAC =? Generate SQN Generate RAND ⊕ Ki XMAC Ki AK SQN? Functions f5 f1 Functions f1 f5 f2 f3 f4 f2 f3 f4 RES CK IK MAC == XMAC SQN in the correct range Mobile Station 3GPP-AKA简介 Request Authentication Vectors AV IMSI IMSI RAND|XRES|CK|IK|AUTN RAND|AUTN AVi VLR/SGSN HE/HLR = Yes/No

  8. 3GPP-AKA简介 • 相对于GSM(2G)认证机制的增强 • 实现了用户和网络的双向认证,GSM中只能网络认证用户。 • 所使用的密匙(CK)长度增至128比特,增加了用于会话完整性保护的密匙(IK)。 • 3GPP2提供了基于SHA-1算法的AKA参考实现[S.S0055-A]。

  9. EAP-AKA认证流程 Peer Authenticator EAP-Request/Identity EAP-Response/Identity (Includes user's NAI) EAP-AKA Full authentication procedure Server runs AKA algorithms, Generates RAND and AUTN EAP-Request/AKA-Challenge (AT_RAND, AT_AUTN, AT_MAC) Peer runs AKA algorithms, verifies AUTN and MAC, derives RES and session key Server checks the given RES, and MAC and finds them correct. EAP-Response/AKA-Challenge (AT_RES, AT_MAC) EAP-Success

  10. EAP-AKA认证流程 • AT_MAC(Message Authentication Code)用来保护EAP数据包的完整性。 • EAP-AKA支持利用已得到的KEY进行快速重新认证。 • 支持用户身份的保密。

  11. EAP-AKA与其他几种认证方法的比较 • EAP-AKA与其他几种认证方法的比较

  12. EAP-AKA与其他几种认证方法的比较 • EAP-TLS基于非对称密码学原理(也称作PKI),智能卡实现成本高,系统实施复杂,主要用于网上银行,电子商务领域。 • EAP-AKA克服了EAP-SIM的已知缺陷,提供了足够的安全性。 • EAP-AKA给3G、WLAN、互联网提供了统一认证方法的可能。

  13. EAP-AKA实施 • 需求清单 • 3G USIM卡,PC/SC兼容的智能卡读卡器。(如:北京一零科技的ED10 USB智能卡读卡器) • 或者仅用北京一零科技的ED11 USB 智能卡读卡器,它内置了3GPP-AKA认证算法。 • 客户端,服务端软件。 • 认证服务器(Radius Server)。

  14. EAP-AKA实施 • 逻辑结构图 Smart card reader USIM NAS/ Radius client Supplicant Smart card Reader built-in AKA Radius/AAA protocol Radius Server 3G HE/HLR AKA module

  15. 参考 • [RFC draft] draft-arkko-pppext-eap-aka-15.txt • [TS 33.102] 3rd Generation Partnership Project 2, 3G Security; Security Architecture • [S.S0055-A] 3rd Generation Partnership Project 2, Enhanced Cryptographic Algorithms • [RFC 2284] PPP Extensible Authentication Protocol (EAP) • [RFC 3748] Extensible Authentication Protocol (EAP)

  16. 参考 • [RFC draft] draft-haverinen-pppext-eap-sim-16.txt • http://agsm.sourceforge.net/talk/eap-sim.ppt • [一零科技] http://detail.china.alibaba.com/ company/detail/yanglqateds.html

  17. 问题&讨论

More Related