eap aka l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
EAP-AKA PowerPoint Presentation
Download Presentation
EAP-AKA

Loading in 2 Seconds...

play fullscreen
1 / 17

EAP-AKA - PowerPoint PPT Presentation


  • 998 Views
  • Uploaded on

EAP-AKA. yliqiang@gmail.com 2005-10-23. EAP-AKA 简介. 用第三代移动通讯网络 (3G) 的认证和密匙协商机制 (Authentication and Key Agreement) 作为 EAP(Extensible Authentication Protocol ) 的一种认证方法。 AKA 基于对称密码学原理,通常运行在手机的 SIM 卡上 ,3G 中称为 USIM 。. EAP 简介.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'EAP-AKA' - jana


Download Now An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
eap aka

EAP-AKA

yliqiang@gmail.com

2005-10-23

eap aka2
EAP-AKA简介
  • 用第三代移动通讯网络(3G)的认证和密匙协商机制 (Authentication and Key Agreement)作为EAP(Extensible Authentication Protocol )的一种认证方法。
  • AKA基于对称密码学原理,通常运行在手机的SIM卡上,3G中称为USIM。
slide3
EAP简介
  • 可扩展认证协议(Extensible Authentication Protocol )起源于点对点协议(Point-to-Point Protocol,拨号上网就是用此协议)。PPP协议中有一认证环节,如PPP CHAP,就是用在这里。
  • EAP也是PPP的一种认证协议,它没有指定具体的认证方法,而是提供了支持多种认证机制的认证框架。
slide4
EAP简介
  • EAP的优点:
    • EAP支持多种认证机制,可以由认证方在(authenticator)获得足够信息后选择用哪一种认证方法,而不需要预先协定。
    • 认证方不需要为支持新的认证方法而经常升级,EAP允许使用一后台服务器,认证方可把全部或部分认证请求转发给后台服务器。
slide5
EAP简介
  • EAP除了用于PPP协议外,还可用于以太网、无线局域网(WLAN),IEEE 802.1X是EAP用于以太网的协定。现在大部分交换机、防火墙、无线AP都支持EAP。
  • EAP由下面这些组件构成
slide6

Method Layer

IEEE 802.1X EAPOL

Lower Layer

Lower Layer

Peer(被认证者)

Pass-through Authenticator (认证者)

Radius Protocol

Authentication Server

(认证服务器)

AAA:Authentication(认证), Authorization (授权), and Accounting (记帐)

3gpp aka

AUTN

USIM

SQN⊕AK

AMF

MAC

=?

Generate

SQN

Generate

RAND

Ki

XMAC

Ki

AK

SQN?

Functions

f5

f1

Functions

f1

f5

f2

f3

f4

f2

f3

f4

RES

CK

IK

MAC == XMAC

SQN in the correct range

Mobile Station

3GPP-AKA简介

Request

Authentication

Vectors AV

IMSI

IMSI

RAND|XRES|CK|IK|AUTN

RAND|AUTN

AVi

VLR/SGSN

HE/HLR

=

Yes/No

3gpp aka8
3GPP-AKA简介
  • 相对于GSM(2G)认证机制的增强
    • 实现了用户和网络的双向认证,GSM中只能网络认证用户。
    • 所使用的密匙(CK)长度增至128比特,增加了用于会话完整性保护的密匙(IK)。
    • 3GPP2提供了基于SHA-1算法的AKA参考实现[S.S0055-A]。
eap aka9
EAP-AKA认证流程

Peer

Authenticator

EAP-Request/Identity

EAP-Response/Identity

(Includes user's NAI)

EAP-AKA

Full

authentication

procedure

Server runs AKA algorithms,

Generates RAND and AUTN

EAP-Request/AKA-Challenge

(AT_RAND, AT_AUTN, AT_MAC)

Peer runs AKA algorithms,

verifies AUTN and MAC,

derives RES and session key

Server checks the given RES,

and MAC and finds them correct.

EAP-Response/AKA-Challenge

(AT_RES, AT_MAC)

EAP-Success

eap aka10
EAP-AKA认证流程
  • AT_MAC(Message Authentication Code)用来保护EAP数据包的完整性。
  • EAP-AKA支持利用已得到的KEY进行快速重新认证。
  • 支持用户身份的保密。
eap aka11
EAP-AKA与其他几种认证方法的比较
  • EAP-AKA与其他几种认证方法的比较
eap aka12
EAP-AKA与其他几种认证方法的比较
  • EAP-TLS基于非对称密码学原理(也称作PKI),智能卡实现成本高,系统实施复杂,主要用于网上银行,电子商务领域。
  • EAP-AKA克服了EAP-SIM的已知缺陷,提供了足够的安全性。
  • EAP-AKA给3G、WLAN、互联网提供了统一认证方法的可能。
eap aka13
EAP-AKA实施
  • 需求清单
    • 3G USIM卡,PC/SC兼容的智能卡读卡器。(如:北京一零科技的ED10 USB智能卡读卡器)
    • 或者仅用北京一零科技的ED11 USB 智能卡读卡器,它内置了3GPP-AKA认证算法。
    • 客户端,服务端软件。
    • 认证服务器(Radius Server)。
eap aka14
EAP-AKA实施
  • 逻辑结构图

Smart card

reader

USIM

NAS/

Radius client

Supplicant

Smart card

Reader built-in AKA

Radius/AAA protocol

Radius Server

3G HE/HLR

AKA module

slide15
参考
  • [RFC draft] draft-arkko-pppext-eap-aka-15.txt
  • [TS 33.102] 3rd Generation Partnership Project 2, 3G Security; Security Architecture
  • [S.S0055-A] 3rd Generation Partnership Project 2, Enhanced Cryptographic Algorithms
  • [RFC 2284] PPP Extensible Authentication Protocol (EAP)
  • [RFC 3748] Extensible Authentication Protocol (EAP)
slide16
参考
  • [RFC draft] draft-haverinen-pppext-eap-sim-16.txt
  • http://agsm.sourceforge.net/talk/eap-sim.ppt
  • [一零科技] http://detail.china.alibaba.com/ company/detail/yanglqateds.html