專利名稱:在無(wú)線環(huán)境中控制網(wǎng)絡(luò)訪問的方法及其記錄介質(zhì)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于在無(wú)線環(huán)境中控制對(duì)網(wǎng)絡(luò)的訪問和保護(hù)通信數(shù)據(jù)的方法����,具體涉及利用無(wú)線局域網(wǎng)(以下稱為WLAN)的終端驗(yàn)證和用戶驗(yàn)證的組合的訪問控制方法。
背景技術(shù):
一般�,WLAN是用無(wú)線電而不需要有線連接來(lái)在計(jì)算機(jī)之間和在一個(gè)計(jì)算機(jī)和此計(jì)算機(jī)之外的通信系統(tǒng)之間發(fā)送和接收數(shù)據(jù)的LAN,它利用電磁無(wú)線電波��、無(wú)線電和紅外線�����。WLAN伴隨著因特網(wǎng)業(yè)務(wù)和無(wú)線通信技術(shù)近來(lái)的快速進(jìn)步而得到發(fā)展。因?yàn)橐子诎惭b和維護(hù)WLAN����,因此它們?cè)絹?lái)越多地用在建筑物之間或在難于建立有線網(wǎng)絡(luò)的地方——諸如大型的辦公室或分發(fā)中心——的網(wǎng)絡(luò)連接。但是��,與有線網(wǎng)絡(luò)相比���,WLAN提供不良的安全性,因?yàn)槔碚撋先魏稳硕伎梢栽L問傳輸媒體�。
在這方面,存在大量的安全業(yè)務(wù)���,如加密����、訪問控制��、驗(yàn)證���、非拒絕(non-repudiation)�、認(rèn)可或完整性等���。所有這些內(nèi)容都重要�,但是驗(yàn)證功能在提供高質(zhì)量的通信業(yè)務(wù)方面尤其重要。在WLAN中�����,在加密和訪問控制之前首先執(zhí)行正確的驗(yàn)證�����。公共區(qū)域或企業(yè)需要對(duì)終端的驗(yàn)證以提供WLAN服務(wù)和對(duì)用戶收費(fèi)�����。但是��,在WLAN系統(tǒng)中�����,利用現(xiàn)有的有線等同保密(wiredequivalent privacy����,WEP)的用于驗(yàn)證的機(jī)制的安全功能對(duì)許多攻擊不起作用。
在傳統(tǒng)的IEEE802.11b系統(tǒng)中的驗(yàn)證機(jī)制被劃分成開放系統(tǒng)驗(yàn)證機(jī)制和共享密鑰驗(yàn)證機(jī)制。只有共享密鑰驗(yàn)證機(jī)制利用真正的密鑰執(zhí)行驗(yàn)證����。開放系統(tǒng)驗(yàn)證機(jī)制使用基于訪問點(diǎn)對(duì)于WLAN卡驗(yàn)證開放的空字符流。訪問點(diǎn)可以在無(wú)條件地驗(yàn)證所述卡裝置之后連接到WLAN卡裝置�����,即使所述卡裝置不提供準(zhǔn)確的驗(yàn)證信息��。在共享密鑰驗(yàn)證機(jī)制中���,通過(guò)利用在恢復(fù)通信前預(yù)定的共享密鑰的查問-應(yīng)答通信,在查問過(guò)程中由一個(gè)訪問點(diǎn)向WLAN卡給出的特定字符流在應(yīng)答過(guò)程中被編碼成預(yù)定的密鑰��。然后���,只有當(dāng)編碼的字符流通過(guò)了驗(yàn)證過(guò)程而獲得從WLAN卡向訪問點(diǎn)發(fā)送的驗(yàn)證信息的時(shí)候�,它才可以連接到一個(gè)訪問點(diǎn)��。
在IEEE802.11b系統(tǒng)中����,一個(gè)終端利用由媒體訪問控制(MAC)層提供的WEP來(lái)向一個(gè)訪問點(diǎn)驗(yàn)證它本身。為了通過(guò)改進(jìn)現(xiàn)有的驗(yàn)證機(jī)制而向一個(gè)訪問點(diǎn)驗(yàn)證一個(gè)終端�����,IEEE802.11a系統(tǒng)可以在等同于或優(yōu)于MAC層的IEEE802.1X環(huán)境中采用利用WEP的驗(yàn)證方法或限定驗(yàn)證協(xié)議的方法。
利用WEP的驗(yàn)證協(xié)議是基于利用用于查問和應(yīng)答過(guò)程的算法的查問-應(yīng)答方法���。在這個(gè)方法中���,當(dāng)一個(gè)終端利用共享的密鑰和WEP編碼在一個(gè)訪問點(diǎn)接收的查問并向訪問點(diǎn)發(fā)送編碼的時(shí)候,訪問點(diǎn)利用先前共享的密鑰來(lái)解碼所述查問�,因此驗(yàn)證了查詢者。但是使用WEP的驗(yàn)證協(xié)議對(duì)于在當(dāng)前的WEP算法上作出的攻擊根本不安全�����。
由IEEE802.11a系統(tǒng)提出的其他驗(yàn)證方法驗(yàn)證在等同或高于MAC層的水平上的終端�����。這種驗(yàn)證方法基于使用在IEEE802.1X環(huán)境中的可擴(kuò)展驗(yàn)證協(xié)議(EAP)的驗(yàn)證協(xié)議��,但是要求一個(gè)離散的驗(yàn)證協(xié)議以便在等同于或高于MAC層的水平上執(zhí)行驗(yàn)證�����。IEEE802.1X環(huán)境不限定一個(gè)離散的驗(yàn)證協(xié)議。
如果IEEE802.1X環(huán)境提出一個(gè)離散的驗(yàn)證協(xié)議���,則可以應(yīng)用所提出的離散驗(yàn)證協(xié)議來(lái)提供終端驗(yàn)證功能�����。但是���,按照基于終端驗(yàn)證的安全服務(wù),一個(gè)獲取一個(gè)終端的未經(jīng)授權(quán)的用戶可以訪問一個(gè)網(wǎng)絡(luò)��,雖然他或她不是所述終端的原所有者���。即,必須控制用戶對(duì)企業(yè)網(wǎng)絡(luò)和公共訪問服務(wù)的訪問����。
下一代的終端提供對(duì)幾個(gè)無(wú)線鏈路的訪問。當(dāng)在一個(gè)終端中進(jìn)行這些訪問的時(shí)候����,需要對(duì)于幾個(gè)無(wú)線訪問的驗(yàn)證。為了接收幾個(gè)無(wú)線訪問的相互交換服務(wù)���,終端必須支持對(duì)于相互無(wú)線訪問的驗(yàn)證���。為了實(shí)現(xiàn)這個(gè)方面�����,無(wú)線訪問技術(shù)要求一個(gè)獨(dú)立的機(jī)制�����。
為了驗(yàn)證用戶��,一種利用密碼的驗(yàn)證方法由于其使用的方便性而得到廣泛使用���。但是,利用密碼的一般驗(yàn)證系統(tǒng)對(duì)于用戶選擇密碼提供了低的自由度�����。當(dāng)選擇具有k比特大小的密碼并且k比特的每個(gè)的概率是0或1的概率是0.5的時(shí)候���,k比特密碼變成一個(gè)任意的隨機(jī)密鑰�����。要猜測(cè)所述隨機(jī)密鑰意味著要做出具有2k個(gè)隨機(jī)密碼候選者的一個(gè)列表�����。但是���,當(dāng)用戶選擇密碼的時(shí)候��,隨機(jī)的選擇幾乎是不可能的�,因此用戶易于受到離線密碼猜測(cè)攻擊�����。
發(fā)明內(nèi)容
為了解決上述和相關(guān)的問題�,本發(fā)明的一個(gè)目的是提供一種網(wǎng)絡(luò)訪問控制方法,通過(guò)在例如無(wú)線局域網(wǎng)服務(wù)中在要求驗(yàn)證的地方使用終端驗(yàn)證和用戶驗(yàn)證來(lái)作為控制經(jīng)由終端的網(wǎng)絡(luò)訪問���,所述網(wǎng)絡(luò)訪問控制方法與傳統(tǒng)的方法相比具有改進(jìn)的安全性,本發(fā)明也提供一種記錄介質(zhì)���,它存儲(chǔ)所述網(wǎng)絡(luò)訪問控制方法的軟件代碼�。
為了實(shí)現(xiàn)本發(fā)明的目的�����,提供了一種網(wǎng)絡(luò)訪問控制方法。在這種方法中�����,首先����,訪問點(diǎn)利用MAC-ID來(lái)完成對(duì)終端的驗(yàn)證。接著����,用戶向密碼驗(yàn)證客戶機(jī)輸入一個(gè)密碼。然后根據(jù)輸入的密碼執(zhí)行在密碼驗(yàn)證客戶機(jī)和驗(yàn)證服務(wù)器之間的驗(yàn)證��。其后�,如果通過(guò)了終端的驗(yàn)證和基于密碼的驗(yàn)證,則終端訪問外部/內(nèi)部網(wǎng)絡(luò)(如因特網(wǎng)/內(nèi)聯(lián)網(wǎng))�。否則,終端向用戶發(fā)出驗(yàn)證失敗的消息�����。
可以在IEEE802.1X環(huán)境中執(zhí)行終端驗(yàn)證�����。
如果用戶是終端的原所有者,則在用戶驗(yàn)證步驟之后和在密碼輸入步驟之前����,終端被分配了一個(gè)因特網(wǎng)協(xié)議(IP)地址,然后它從驗(yàn)證服務(wù)器下載密碼驗(yàn)證客戶機(jī)�。
在對(duì)密碼輸入步驟的準(zhǔn)備操作中,首先�,選擇一個(gè)任意大的質(zhì)數(shù)n并獲得對(duì)于模n的基本元素g,以便它們作為由終端和服務(wù)器共享的信息�����。然后����,用戶選擇他的或她的密碼P來(lái)計(jì)算密碼檢驗(yàn)符(verifier)v(v=gh(P))。接著���,用戶經(jīng)由一個(gè)安全的信道向驗(yàn)證服務(wù)器發(fā)送密碼檢驗(yàn)符的值�。在此�,h(·)表示單向散列函數(shù)�。
本發(fā)明涉及一種使得用戶可以通過(guò)“廣義的用戶驗(yàn)證”訪問一個(gè)網(wǎng)絡(luò)的方法����。廣義的驗(yàn)證可以考慮為包括通過(guò)驗(yàn)證由用戶使用的終端來(lái)控制用戶對(duì)網(wǎng)絡(luò)的訪問的方法和驗(yàn)證用戶的方法����。
通過(guò)終端驗(yàn)證控制用戶對(duì)網(wǎng)絡(luò)的訪問的方法在當(dāng)用戶具有諸如移動(dòng)電話的他或她專用的終端的情況下被執(zhí)行。顯然�,用戶的終端具有它唯一的標(biāo)識(shí)。所述網(wǎng)絡(luò)利用所述終端的標(biāo)識(shí)來(lái)驗(yàn)證裝置�����。在這種方法中�����,用戶可以輕易地訪問網(wǎng)絡(luò)而不用參加到驗(yàn)證處理中���。但是����,通過(guò)僅僅終端驗(yàn)證的網(wǎng)絡(luò)訪問控制導(dǎo)致了安全問題���。任何獲取所述終端的人都可以被允許通過(guò)終端驗(yàn)證來(lái)訪問網(wǎng)絡(luò)����。而且,所述終端驗(yàn)證基于終端的標(biāo)識(shí)����,因此它主要取決于終端的無(wú)線鏈路訪問技術(shù),不能使用其他的無(wú)線鏈路訪問技術(shù)�����。
另一方面���,用戶驗(yàn)證用于通過(guò)驗(yàn)證用戶而不管用戶使用的是哪個(gè)終端來(lái)控制用戶對(duì)網(wǎng)絡(luò)的訪問�。這個(gè)用戶驗(yàn)證的缺點(diǎn)在于���,用戶必須經(jīng)歷驗(yàn)證過(guò)程�����。但是���,用戶驗(yàn)證的重要性在于直接驗(yàn)證了在網(wǎng)絡(luò)中實(shí)際工作的用戶。在用戶驗(yàn)證中,可以驗(yàn)證用戶而不管終端和無(wú)線鏈接訪問技術(shù)如何����。本發(fā)明的特征在于用戶驗(yàn)證是基于用戶已知的密碼�。而且,可以在用戶一級(jí)輕易地控制網(wǎng)絡(luò)訪問��。
通過(guò)參照附圖詳細(xì)說(shuō)明本發(fā)明的優(yōu)選實(shí)施例��,本發(fā)明的上述目的和優(yōu)點(diǎn)將會(huì)變得更加清楚���,其中圖1是圖解按照本發(fā)明的網(wǎng)絡(luò)訪問控制方法的方框圖�����;圖2是圖解按照本發(fā)明的網(wǎng)絡(luò)訪問控制方法的流程圖�����。
具體實(shí)施例方式
以下����,參照附圖來(lái)更全面地說(shuō)明本發(fā)明��,附圖中示出了本發(fā)明的一個(gè)優(yōu)選實(shí)施例。但是本發(fā)明可以以不同的形式體現(xiàn)��,不能被解釋為限于在此提供的實(shí)施例�。實(shí)施例的給出使得本公開更徹底和完整,將本發(fā)明的范圍更全面地提供給本領(lǐng)域的技術(shù)人員����。
關(guān)于用戶驗(yàn)證,本發(fā)明包括驗(yàn)證用戶擁有的終端的步驟和使用用戶知道的密碼驗(yàn)證用戶的步驟�。而且,按照本發(fā)明對(duì)于用戶驗(yàn)證需要作為行為主體的在網(wǎng)絡(luò)中存在的終端����、訪問點(diǎn)和驗(yàn)證服務(wù)器。圖1示出了WLAN環(huán)境的組成����。
參見圖1,終端100a和100b分別具有MAC協(xié)議堆棧10a和10b(如IEEE802.11)�����,并在第二層上具有結(jié)構(gòu)20a和20b(如IEEE802.X)�。MAC協(xié)議堆棧10a和10b能夠訪問無(wú)線鏈路,結(jié)構(gòu)20a和20b使得能夠驗(yàn)證終端����。終端100a和100b包括處理器(未示出)��,用于從用戶接收密碼和處理所接收的密碼��。終端100a和訪問點(diǎn)120a構(gòu)成第一無(wú)線網(wǎng)絡(luò)���,終端100b和訪問點(diǎn)120b構(gòu)成第二無(wú)線網(wǎng)絡(luò)��。終端100a和100b未經(jīng)訪問點(diǎn)120a和120b驗(yàn)證不能訪問在有線網(wǎng)絡(luò)中的一個(gè)主機(jī)���。訪問點(diǎn)120a和120b處理終端100a和100b的分組的方式根據(jù)在哪里執(zhí)行驗(yàn)證而不同���。例如,在IEEE802.1X環(huán)境中�,由終端100a和100b發(fā)送的驗(yàn)證相關(guān)的分組被發(fā)送到在有線網(wǎng)絡(luò)中的驗(yàn)證服務(wù)器140而未經(jīng)訪問點(diǎn)120a和120b的驗(yàn)證。
訪問點(diǎn)120a和120b被通過(guò)無(wú)線要求訪問有線網(wǎng)絡(luò)�����,并使用本發(fā)明所用的密碼來(lái)向有線網(wǎng)絡(luò)中的驗(yàn)證服務(wù)器140發(fā)送驗(yàn)證相關(guān)的分組而不經(jīng)過(guò)任何處理����。在IEEE802.1X環(huán)境中,訪問點(diǎn)可以簡(jiǎn)單地執(zhí)行驗(yàn)證服務(wù)器功能,或可以當(dāng)在LAN中的驗(yàn)證服務(wù)器被指派執(zhí)行本地驗(yàn)證功能的同時(shí)向驗(yàn)證服務(wù)器140發(fā)送驗(yàn)證相關(guān)的分組�����。
驗(yàn)證服務(wù)器140處理由終端100a和100b要求的驗(yàn)證消息�����,并存儲(chǔ)來(lái)自終端100a和100b的會(huì)話信息�,利用所述會(huì)話信息可以對(duì)用戶收費(fèi)。即����,驗(yàn)證服務(wù)器140具有關(guān)于用戶的個(gè)人信息并記錄用戶使用的服務(wù)內(nèi)容的信息。
附圖標(biāo)記150表示一個(gè)門戶��。
使用密碼驗(yàn)證用戶所需要的基本操作和參數(shù)如下n任意大的質(zhì)數(shù)g模n的基本元素P用戶的密碼A��,B分別表示用戶和驗(yàn)證服務(wù)器的字符v存儲(chǔ)在驗(yàn)證服務(wù)器中的密碼檢驗(yàn)符xA��,xB分別是用戶終端和驗(yàn)證服務(wù)器的任意專用密鑰yA�,yB分別是用戶終端和驗(yàn)證服務(wù)器的任意公用密鑰。在此�,yA=gxA,yB=gxB(其中xA和yA的使用分別與專用密鑰和公用密鑰的使用略有不同����,它們被用于一個(gè)一般公用密鑰編碼系統(tǒng)中)���。
cA用戶終端的混雜者(confounder)。一般將一個(gè)長(zhǎng)的隨機(jī)值選擇作為cA�。
h(·)單向散列函數(shù)Ex(·)對(duì)稱密鑰編碼算法,其中x被用做專用密鑰����。因?yàn)閤可以具有任意的長(zhǎng)度,因此諸如Blowfish[Sch93]的具有可變大小的編碼算法可以被用于安全���,也可以使用由美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)(U.S.National Institute ofStandard and Technology)新建立作為塊編碼算法標(biāo)準(zhǔn)的先進(jìn)加密標(biāo)準(zhǔn)(AES)。
K由用戶和驗(yàn)證服務(wù)器共享的會(huì)話密鑰��,可以被用于后面的加密通信���。
參見圖2�����,按照本發(fā)明的控制用戶對(duì)網(wǎng)絡(luò)的訪問的方法包括兩個(gè)步驟�。首先����,執(zhí)行對(duì)于終端的驗(yàn)證��。接著���,在步驟300,利用密碼執(zhí)行對(duì)終端的用戶的驗(yàn)證�。對(duì)使用密碼的終端的用戶的驗(yàn)證在隨后在步驟200的準(zhǔn)備操作后被執(zhí)行。
首先���,通過(guò)選擇任意大的質(zhì)數(shù)n來(lái)獲得對(duì)于模n的基本元素g���。在此,n和g對(duì)應(yīng)于由用戶終端和驗(yàn)證服務(wù)器共享的信息�。
接著,用戶選擇他或她的密碼P并計(jì)算密碼檢驗(yàn)符v=gh(P)��。如上所述�����,h(·)是單向散列函數(shù)��。
其后�,用戶通過(guò)一個(gè)安全信道向驗(yàn)證服務(wù)器發(fā)送密碼檢驗(yàn)符的值���。
現(xiàn)在說(shuō)明這樣的一個(gè)處理,其中用戶第一次獲取一個(gè)終端并獲得來(lái)自驗(yàn)證服務(wù)器的驗(yàn)證�����。如果用戶不是在某個(gè)域中的第一個(gè)用戶���,則可以省略在用于網(wǎng)絡(luò)訪問的步驟300中的第四個(gè)子步驟���。
在第一子步驟中,利用在IEEE802.1X中的MAC-ID來(lái)完成終端的驗(yàn)證���。
在第二子步驟中,利用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器等來(lái)分配因特網(wǎng)協(xié)議(IP)地址����。
在第三子步驟中,驗(yàn)證服務(wù)器的地址被獲得�����。
在第四子步驟中��,驗(yàn)證服務(wù)器下載密碼驗(yàn)證客戶機(jī)。
在第五子步驟中��,用戶向密碼驗(yàn)證客戶機(jī)輸入他或她的密碼��。
在第六子步驟中��,在輸入的密碼的基礎(chǔ)上完成在密碼驗(yàn)證客戶機(jī)和驗(yàn)證服務(wù)器之間的驗(yàn)證����。
在第七子步驟中,終端在通過(guò)驗(yàn)證之后訪問一個(gè)外部/內(nèi)部網(wǎng)絡(luò)�,諸如因特網(wǎng)/內(nèi)聯(lián)網(wǎng)。
其后��,將更詳細(xì)地說(shuō)明步驟300(網(wǎng)絡(luò)訪問)的第六子步驟����。必須在用于驗(yàn)證的第六子步驟之前執(zhí)行步驟200(密碼注冊(cè)和準(zhǔn)備操作)。
在第六子步驟中�,首先,密碼驗(yàn)證客戶機(jī)根據(jù)輸入的密碼P來(lái)計(jì)算密碼檢驗(yàn)符v=gh(P)���。
第二�,密碼驗(yàn)證客戶機(jī)產(chǎn)生三個(gè)隨機(jī)值xA����、cA和r����。
第三����,利用所產(chǎn)生的隨機(jī)值來(lái)計(jì)算yA=gxA和z1=h(yA,v�,cA)。
第四���,密碼驗(yàn)證客戶機(jī)經(jīng)由一個(gè)訪問點(diǎn)向驗(yàn)證服務(wù)器發(fā)送值z(mì)1�����、yA和r����。
第五��,驗(yàn)證服務(wù)器存儲(chǔ)所接收的值z(mì)1和yA并產(chǎn)生一個(gè)隨機(jī)值來(lái)計(jì)算yB=gxB�。
第六�����,驗(yàn)證服務(wù)器根據(jù)所接收的值yA和r計(jì)算一個(gè)會(huì)話密鑰K=y(tǒng)AxB和h=h1(r,v����,K)。
第七����,驗(yàn)證服務(wù)器向密碼驗(yàn)證客戶機(jī)發(fā)送一個(gè)消息z=Ev(yB,h1)���,其中由一個(gè)對(duì)稱密鑰編碼系統(tǒng)利用從用戶的密碼檢驗(yàn)符v產(chǎn)生的密鑰來(lái)編碼驗(yàn)證服務(wù)器的公用密鑰yB和所計(jì)算的值h1���。在此,所要求的密鑰的長(zhǎng)度按照所使用的對(duì)稱密鑰編碼系統(tǒng)而不同�,但是由密碼檢驗(yàn)符要求的密鑰的長(zhǎng)度可以從最高有效位(MSB)開始。
第八���,密碼驗(yàn)證客戶機(jī)利用對(duì)稱密鑰編碼系統(tǒng)根據(jù)從用戶的密碼檢驗(yàn)符v產(chǎn)生的解碼密鑰來(lái)解碼所接收的編碼消息z2���,并計(jì)算和存儲(chǔ)會(huì)話密鑰K=y(tǒng)BxA。其后,密碼驗(yàn)證客戶機(jī)利用所計(jì)算的會(huì)話密鑰計(jì)算h`=h(r��,v���,K)��,并查看是否所計(jì)算的h`等于所接收的值h1���。如果它們不相等,則密碼驗(yàn)證客戶機(jī)停止與驗(yàn)證服務(wù)器的消息交換�。
第九,如果h`和h1相等����,則密碼驗(yàn)證客戶機(jī)向驗(yàn)證服務(wù)器發(fā)送一個(gè)消息z3=EyB(cA,K)����,其中根據(jù)從驗(yàn)證服務(wù)器公用密鑰yB產(chǎn)生的密鑰來(lái)編碼K=y(tǒng)BxA和cA。按照所使用的對(duì)稱密鑰編碼系統(tǒng)來(lái)獲得從yB的MSB開始的要求的密鑰長(zhǎng)度��。
第十�,驗(yàn)證服務(wù)器利用從yB產(chǎn)生的密鑰解碼所接收的z3,并查看是否K=y(tǒng)BxA等于K=y(tǒng)AxB����。如果它們不同,則驗(yàn)證服務(wù)器停止與用戶驗(yàn)證客戶機(jī)的消息交換���。如果K=y(tǒng)BxA等于K=y(tǒng)AxB�,則驗(yàn)證服務(wù)器根據(jù)在第五步驟存儲(chǔ)的yA和解碼的cA計(jì)算值h``(=h(yA��,v�,cA)),并查看是否h``等于z1�。如果它們相同,則驗(yàn)證服務(wù)器向密碼客戶機(jī)發(fā)送用戶驗(yàn)證成功消息���。如果它們不同�����,則驗(yàn)證服務(wù)器向密碼客戶機(jī)發(fā)送用戶驗(yàn)證失敗消息�。
在完成密碼驗(yàn)證客戶機(jī)和驗(yàn)證服務(wù)器之間的驗(yàn)證之后����,由用戶和驗(yàn)證服務(wù)器共享使能加密通信的新的離散信息。
如上所述��,在WLAN環(huán)境中可以利用密碼來(lái)驗(yàn)證用戶。無(wú)論是幾個(gè)無(wú)線訪問����,也可以驗(yàn)證用戶,以便即使終端在多個(gè)網(wǎng)絡(luò)上漫游的時(shí)候也可以驗(yàn)證它����。
使用密碼來(lái)取代利用媒體訪問控制標(biāo)識(shí)(MAC-ID)的管理使得用戶一級(jí)的管理成為可能,可以提供技術(shù)間的切換功能��。不用公用密鑰基礎(chǔ)結(jié)構(gòu)(PKI)的相互驗(yàn)證是可能的���。因特網(wǎng)密鑰交換(IKE)——在IP安全(IPSec)中使用的驗(yàn)證協(xié)議——必須取決于PKI等以便驗(yàn)證對(duì)方����。但是��,本發(fā)明使用了一種依賴于密碼的驗(yàn)證方法�,因此可以不用PKI輕易地建立驗(yàn)證系統(tǒng)。
按照本發(fā)明��,有可能查看是否一個(gè)用戶具有與驗(yàn)證服務(wù)器相同的密鑰��。工作在利用一般密碼的傳統(tǒng)系統(tǒng)中通信數(shù)據(jù)可以防護(hù)密碼的攻擊����。終端的驗(yàn)證和用戶的驗(yàn)證被獨(dú)立進(jìn)行�����。共享的保密信息——利用它來(lái)在驗(yàn)證后執(zhí)行編碼通信——被提供。在一個(gè)會(huì)話中已知的密鑰不包括在其他會(huì)話中使用的密鑰的信息�。驗(yàn)證被有效地執(zhí)行。
按照本發(fā)明的用于在用戶和驗(yàn)證服務(wù)器之間的相互驗(yàn)證和密鑰交換的協(xié)議主要執(zhí)行一個(gè)散列函數(shù)和一個(gè)對(duì)稱編碼算法��,除了當(dāng)每個(gè)主機(jī)執(zhí)行一次模塊化的取冪以獲得Diffe-Hellman密鑰交換的時(shí)候�。因此,可以實(shí)現(xiàn)快速的驗(yàn)證和密鑰交換����。
權(quán)利要求
1.一種在無(wú)線環(huán)境中的網(wǎng)絡(luò)訪問控制方法,所述方法包括a)訪問點(diǎn)利用MAC-ID來(lái)完成對(duì)終端的驗(yàn)證�����;b)用戶向密碼驗(yàn)證客戶機(jī)輸入一個(gè)密碼���;c)根據(jù)輸入的密碼執(zhí)行在密碼驗(yàn)證客戶機(jī)和驗(yàn)證服務(wù)器之間的驗(yàn)證��;d)如果通過(guò)了步驟a)中的驗(yàn)證和步驟c)中的驗(yàn)證��,則終端訪問外部/內(nèi)部網(wǎng)絡(luò)(如因特網(wǎng)/內(nèi)聯(lián)網(wǎng))�����,否則��,終端向用戶發(fā)出驗(yàn)證失敗的消息����。
2.按照權(quán)利要求1的網(wǎng)絡(luò)訪問控制方法,其中步驟a)在IEEE802.1X環(huán)境中被執(zhí)行����。
3.按照權(quán)利要求1的網(wǎng)絡(luò)訪問控制方法,如果用戶是終端的原所有者�����,則在步驟a)和b)之間還包括���,終端被分配了一個(gè)因特網(wǎng)協(xié)議(IP)地址并從驗(yàn)證服務(wù)器下載密碼驗(yàn)證客戶機(jī)��。
4.按照權(quán)利要求1的網(wǎng)絡(luò)訪問控制方法�,還包括下列步驟作為步驟b)的準(zhǔn)備操作b-1)選擇一個(gè)任意大的質(zhì)數(shù)n并獲得對(duì)于模n的基本元素g�����,大的質(zhì)數(shù)n和基本元素g對(duì)應(yīng)與由終端和驗(yàn)證服務(wù)器共享的信息;b-2)用戶選擇他的或她的密碼P來(lái)計(jì)算密碼檢驗(yàn)符v=gh(P)���;b-3)用戶經(jīng)由一個(gè)安全的信道向驗(yàn)證服務(wù)器發(fā)送密碼檢驗(yàn)符的值�����,其中h(·)表示單向散列函數(shù)。
5.按照權(quán)利要求1的網(wǎng)絡(luò)訪問控制方法��,其中步驟c)包括c-1)密碼驗(yàn)證客戶機(jī)根據(jù)輸入的密碼P來(lái)計(jì)算密碼檢驗(yàn)符v=gh(P)并存儲(chǔ)結(jié)果��;c-2)密碼驗(yàn)證客戶機(jī)產(chǎn)生三個(gè)隨機(jī)值����,即,終端的密鑰xA���、終端的混雜者(confounder)cA和任意值r��,并利用所產(chǎn)生的隨機(jī)值來(lái)計(jì)算終端的公用密鑰yA=gxA和z1=h(yA���,v��,cA)���;c-3)密碼驗(yàn)證客戶機(jī)經(jīng)由訪問點(diǎn)向驗(yàn)證服務(wù)器發(fā)送所計(jì)算的值z(mì)1和yA和任意值r;c-4)驗(yàn)證服務(wù)器存儲(chǔ)所接收的值z(mì)1和yA并產(chǎn)生驗(yàn)證服務(wù)器的密鑰xB來(lái)計(jì)算驗(yàn)證服務(wù)器的公用密鑰��,yB=gxB�;c-5)驗(yàn)證服務(wù)器根據(jù)所接收的值yA和r計(jì)算一個(gè)會(huì)話密鑰K=y(tǒng)AxB和值h1=h(r,v��,K)�����;c-6)驗(yàn)證服務(wù)器向密碼驗(yàn)證客戶機(jī)發(fā)送一個(gè)消息z2=Ev(yB�,h1),其中由一個(gè)對(duì)稱密鑰編碼系統(tǒng)利用從用戶的密碼檢驗(yàn)符v產(chǎn)生的密鑰來(lái)編碼驗(yàn)證服務(wù)器的公用密鑰yB和所計(jì)算的值h1���;c-7)密碼驗(yàn)證客戶機(jī)利用對(duì)稱密鑰編碼系統(tǒng)根據(jù)從用戶的密碼檢驗(yàn)符v產(chǎn)生的解碼密鑰來(lái)解碼所接收的編碼消息z2�����,并計(jì)算和存儲(chǔ)會(huì)話密鑰K=y(tǒng)BxA����,并利用所計(jì)算的會(huì)話密鑰計(jì)算h`=h(r,v���,K)����,解碼所計(jì)算的h`��,并查看是否所解碼的h`等于所接收的值h1��;c-8)如果h`和h1不相等����,則密碼驗(yàn)證客戶機(jī)停止與驗(yàn)證服務(wù)器的消息交換����,如果h`和h1相等,則密碼驗(yàn)證客戶機(jī)向驗(yàn)證服務(wù)器發(fā)送一個(gè)消息z3=EyB(cA�����,K)���,其中根據(jù)從驗(yàn)證服務(wù)器公用密鑰yB產(chǎn)生的密鑰來(lái)編碼K=y(tǒng)BxA和cA�����;c-9)驗(yàn)證服務(wù)器利用從yB產(chǎn)生的密鑰解碼所接收的值z(mì)3��,并且如果K=y(tǒng)BxA不等于K=y(tǒng)AxB���,則停止與用戶驗(yàn)證客戶機(jī)的消息交換��,否則�,根據(jù)在步驟c-4)存儲(chǔ)的yA和解碼的cA計(jì)算值h``=h(yA�,v,cA)����,并查看是否h``等于z1;c-10)如果h``等于z1��,則驗(yàn)證服務(wù)器向密碼客戶機(jī)通過(guò)用戶驗(yàn)證�,否則不通過(guò)用戶驗(yàn)證,其中Ex(·)表示使用x作為密鑰的對(duì)稱密鑰編碼算法�����。
6.一種計(jì)算機(jī)可讀記錄介質(zhì),存儲(chǔ)用于執(zhí)行權(quán)利要求1的方法的計(jì)算機(jī)程序����。
7.一種計(jì)算機(jī)可讀記錄介質(zhì),存儲(chǔ)用于執(zhí)行權(quán)利要求2的方法的計(jì)算機(jī)程序�����。
8.一種計(jì)算機(jī)可讀記錄介質(zhì)���,存儲(chǔ)用于執(zhí)行權(quán)利要求3的方法的計(jì)算機(jī)程序����。
9.一種計(jì)算機(jī)可讀記錄介質(zhì)�����,存儲(chǔ)用于執(zhí)行權(quán)利要求4的方法的計(jì)算機(jī)程序���。
10.一種計(jì)算機(jī)可讀記錄介質(zhì),存儲(chǔ)用于執(zhí)行權(quán)利要求5的方法的計(jì)算機(jī)程序�。
全文摘要
本發(fā)明提供了在無(wú)線環(huán)境中的一種網(wǎng)絡(luò)訪問控制方法。在這個(gè)方法中��,首先,訪問點(diǎn)利用MAC-ID來(lái)完成對(duì)終端的驗(yàn)證����。接著,用戶向密碼驗(yàn)證客戶機(jī)輸入一個(gè)密碼�。然后根據(jù)輸入的密碼執(zhí)行在密碼驗(yàn)證客戶機(jī)和驗(yàn)證服務(wù)器之間的驗(yàn)證。其后�,如果通過(guò)了終端的驗(yàn)證和基于密碼的驗(yàn)證,則終端訪問外部/內(nèi)部網(wǎng)絡(luò)(如因特網(wǎng)/內(nèi)聯(lián)網(wǎng))��。否則���,終端向用戶發(fā)出驗(yàn)證失敗的消息���。
文檔編號(hào)G06F21/20GK1445963SQ0310444
公開日2003年10月1日 申請(qǐng)日期2003年2月14日 優(yōu)先權(quán)日2002年3月16日
發(fā)明者李炅熙 申請(qǐng)人:三星電子株式會(huì)社