EAP-AKA 在网络游戏身份认证中的应用

1、EAP-AKAyliqiang2005-10-23EAP-AKA简介用第三代移动通讯网络(3G)的认证和密匙协商机制 (Authentication and Key Agreement)作为EAP(Extensible Authentication Protocol )的一种认证方法。AKA基于对称密码学原理，通常运行在手机的SIM卡上,3G中称为USIM。EAP简介可扩展认证协议(Extensible Authentication Protocol )起源于点对点协议(Point-to-Point Protocol,拨号上网就是用此协议)。PPP协议中有一认证环节，如PPP CHAP，就是用

2、在这里。EAP也是PPP的一种认证协议，它没有指定具体的认证方法，而是提供了支持多种认证机制的认证框架。EAP简介EAP的优点：EAP支持多种认证机制，可以由认证方在(authenticator)获得足够信息后选择用哪一种认证方法,而不需要预先协定。认证方不需要为支持新的认证方法而经常升级，EAP允许使用一后台服务器，认证方可把全部或部分认证请求转发给后台服务器。EAP简介EAP除了用于PPP协议外，还可用于以太网、无线局域网(WLAN)，IEEE 802.1X是EAP用于以太网的协定。现在大部分交换机、防火墙、无线AP都支持EAP。EAP由下面这些组件构成IEEE 802.1X EAPOLP

3、eer(被认证者)Pass-through Authenticator (认证者)Authentication Server(认证服务器) Radius ProtocolAAA:Authentication(认证）, Authorization (授权), and Accounting (记帐)Lower LayerLower LayerMethod Layer3GPP-AKA简介RAND|AUTNUSIMMobile StationMAC = XMACSQN in the correct rangeKiFunctionsf1f2f3f4f5CKIKRESAKAUTNSQNAKAMFMACXM

4、ACSQN?=?Request AuthenticationVectors AVRAND|XRES|CK|IK|AUTN=Yes/NoVLR/SGSNGenerate SQNGenerate RANDKiFunctionsf1f2f3f4f5AViHE/HLRIMSIIMSI3GPP-AKA简介相对于GSM(2G)认证机制的增强实现了用户和网络的双向认证，GSM中只能网络认证用户。所使用的密匙(CK)长度增至128比特，增加了用于会话完整性保护的密匙(IK)。3GPP2提供了基于SHA-1算法的AKA参考实现S.S0055-A。EAP-AKA认证流程PeerAuthenticatorEAP-R

5、equest/IdentityEAP-Response/Identity(Includes users NAI)Server runs AKA algorithms,Generates RAND and AUTNEAP-Request/AKA-Challenge(AT_RAND, AT_AUTN, AT_MAC)Peer runs AKA algorithms,verifies AUTN and MAC, derives RES and session keyEAP-Response/AKA-Challenge(AT_RES, AT_MAC)Server checks the given RE

6、S,and MAC and finds them correct.EAP-Success EAP-AKA Full authentication procedureEAP-AKA认证流程AT_MAC(Message Authentication Code)用来保护EAP数据包的完整性。EAP-AKA支持利用已得到的KEY进行快速重新认证。支持用户身份的保密。EAP-AKA与其他几种认证方法的比较 EAP-AKA与其他几种认证方法的比较EAP-MD5EAP-SIMEAP-AKAEAP-TLS是否需要智能卡均可是是均可密码学原理对称对称对称非对称支持双向认证否可以有缺陷是是产生会话密匙否是是是抗字

7、典攻击否是是是数据签名否否否是EAP-AKA与其他几种认证方法的比较EAP-TLS基于非对称密码学原理(也称作PKI),智能卡实现成本高，系统实施复杂，主要用于网上银行，电子商务领域。EAP-AKA克服了EAP-SIM的已知缺陷，提供了足够的安全性。EAP-AKA给3G、WLAN、互联网提供了统一认证方法的可能。EAP-AKA实施需求清单3G USIM卡，PC/SC兼容的智能卡读卡器。(如:北京一零科技的ED10 USB智能卡读卡器)或者仅用北京一零科技的ED11 USB 智能卡读卡器，它内置了3GPP-AKA认证算法。客户端，服务端软件。认证服务器(Radius Server)。EAP-AK

8、A实施逻辑结构图Supplicant Smart card readerUSIMNAS/Radius clientRadius ServerRadius/AAA protocolSmart card Reader built-in AKAAKA module3G HE/HLR参考RFC draft draft-arkko-pppext-eap-aka-15.txtTS 33.102 3rd Generation Partnership Project 2, 3G Security; Security ArchitectureS.S0055-A 3rd Generation Partnership Project 2, Enhanced Cryptographic Algorithms RFC 2284 PPP Extensible Authentication Protocol (EAP)RFC 3748 Ex