EAPAKA在网络游戏身份认证中的应用AGSMSimManager.pptVIP

EAP-AKA EAP-AKA简介 用第三代移动通讯网络(3G)的认证和密匙协商机制 (Authentication and Key Agreement)作为EAP(Extensible Authentication Protocol )的一种认证方法。 AKA基于对称密码学原理，通常运行在手机的SIM卡上,3G中称为USIM。 EAP简介 可扩展认证协议(Extensible Authentication Protocol )起源于点对点协议(Point-to-Point Protocol,拨号上网就是用此协议)。PPP协议中有一认证环节，如PPP CHAP，就是用在这里。 EAP也是PPP的一种认证协议，它没有指定具体的认证方法，而是提供了支持多种认证机制的认证框架。 EAP简介 EAP的优点： EAP支持多种认证机制，可以由认证方在(authenticator)获得足够信息后选择用哪一种认证方法,而不需要预先协定。 认证方不需要为支持新的认证方法而经常升级，EAP允许使用一后台服务器，认证方可把全部或部分认证请求转发给后台服务器。 EAP简介 EAP除了用于PPP协议外，还可用于以太网、无线局域网(WLAN)，IEEE 802.1X是EAP用于以太网的协定。现在大部分交换机、防火墙、无线AP都支持EAP。 EAP由下面这些组件构成 3GPP-AKA简介 3GPP-AKA简介 相对于GSM(2G)认证机制的增强 实现了用户和网络的双向认证，GSM中只能网络认证用户。 所使用的密匙(CK)长度增至128比特，增加了用于会话完整性保护的密匙(IK)。 3GPP2提供了基于SHA-1算法的AKA参考实现[S.S0055-A]。 EAP-AKA认证流程 EAP-AKA认证流程 AT_MAC(Message Authentication Code)用来保护EAP数据包的完整性。 EAP-AKA支持利用已得到的KEY进行快速重新认证。 支持用户身份的保密。 EAP-AKA与其他几种认证方法的比较 EAP-AKA与其他几种认证方法的比较 EAP-AKA与其他几种认证方法的比较 EAP-TLS基于非对称密码学原理(也称作PKI),智能卡实现成本高，系统实施复杂，主要用于网上银行，电子商务领域。 EAP-AKA克服了EAP-SIM的已知缺陷，提供了足够的安全性。 EAP-AKA给3G、WLAN、互联网提供了统一认证方法的可能。 EAP-AKA实施 需求清单 3G USIM卡，PC/SC兼容的智能卡读卡器。(如:北京一零科技的ED10 USB智能卡读卡器) 或者仅用北京一零科技的ED11 USB 智能卡读卡器，它内置了3GPP-AKA认证算法。 客户端，服务端软件。 认证服务器(Radius Server)。 EAP-AKA实施 逻辑结构图 参考 [RFC draft] draft-arkko-pppext-eap-aka-15.txt [TS 33.102] 3rd Generation Partnership Project 2, 3G Security; Security Architecture [S.S0055-A] 3rd Generation Partnership Project 2, Enhanced Cryptographic Algorithms [RFC 2284] PPP Extensible Authentication Protocol (EAP) [RFC 3748] Extensible Authentication Protocol (EAP) 参考 [RFC draft] draft-haverinen-pppext-eap-sim-16.txt /talk/eap-sim.ppt [一零科技] / company/detail/yanglqateds.html 问题讨论 * yliqiang@ 2005-10-23 IEEE 802.1X EAPOL Peer(被认证者) Pass-through Authenticator (认证者) Authentication Server (认证服务器) Radius Protocol AAA:Authentication(认证）, Authorization (授权), and Accounting (记帐) Lower Layer Lower Layer Method Layer RAND|AUTN USIM Mobile Station MAC == XMAC SQN in the correct range Ki Functions f1 f2 f3 f4 f5 CK IK RES AK AUTN SQN⊕AK AMF MAC XMAC ⊕ SQ