[发明专利]一种基于EAP认证的方法和系统

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种基于EAP认证的方法和系统。

背景技术

随着计算机技术的发展，信息安全越来越受到人们的关注，其中身份认证是信息安全的一个重要组成部分。

目前网络犯罪案件越来越多，纠其原因，关键的环节还在于所使用的认证方法。目前最常用的方法是“静态口令”认证方法，所谓“静态口令”认证方法指用来认证的数据为静态的，即每次认证时所使用的口令是不变的，所以“静态口令”认证方法的认证口令很容易通过内存扫描或网络监听等技术被截获，存在根本的安全隐患。最常见的“静态口令”认证方法有“用户名/密码”认证方法，以及IC卡认证方法(通过从IC卡读取认证口令进行认证的方法)等。

基于智能密钥装置的身份认证方式是近几年发展起来的一种方便、安全的身份认证方式。智能密钥装置是一种带有处理器和存储器的小型硬件装置，可以通过计算机的数据通讯接口与计算机连接，一般是通过USB(Universal Serial Bus，通用串行总线)接口与计算机相连，通常被称为USB KEY或USB Token(身份认证设备)。智能密钥装置具有物理抗攻击的特性，安全性很高。智能密钥装置目前被广泛应用在身份识别、网上银行和VPN(Virtual Private Network，虚拟专用网络)等方面。

智能密钥装置一般采用安全设计芯片来实现其与安全相关的功能，因为安全设计芯片除了具有通用嵌入式微控制器的各种特性外，更突出的特性是表现在安全性能方面。安全设计芯片在芯片设计时会针对安全性能在结构上做一些特殊处理，使其更加安全。安全设计芯片一般都要求符合相关的标准，以及通过相关的认证等以保证其安全性能，比如TCG(Trusted Computing Group，可信计算组织)TPM(Trusted Platform Module，可信平台模块)v1.2规范、ISO(International Standardize Organization，国际标准化组织)15408国际标准或中国密码管理委员会标准等等。目前市面上有很多款安全设计芯片可供选择，其中意法半导体的ST19WP18微控制器，已通过“公共标准”评估保障级EAL5+(增强版)的认证，这是ISO15408国际标准关于此类产品的最高标准之一。目前用的比较多的智能卡芯片为安全设计芯片的一种。

目前随机口令技术也在兴起，随机口令技术是一种让认证口令按照时间/事件不断动态变化而变化，每个密码只使用一次的技术。随机口令是利用随机口令算法生成的。其中随机口令算法可以按照时间或次数的动态变化来实现，即随机口令是通过随机因子(即生成要素)和另外一个或几个因子经过随机口令算法计算得来的，其中生成要素可以采用时间生成要素，也可以采用事件生成要素。随机口令技术采用一种专用硬件设备实现，也被称为智能密钥装置，其结构一般为在智能密钥装置内置口令生成芯片，在口令生成芯片内置有专门的口令生成算法。目前市面上采用随机口令技术的智能密钥装置主要有联机型和非联机型两种，其中非联机型的智能密钥装置主要有显示屏、电源，每次生成的随机口令显示在显示屏上，由用户在客户端主机中输入该随机口令实现远程认证；而联机型主要为带USB接口的智能密钥装置，每次生成的随机口令通过USB接口输入到客户端主机中实现远程认证，同理还可以是通过蓝牙、红外等其它接口输入到客户端主机中的。

PPP(Point to Point Protocol，点对点协议)认证是TCP/IP网络协议集合中的一个子协议，主要用来创建电话线路以及ISDN拨号接入ISP的连接，具有多种身份验证方法、数据压缩和加密以及通知IP地址等功能。对于EAP(Extensible Authentication Protocol，扩展认证协议)认证，为PPP认证的扩展认证协议，可以支持多种认证机制，因为EAP认证并不在链路控制阶段指定认证方法，而是把这个过程推迟到认证阶段，这样认证方就可以在要求更多的信息以后再决定使用什么样的认证方法，这种机制就允许使用一台后端服务器来真正执行认证机制，而PPP认证方只是传递认证交换信息。由于在EAP认证过程中，中间的接入设备不需要对用户及认证报文进行分析，所以对用户来说更加安全。因此，随着网络技术的快速发展，基于EAP的认证方法逐渐被各运营商所接受。

目前基于EAP认证的过程通常为：客户端发送认证请求给认证端，认证端响应后请求客户端的认证信息，客户端将认证信息发送至认证端进行认证，认证端将认证结果发给客户端。