WLAN认证中椭圆曲线密码体制的应用研究
WLAN认证中椭圆曲线密码体制的应用研
究 2010年第12期福建电脑105
WLAN认证中椭圆曲线密码体制的应用研究 曹阳
(陕西理工学院计算机系陕西汉中723000) 【摘要】:基于无线局域网的安全性,本文通过对椭圆曲线密码体制的研究,结合
ECMQV密钥协商
,在EAP—TLS认证协议的基础上,实现了基于8021X无线局域网认证系统,
使得安全性进一步提高.
【关键词】:无线局域网;椭圆曲线密码;认证;RADIUS 引言
随着通信技术的发展.无线网络存在巨大的应用 市场.然而有的"黑客"利用无线局域网认证与加密的 安全漏洞.在短至几分钟的时间内就可以破解密钥.因 此.它的安全问题越来越受到人们的关注.而椭圆曲线 密码(EllipticCurveCryptosystem,ECC)的安全性是建 立在椭圆曲线离散对数问题的困难性之上.且算法复 杂度是全指数级的.这就意味着得用椭圆曲线可以使 用比RSA密码更短的密钥f210位的ECC安全强度相 当于2048位的RSA)得到更高的安全强度
本文在EAP—TLS认证协议的基础上.通过对椭圆 曲线密码体制的研究.结合ECMQV密钥协商协议.实 现了802.1x无线局域网认证系统
1,椭圆曲线密码算法【23司
椭圆曲线密码体制来源于对椭圆曲线的研究.所 谓椭圆曲线指的是由韦尔斯特拉斯(Weierstrass)方程:
232
Y+alxy+a3yx+a2x+a4x+a6? 所确定的平面曲线.其中系数a;(i=l,2.…,6)定义 在某个域上,可以是有理数域,实数域,复数域,还可以 是有限域GF(p1.椭圆曲线密码体制中用到的椭圆曲线 都定义在有限域上的
椭圆曲线上所有的点J'l'Da一个无穷远点构成的集 合连同其上定义的加法运算构成一个Abel群.在mP= P+P+…+P=Q中.已知In和点P求点Q比较容易,反之已 知点0和点P求in却是相当困难,这个问题称为椭圆曲 线上点群的离散对数问题.椭圆曲线密码体制正是利 用这个困难问题设计而来
2.认证系统的设计
认证系统包括客户端(STA1,认证者系统(AC)和认 证服务器(AS1三部分.其中对客户端的认证在认证者 系统完成.AP在整个认证过程中起的是透传的作用. 将数据包传递给认证服务器.
2.1客户端
11802.IxEAP—TLS认证模块
在EAP一,I'I5认证阶段采用椭圆曲线密码算法和 RSA算法相结合.ECC的密钥协商生成共享密钥.在 EAP—TLS认证过程中,会话密钥的生成步骤为:首先客 户机和服务器之间通过ECC的密钥协商生成共享密 钥.并把该密钥作为客户机所产生的预先主密码:其次 用ECC和服务器公开的RSA密钥进行加密.然后发送 给服务器:服务器使用自己的私钥对密文进行解密以 恢复预先主密码EAP—TIS认证过程如图2—1所示: ,lI
起终端A,证器
[啊一—?",-.}.,"
_I址旺卜_地血u二
EM'OLiEAI'Ipj.
!EAPi—i~.z,EJ7,L5曼ns善?j:
}日?''1t
:
T
i
酒*{抑T1
,
"一……
!&.t',T.':
?EAPOL(E.&P;袋兰蜒,}.{盐接^f,AP蒋求f'譬粤奎善壬' E—Bpftm".i.}璀^P岫商f【s.,
iEApflI』EAP成功1j许坪^,rMK)
i:FAmI.KFY^Mf
)卜APf)FVIrl叫'】
图2—1EAP—TLS认证过程
2)密钥协商模块
图2-2ECMQV~钥协两过程
在通过证书认证成功以后.主程序调用密钥管理 模块.进行客户端和认证者系统之间的密钥协商阶段, 本文采用的是ECMQV密钥协商协议.在密钥协商以前 认证双方通过椭圆曲线参数组D:(q,FR,S,a,b,P,n,h1生 成各自的静态密钥对(Q,d)和(Q,d),协商过程中还会 产生f临时的公私钥对(RA,k)和(R,k),从各自的证书中 106福建电脑2010年第12期
获得对方的公钥后,通信双方通过ECMQv协商得到通 信使用的对称密钥.ECMQV密钥协商过程如图2—2所
示:
密钥协商[51过程描述如下:
?客户端利用椭圆曲线生成临时密钥对(R,k),首 先随机的从[0,n-1]选一整数作为客户端的临时私钥 prive_
key,接着生成客户端临时公钥,并将R发送到 认证服务器.
?认证者收到客户端发来的临时公钥R后,确认 RA的合法性,计算RB:kBP和tB,9~tSR,t发送给客户端. ?客户端收到临时公钥R和认证目标t以后,对嵌 入的公钥确认,并根据R和私钥k计算K,k,k2,t,并 验证t和tB.如果t^=tB,则把t发送到认证者,等待认证 者的验证
?认证者验证t和t,如果t=t,则密钥协商完成; 否则.密钥协商失败.
2.2认证者系统
认证系统主要是等待无线用户的接入认证请求. 并将认证信息转发给认证服务器:等待接收服务器的 认证信息,如果合法则将信息转发给无线用户.主要 处理从用户接口接收到认证数据报和认证者从服务器 接收到认证数据报.允许接人数据报和质询数据报到 来.
2.3认证服务器
本系统中的认证服务器是RADIUS~务器.安装平 台是RedHatLinux9.0.将FreeRADIUS安装在新的/ur/ local/radius目录中.通过/src/modules/rlmsql/drivers/
rimmysql/I~录下的db_mysq1.Sql脚本程序创建一个新 的radius数据库.作为RADIUS~务器工作的外部数据 源.
3,系统测试
3.1测试环境描述
在实验室的模拟环境下.由于网络用户少,采用
中,小型的数据库MySQL来存放所需信息.并可以将 RADIUS服务与数据库存在同一主机上实现.局域网交 换机可以实现端El控制功能网络试验拓扑结构如图 3—1所示:
矗^DlI墨务叠磅豺皇^J譬务嚣
图3—1试验拓朴结构
3.2测试方法及结果
1)配置RADIUS脚本文件[61
在radius.conf中添~IIEAP认证模块.将EAP—TKS设 置为缺省的认证方式.并配置TLS认证的相关参数,具 体修改如下:
eap{default_eap_type=tlsJ tls{private_key_password=wayne616……J
启动 2)分别启动authenticator和RADIUS服务,
xsupplicant发起认证过程.
(~)rad_recv:Aceess—Requestpacketfromhost127.0.
0.1:32777,id=1.Use卜Name="test"
(SendingAccess—Challengeofid1to127.0.0.1:
32777EAP—-Messagecode:Requesttype:EAP/TLS;EAP/
TLSFlags=00100000:Start 接着.RADIUS守候进程收到authenticator转发的
test用户接入质询响应.响应报文的内容是ClientHello, 表示用户同意进行?5会话
?rad—recv:Access—Requestpacketfromhost127.0.
0.1:32777,id=2,User—Name="test''
TLS—ClientHello.RADIUS服务器向请求者发送
ServerHello.等待请求者的验证.
?SendingAccess—Challengeofid2to127.0.0.1: 32777EAP——Messagecode:Request
type:EAP—-TLS
认证请求者成功验证服务器的证书之后也将自己
的证书发送给服务器.等待服务器进行身份验证.然后
双方通过ChangeCipherspec协商加密方式.
?rad_recv:Access—Requestpacketfromhost127.0. 0.1:32777,id=3,User-Name="test'' (SendingAccess—Challengeofid3to127.0.0.1: 32777
?rad_recv:Access—Requestpacketfromhost127.0. 0.1:32777,id=4,User—Name=''test''
?SendingAccess—Acceptofid4to127.0.0.1: 32777
4,
根据实验过程及实验
.从radius的运行过程可
以看出在EAP—TLS的认证方式下.测试环境中的客户
端,认证者系统和RADIUS服务器均工作正常.实现了
客户端和认证服务器之间的双向身份认证,密钥交换
功能.椭圆曲线密码体制在加密强度和加解密速度上
都较传统的RSA密码体制有很大的提高.本文的创新
之处在于在EAP—TLS认证的基础上结合椭圆曲线密钥
算法实现了802.1x无线局域网认证系统.密钥协商采
~JECMQV密钥协商协议.采用ECC算法对信息加密和
生成证书,实现了数据完整性保护功能.能够更好地保
证无线局域网信息传输的安全性能.
参考文献:
【1]IEEEStandard802.1x一2001,standardforportbasednetwork
一.."【S】(下转第123页)
2010年第12期福建电脑123
诊断中心:面向客户感知,全面强化可用性管理功 能:完善关键业务的专题分析和评估功能;从端到端服 务的角度.实现业务健康度管理和业务水平管理;依托 资源模型.加强应用关联,提高业务影响智能分析. 流程中心:细化管理流程,落实事件,问题,变更, 发布的闭环管理强化流程之间流程之间的横向和两 级之间的纵向交互管理;对基础支撑水平,业务质量, 运维流程效率等方面进行多角度,多维度的分析.帮助 各层面管理人员及时了解系统,业务,服务的运行状 况.服务水平和未来趋势变化等.为系统优化,管理决 策和流程改进等提供依据.
5,结论
业务支撑运营管理系统的目的是通过统一的控制
帮助系统管理员统一地,方便地监控分布式主机 中心.
上的进程,文件,目录,Web服务等资源,例如监测远程 主机上某些进程是否存在,监测某一目录的文件积压 数量,往远程主机部署文件,控制其进程启停等.对于 监测到的结果.可以配合后台采集程序进行处理.例如 对故障进行及时告警等等告警系统具体的监控功能 由不同的服务实现.这些服务在调用时有统一的入口. 如果将来有新的功能需求,要能够方便地添加新服务. 参考文献:
[1】王达,《网络测试,监控和实验》,电子工业出版社,2008 [2】王达,《服务器与数据存储(第2版)》,电子工业出,~/A-,2007
一
++一++一+一++??+
[3】《网管员世界》杂志社,《网管员世界》电子工业出版社,2008
【4】王达,《超级网管经验谈(第2版)》,电子工业出版社,2007 [5】赵江,董欣《网管与维护完全手册》,人民邮电出版社,2008 【6】王春海,(Windows脚本应用详解》,人民邮电出版社,2008 【71501晓辉,《全能网管兵器谱》,重庆大学出版社,2008 【8】陈龙,《电信运营支撑系统(第2版)》,人民邮电出版社,2007 【9】唐纯贞,严建民,鲁碧英《电信网与电信业务》,人民邮电出版 社.2003
【10】杨卫东,《网络系统集成与工程设计》,科学出版社,2005 【11】(美)布洛克着,杨春花,俞黎敏(EffectiveJava中文版(第 2版)》机械工业出版社,2009
【12】李兴华Oava开发实战经典》编/2009年08月/清华大学 出版社2009
f131孙卫琴《『AvA面向对象编程》编着/2006年07月/电子工 业出版社2006
[14】辛运帏Oava程序设计(第二版)>清华大学出版社2006 【15】(美)韦斯(Weiss,M.A.)着,《数据结构与算法分析Java语 言描述第2版》机械工业出版社2009
【16]杨越,(OracleSolaris10系统管理基础教程》人民邮电出版 社2010
【17J盖国强,<深入解析oracle,DBA入门,进阶与诊断案例》 人民邮电出版社2009
【18】(美)罗森维格等着,(OraclePL/SQL实例精解》,机械工 业出版社.2009年
f19】文平,(Oracle大型数据库系统在AIX/UNIX上的实战详 解》,电子工业出版社,2009
【20]~;ll,胡欣杰,阎文丽编着(Oracle10g宝典(第2版)》电 子工业出版社.2010
+-+一+-+一+--—"+一—一---?一一——一一—+一-+一—+一一—-一一—+一—+一-+-+-+-—?一一十?
(上接第106页)
[2]2Mahan,R.N."SecurityinWirelessNetwork,"IntemetDraft,【5】邓婕,袁丁.数据库
加密系统中;~q-x.509"h~书的椭圆曲线加密
2001.11身份认证机制f?.成都:计算机应用研究,2007,11:109—11O [3】DarrelHankerson,AlfredMenezes,ScottVanstone~,张焕国等【61曹阳,基于无线
局域网认证中Ecc密码体制的应用研究【D】,成 译.椭圆曲线密码学导论『M1.电子工业出版社.2005都:电子科技大学,2008
『41杨国华.802.11无线局域网
与安全m.北京:计算机工程与 设计,大@2004.25(8):1349-1352 (上接第147页)
务需求等.由服务提供商进行相应的二次软件开发.即 可实现业务受理系统的相应功能需求这种方式的优 点在于节约场地,设备,软件和运维成本.但对客户需 求的响应受服务提供商系统的限制,灵活性不足.另 外,由于业务数据保存于服务提供商系统.对于敏感性 数据虽可通过
加以保护.但安全性较自主开 发方式要差
5,总结
业务受理系统是社会,经济和技术发展的必然产
物.它在满足客户服务需求的同时.也为企业带来直接 和间接的利润与回报.企业建立业务受理系统应该以 自身业务和提供的服务为基础.在对投入和产出进行 评估的同时,还要考虑系统稳定性,扩容性,间接成本 (如二次开发成本,实施的时间成本,运维成本)等因 素.只有适合企业自身业务及发展需要的系统才是最 好的系统
上述业务受理系统受理途径以语音为主.但其业
务功能则适合包括语音,现场,传真,网络等多种受理 途径,通过二次开发增加网络平台接口.就可实现基于
网络的业务受理功能.随着互联网应用的日益普及.基 于互联网的业务受理平台将是业务受理系统的一个重 要发展方向
参考文献:
【1】程京,马冬青,王彤,符达明,业务受理系统中业务逻辑模型的 研究与实现.计算技术与自动化,2006年第3期
【2】李爱振,CTI技术与呼叫中心,电子工业出版社,2002年