EAP_FAST安全认证协议分析

邮局订阅号：82-946360元/年技术创新
信息安全
《PLC 技术应用200例》
您的论文得到两院院士关注
EAP-FAST 安全认证协议分析
An Analysis of Secure Authentication protocol EAP-FAST
(空军驻郑州地区军事代表)
冯茜聂水湘宋学勇
FENG Qian NIE Shui-xiang SONG Xue-yong
摘要:本文详细分析了EAP-FAST 在无线局域网认证中的实施步骤与方法,对EAP-FAST 安全特性进行了研究,最后对现有的认证方式进行了对比,并对今后的认证安全技术的发展作了进一步的展望。

关键词:EAP-FAST;安全;认证
中图分类号:TN923文献标识码:A
Abstract:First,the methods and approach of implement in WLAN are analyzed in the paper,and the security characteristic is dis -cussed.At last,many authentication protocols are compared and it gives a prospective view of the future authentication technology.Key words:EAP-FAST;Security;Authentication
文章编号:1008-0570(2010)01-3-0083-03
1引言
无线局域网是无线通信与Internet 技术相结合的新兴发展方向之一。

但由于无线局域网采用电磁波作为载体,对越权存取和窃听等行为更不容易防备,易遭受信息窃取和拒绝服务等攻击,因此相较于有线网络,WLAN 更需要有强大的认证和访问控制机制,因此,目前对基于无线局域网的认证研究成为该领域的热点问题。

EAP-FAST (EAP Flexible Authentication via SecureTunnel －ing,基于EAP 可扩展的安全隧道认证协议)是一种新的安全协议,该协议制定的动机源于程序开发员Joshua Wright 发布了一个名称为“asleap ”的能够针对LEAP(轻量级可延伸认证协议)发动离线字典攻击的工具。

EAP-FAST 是一种EAP 方法,它能通过传输层安全技术(TLS)实现申请者和服务器之间的安全通信。

与目前现有存在的隧道认证协议不同的是,EAP-FAST 能通过对称的共享密钥建立一个双向认证隧道,因此在安全隧道的基
础上,EAP-FAST 能更容易实现证书的分发、
身份认证和服务器对申请者的授权。

2PAC 证书结构分析
PAC(Protected Access Credential,保护接入证书)是一个用于申请者和认证服务器之间进行双向认证的唯一共享证书,它包含有客户和服务器身份的详细描述。

PAC 的应用使得认证双方可以脱离对公钥基础结构(PKI)的依赖,减轻了认证系统部署的难度。

PAC 是由认证服务器产生并分发给合法的申请者,分发完成后,服务器并不保存和维护PAC 。

PAC 证书由三部分构成。

1.PAC-Key:是一个强32字节的密钥,由认证服务器随机产生,是建立TLS 隧道的先期主密钥。

2.PAC-Opaque:是一个可变长度的域,在TLS 隧道建立期间被申请者送到认证服务器。

只有服务器能通过其拥有的本地主密钥对PAC-Opaque 进行解码,获得申请者对服务器的请求信息,并验证申请者的身份。

例如PAC-Opaque 可以包括PAC-Key 和PAC 申请者的身份(I-ID)。

PAC-Opaque 的格式和内容对服务器来说是清楚的。

图1PAC 结构图
3.PAC-Info:它也是一个可变长度的域,能够最简洁的提供认证服务器或PAC 发布者的身份(A-ID)。

为了避免混绕,各个认证服务器的A-ID 是不同的。

PAC-Info 还可能包括其他的有用但非强制的信息,例如,PAC-Key 生存时间,也可能在PAC 分发或更新时被服务器传递到申请者。

以上三个部分统一构成了一个完整的PAC 证书,在EAP-FAST 认证之前由认证服务器一次性产生并通过安全的方式送给申请者,完成PAC 的发放。

3认证过程分析
3.1第0阶段-PAC 初始分发
EAP-FAST 协议关注的焦点是定义TLS 安全隧道建立和认证机制的完成。

它没有规定PAC 预分配机制,PAC 的预分配可以用其他任何安全的证书分配方式。

PAC 证书的分发可分为两种方式:
1、人工分发
PAC 证书人工的在认证服务器端产生,并人工的分发到申请者的设备上。

这种方式被认为是最安全的方式,也被称为带外分发方式(out-of-band provisioning)。

2、自动分发
可以采用现有的任何成熟的密钥分发协议,证书的分发要
冯茜:硕士研究生
83--
技术创新
《微计算机信息》(管控一体化)2010年第26卷第1-3期
360元/年邮局订阅号：82-946
《现场总线技术应用200例》
信息安全
求在一个加密的会话中完成。

例如,可以用Diffie-Hellman(DH)密钥交换协议建立一个安全通道,再使用MSCHAPv2协议防止最初的中间人攻击,完成证书的自动安全分发。

这种方式也被称为带内分发(in-band provisioning)。

在完成了PAC 证书分发后,服务器发一个认证失败消息到认证者(一般指AP),这时申请者与网络的连接就会被切断,然后申请者用刚得到的PAC 重新启动EAP-FAST 认证。

图2EAP-FAST 认证过程示意图
3.2第1阶段-TLS 隧道建立
使用EAP-FAST 协议建立会话过程和与EAP-TLS 协议建立会话过程类似。

会话开始于AP 和申请者之间。

AP 发送一个请求申请者用户名的EAP 包,申请者用包含用户名的相应包回应。

如果申请者希望保护它的身份,可以用匿名,然后AP 会将数据包发往认证服务器。

认证服务器一旦收到申请者的回应,一个EAP-FAST 认证就随即开始,认证正式进入第一阶段。

EAP 服务器首先用一个EAP-FAST/Start 回应,EAP-FAST/Start 包含服务器的身份(A-ID),A-ID 能很好的向申请者表明服务器的身份,然后申请者会发送EAP-Response 包(EAP-Type=
EAP-FAST)。

EAP-Response 包的数据域封装了TLS 的客户呼叫握手信息(ClientHello),它包含有申请者的质询(申请者随机数)和PAC -Opaque 。

如果ClientHello 信息的密文族选择为TLS_RSA_WITH_RC4_128_SHA,那么以后所有的EAP-TLV 数据包都将收到128比特的RC4和SHA1的保护,这里TLV 是最上层的封装协议,指包含类型、长度和值的封装记录(Type-Length-Value)。

值得注意的是,一个部署完善的网络中可能有若干个认证服务器,一个申请者也可能拥有任何一个服务器分发的与分发服务器一一对应的PAC 证书。

因此在申请者会根据A-ID 域标注的服务器身份,找到对应的PAC 证书,将相应的PAC-Opaque 发送到对应的服务器。

服务器受到回应后解码PAC-Opaque,得到PAC-Key 和申请者的身份。

同时计算出隧道密钥和用于计算会话密钥的会话密钥种子(session_key_seed)。

它们的生成方式是通过一个EAP-FAST 中一个特殊的PRF 函数[RFC2246]T-PRF 先产生一个48字节的隧道密钥(Master_Secret),再通过Master_Secret 生成一个
密钥块,其中后40字节为session_key_seed,前面的字节参与以后产生会话密钥。

(1)
(2)
随后服务器将用EAP-Type=EAP-FAST 的EAP-Request 包响应申请者,这个包的数据域部分,封装了三个TLS 记录,分别
为:服务器呼叫信息(ServerHello)、
改变的密码说明-协议类型(ChangeCipherSpec)、
完成信息(Finished messages)。

ServerHello 包含一个服务器随机数和改变的密码说明,申请者从服务器回应的ServerHello 中分离出服务器随机数。

从而用服务器端同样的
算法产生主密钥和隧道密钥。

在验证了服务器的完成信息后,申请者用两个TLS 记录回应服务器,一个ChangeCipherSpec 和申请者Finished messages 。

这时,申请者已经准备好对服务器接收和传输受TLS 保护的信息了。

在验证了客户的完成信息后,服务器建立隧道并且准备对客户接收和传输受TLS 保护的信息。

这样,TLS 隧道就成功建立了,EAP-FAST 认证的第1阶段就完成了。

3.3第2阶段-隧道认证
第2阶段开始于服务器发送EAP-Request/Identity 数据包到申请者,其中带有所支持的EAP 类型的内部方法,例如EAP-TYPE=EAP-GTC,EAP-FAST 能在隧道中应用任何现有的内部
EAP 方法。

数据包传输过程被隧道密钥加密,申请者如果支持这种内部EAP 方法,就响应一个EAP-Response/Identity 数据包,其
中包括申请者的用户名和口令。

这种认证期间内部方法的协商,可以使得认证双方得到多个方法保护。

随后的应答过程通过密码绑定方式完成一种混合的信息完整性检验和数据的加密工作,由于篇幅所限,这里就不详细分析了。

总之,在成功的会话中,双方完成会话主密钥的生成,产生方法如下:
1、
ISK 为内部认证方法提供会话密钥材料:ISK1…ISKn 对应于内部方法1到n,这对于主会话密钥必须从内部方法产生时才是必须的,如果内部方法不产生ISK,对应的ISKi 就为0。

2、S-IMCK[0]=session_key_seed
For j =1to n-1do
(3)这里S-IMCK[j]是IMCK[j]的前40字节。

IMCK[j]可以生成一个60字节的原始码,前40字节用于MCK[j+1]的产生,后20字节用与CMK[j],用于产生认证期间MAC 值,完成信息完整性加密。

3、
为了整个认证安全,主会话密钥的产生由整个认证过程中每次会话产生的中间结果共同参与,从而保证申请者和服务器之间的会话都是真实合法的。

因此,主回话密钥由每次产生的S-IMCKn 通过下述方法产生:
(4)
在申请者和服务器用相同的方法产生主会话密钥后,服务器会将主会话密钥通知AP,同时申请者和服务器就拆除TLS 隧道,应用会话密钥进行通信。

这样一个完整的认证过程就完成了。

值得注意的是,在TLS 安全隧道中可以进行用户名、口令和PAC 的更新和管理。

4特点分析
EAP-FAST 是一个可扩展框架,它能通过用事先的共享密钥建立一个安全隧道完成双向认证,像PEAP 一样是基于TLS
84--
邮局订阅号：82-946360元/年技术创新
信息安全
《PLC 技术应用200例》
您的论文得到两院院士关注
的。

它的优点是能通过用对称密钥的方式建立TLS 隧道,达到用于保护脆弱认证方法的目的。

而PEAP 、EAP-TTLS 等协议由于使用不对称的加密认证方式,很难在低配置的认证系统中得到应用,影响了它们的推广应用。

此外,EAP-FAST 使用TLS 申请者呼叫扩展[RFC3546]作为进一步的优化,能将服务器的维护状态减到最小,进一步降低了服务器的部署门槛。

1.双向认证和完整性保护
EAP-FAST 通过建立安全隧道,并由一个强共享主密钥获得高强度的信息机密性和完整性,从而保护了弱认证方法的实施。

申请者对服务器的认证在EAP-FAST 认证实施的第1阶段,通过验证共享的PAC-KEY 完成,反向认证在第2阶段完成。

2.防止被动字典攻击基于像RC4、HMAC-SHA1之类的强密码算法,建立一个受保护的双向认证通道,使得EAP-FAST 不易受到离线字典攻击。

3.防止中间人攻击
EAP-FAST 在两方面防止中间人攻击:攻击者必须有相应申请者的PAC-KEY 才能进入双向认证过程;通过交换内部方法产生的KEY,申请者和服务器可以得知它们是唯一参与会话的,从而防止中间人攻击。

4.对服务器维护用户认证状态有最低的要求。

有了PAC-Opaque,服务器能动态的得到PAC 的PAC-KEY 部分,从而减轻了服务器存储每一个申请者PAC 和状态的负担,摆脱了传统认证方式下服务器必须维护大量申请者状态信息的繁琐。

5.灵活的支持大多数的口令认证方式
EAP -FAST 对许多不同的口令认证方式像MSCHAP 、LDAP 、OTP 提供无缝的支持。

6.高效性
特别是在无线应用的方式下,申请者将受到计算能力和能量资源的限制,EAP-FAST 由于使用共享密钥代替PKI,使得具有较小计算能力的申请设备也能轻松完成认证。

除此之外,EAP-FAST 还具有用户身份的保护、支持TLS 包的拆分和重新组装、较强的会话密钥计算方法、较快的再认证等优势。

5结束语
尽管提出EAP-FAST 是为了修补LEAP 存在的漏洞,但不论其认证机制还是认证方法都综合了现有的认证方式的优点,它不仅有效解决了LEAP 中防范离线字典攻击的危险,而且对
现有的各种攻击也都有较好的保护作用。

目前思科的网路设备已经开始支持EAP-FAST 协议。

EAP-FAST 作为IETF 的正式草案,虽然还没有成为正式标准,但其优越的性能足以证明其拥有广阔的前景。

本文作者创新点:EAP-FAST 认证技术利用隧道方式,很好的保护了认证过程在无线局域网环境中的实施。

本文对EAP-FAST 安全特性进行了较深入的研究,在国内尚无见到有同类文献,对无线局域网认证方式的研究有很好的借鉴作用。

参考文献
[1]冯茜王玉东张效义.基于LEAP 认证机制的安全无线局域网[J].微计算机信息,2005,10X:15-17
[2]赵琳张红旗杜学绘.无线局域网TKIP 协议的消息认证码分析及改进[J].微计算机信息,2006.09X:102-104
[3]This document answers questions about EAP-FAST,/application/pdf/en/us/guest/products/ps430/c1167/ccmi －gration_09186a00802030dc.pdf 。

[4]Cisco LEAP protocol description,http://lists.cistron.nl/pipermail/cistron-radius/2001-September/002042.html.
作者简介:冯茜(1978-),女(汉族),河南郑州人,解放军信息工程大学硕士研究生毕业,主要从事无线局域网安全与防护研究。

Biography:FENG Qian (birth year -1978),female (Han ethnic),Henan Province,She received the “master ”degree in 2005for University of Information Engineering ,zhengzhou.Research area:Information Security for WLAN.
(450002河南郑州空军驻郑州地区军事代表)冯茜聂水湘
宋学勇
(Air Force Military representative on zheng zhou Zheng Zhou 450002,China)FENG Qian NIE Shui-xiang SONG Xue-yong 通讯地址:(450002河南郑州空军驻郑州地区军事代表)冯茜
(收稿日期:2009.02.02)(修稿日期:2009.05.02)
(上接第79页)
4结论
在深入理解NSSA 内涵的基础上,构建了更为科学的评估指标体系,将Vague 集引入NSSA 理论,提出一种新的NSSA 方法,并得出以下结论:
(1)评估指标的选取充分考虑了攻防双方对态势的影响,使指标体系更为完整;
(2)基于Vague 集的综合评判方法,有效克服了Zadeh 模糊集单一隶属度的局限性,评估结果更符合实际。

本文作者创新点:首次从攻防两个角度选择评估指标,构建了更为科学的指标体系;首次提出基于Vague 集的NSSA,提高了评估可信度。

参考文献
[1]Bass T.Intrusion systems and multisensor data fusion:cy －berspace situational awareness [J].Communications of the ACM,2000,43(4):99-105.
[2]帅鸣若,姜中华,申贵成.基于流量数据的分层态势评估算法[J].微计算机信息,2008,10-3:78-82.
[3]Xiu-Zhen Chen,Qing-Hua Zheng,Xiao-Hong Guan,etc.Mutiple behavior information fusion based quantitative threat evaluation[J].Computers &Security,2005,24:218-231.
[4]W L Gau,D J Buehrer.Vague Sets[J].IEEE Trans.on Systems,Man and Cybernetic,1993,23(2):610—614.
[5]曾文艺,罗承忠,肉孜阿吉.区间数的综合决策模型[J].系统工程理论与实践,1997,15(11):48-50.
作者简介:顾颖彦(1973-):男(汉族),浙江省人,江苏自动化研究所高级工程师,硕士,主要从事网络通信研究。

Biography:GU Ying -yan (1973-),male,(the Han nationality),Zhejiang Province,Jiangsu Automation Research Institution,se -nior engineer,master,research area is network communication.(222006江苏自动化研究所)顾颖彦
(100081北京理工大学软件学院)姚淑萍
(Jiangsu Automation Research Institution,222006,China)GU Ying-yan
(Software School of Beijing Institute of Technology,100081,China)YAO Shu-ping
通讯地址:(100081北京市海淀区中关村南大街5号北京理工大学软件学院信息安全系)姚淑萍
(收稿日期:2009.01.15)(修稿日期:2009.04.15)
85--。