[发明专利]一种隐藏身份且适合资源受限终端的EAP认证方法

权利要求书

1.一种隐藏身份且适合资源受限终端的EAP认证方法，其特征在于：

（1）客户端向服务器端发送身份标识ClientID，如果标识不符，则断开连接；如果标识正确，则开始进行认证：

(1.1)认证流程开始，客户端发送EAPOL-Start报文；

(1.2)认证端发送EAP-Request/Identity报文，请求客户端用户名；

(1.3)客户端响应认证端请求，发送EAP-Response/Identity报文，其中包含客户端用户标识ClientID；

(1.4)认证端将收到的EAP-Response/Identity报文解包，转换后封装入RADIUS-Access-Request报文中发送到认证服务器，其中包含客户端的用户标识；

(1.5)认证服务器将收到的客户标识在其数据库中进行匹配，如果相符，进行下一步，否则认证过程结束；

（2）客户端与服务器端要有一个共享密钥PSK，通过PSK使用哈希函数推导出认证需要的AK，EK两个密钥：

(2.1)服务器端根据客户发起登陆的时间生成Ts，再随机生成一个Ns，这主要是为了保持方法的新鲜性，以防止重放攻击，再将Ts和服务器端的标识ServerID用EK加密，与Ns一起向客户端发送，EK=f(PSK，ClientID&Ns)，f是一个单向的哈希函数；

(2.2)客户端收到服务器发来的消息后，用生成的EK解密，得到相关信息，然后随机生成一个Nc，再生成AK和MIC1，AK=f(PSK，ServerID&Nc&Ts)，MIC1=f(AK，ServerID&Ns&Ts)，用EK加密后发送给认证服务器；

（3）客户端与服务器端进行双向认证：

(3.1)服务器解密之后，用收到的信息生成MIC1，与客户端发送的MIC1相比较；

(3.2)如果比较不一致，则认证过程结束，如果比较一致，则进行下一步；

(3.3)服务器随机生成一个新的客户端用户标识newID来代替之前的标识，这样每次用户登录都会有一个不同的身份标识，从而达到了对用户的隐私保护，然后生成MIC2，与newID一起用EK加密后，发送给客户端，MIC2=f(AK，newID&Nc)；

(3.4)客户端收到信息之后，对MIC2验证；

(3.5)如果验证不成功，则认证过程结束，如果验证成功，说明这是之前与其连接的服务器，进行下一步；

（4）服务器端给客户端发送一个随机生成的字符串作为新的标识来替换旧的标识，下次连接客户端使用新的标识进行认证：

(4.1)客户端响应认证端请求，发送EAP-Response并更换新的客户标识；

(4.2)经过客户端与服务器端的双向验证后，服务器端返回Accept报文，允许用户接入网络；

(4.3)认证流程结束。