[发明专利]一种基于SM2算法的可扩展身份认证方法和系统

说明书

本发明公开了一种基于SM2算法的可扩展身份认证方法和系统，所述方法包括：EAP客户端和EAP服务器基于临时产生的公钥‑私钥对，完成双方的预先生成的公钥‑私钥对中的公钥交换；EAP服务器向EAP客户端发送认证消息1，其中包括利用CertP加密的MAC；EAP客户端利用SkeyP从认证消息1中解密得到MAC后，向EAP服务器发送认证消息2，其中包括利用CertS加密的MAC；EAP服务器利用SkeyS从认证消息2中解密得到MAC后，根据解密得到的MAC和之前加密的MAC之间的比较结果，确定EAP客户端的认证是否通过。应用本发明可以加强EAP的认证保证，提高网络身份认证安全性。

技术领域

本发明涉及通信加密技术领域，特别是指一种基于SM2算法的可扩展身份认证方法和系统。

背景技术

网络的广泛使用，深深影响着人们的生活，但随着网络广泛应用所带来的安全性问题也十分突出。网络安全的众多问题中，身份认证问题是其中一个首要解决的问题。身份认证是用于鉴别接入用户身份，并识别和限制非法用户访问网络系统资源的一种技术手段。如何正确的识别用户身份，并在相对安全的情况下对用户信息进行验证，是身份认证方法设计中普遍的思路。

可扩展身份认证协议(Extensible Authentication Portocol，EAP)最早定义在RFC 2284中，被设计用于点对点封装协议PPP协议中，是一种一般运行在数据链路层上，不必依赖于IP，支持多种认证方法的认证框架，而不是一个认证机制，后来被RFC 3748更新，用于基于端口的802.1X访问控制，最后又被RFC 5247所更新，现在主要用于网络接入认证。EAP协议是IEEE 802.1X认证机制的核心，它在链路控制(LCP)阶段没有选定一种认证机制，而把这一步推迟到了认证阶段。这就允许认证者在决定采用何种认证方法前得到更多信息，甚至允许认证者把收到的报文直接传给后端认证服务器，由后端认证服务器来真正实施各种认证方法，实现了EAP的扩展性及灵活性。

使用EAP协议，任意身份认证方法都可以对远程访问连接进行身份认证。通过远程VPN客户端和认证程序协商要使用的确切身份认证方案。特定的EAP身份认证方案称为EAP类型。远程访问客户端和认证程序必须支持相同的EAP类型才能成功进行身份认证。

EAP协议类型包括多种，有些EAP类型是产商私有的，有些EAP类型是标准的，如LEAP是Cisco私有的，PEAP是公有的标准。有些EAP仅能提供单向认证，而有些EAP可提供双向认证。在双向认证中，不仅认证服务器需要对请求方的身份进行认证，请求方也必须对认证服务器的身份进行认证，以防止自己提供的用户名和密码被非法或假冒的认证服务器窃取。

EAP一般的认证流程如下：

1)在链路建立阶段完成后，认证者发送一个或多个请求(Request)消息给被认证者，请求消息中有一个区域表明请求的类型；

2)被认证者对每一个请求消息响应一个响应(Response)消息，同样，响应消息中也有一个区域，与请求的类型对应；

3)认证者发送一个成功(Success)或失败(Failure)消息来结束认证。

现有的EAP认证方法目前大约有40种，IETF的RFC中定义的方法包括：EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM和EAP-AKA,还包括一些厂商提供的新的方法和新的建议。而其中很多方法都没有很强的认证保证，例如，MD5挑战字，只提供用户名和密码，还是单向认证，因此很容易受到离线字典攻击和中间人攻击，被攻破或假冒。

发明内容

有鉴于此，本发明的目的在于提出一种基于SM2算法的可扩展身份认证方法和系统，用以加强EAP的认证保证，提高网络身份认证安全性。

基于上述目的，本发明提供一种基于SM2算法的可扩展身份认证方法，包括：