[发明专利]AAA加强加密认证方法

说明书

技术领域：

本发明涉及一种认证方法，具体涉及一种AAA加强加密认证方法。

背景技术：

AAA协议是认证、授权和计费的简称，这些一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能保证网络系统安全可靠的运行。

IETF的AAA协议主要是RADIUS协议。它是远程认证拨入用户服务的全面应用。RADIUS以客户/服务器模式工作，实现了对远程拨号用户的身份认证、授权和计账功能。其客户端多为网络访问服务器(NAS)，主要负责把用户信息传递给指定的RADIUS服务器，然后对返回的响应进行操作；RADIUS服务器负责接收用户连接请求，认证用户身份，然后返回客户端为用户提供服务所需的全部配置信息。为保证传输的安全性，RADIUS客户端及RADIUS服务器间的通信通过共享密钥来进行相互认证，这个共享密钥不在网络上发送。此外，在客户端和服务器之间传送的数据均以MD5方式加密，以消除有人在不安全网络上窃听。RADIUS协议是一种基于UDP协议的上层协议。一般情况下，认证服务的监听端口号为1812，记账服务的监听端口号为1813。

RADIUS协议在2000年6月成为正式RFC(RFC2865)，随后逐步完善和扩展，成为AAA的首选协议。然而，随着网络技术的不断更新，尤其是无线互联网和物联网的快速发展，RADIUS协议的缺点也显现出来。

由RADIUS协议采用的安全策略分析，它存在明显的安全弱点：

(1)基于用户密码(User-Password)属性的共享密钥攻击：由于采用流加密(Stream-Cipher)技术来保护用户密码属性，因此攻击者如果能观察到网络流量，就可以获得有关共享密钥的信息，并尝试认证过程。攻击者可以用某个知道的密码向客户端发起认证，这样就能捕获客户端发出的RADIUS接入请求包。通过捕获的包进行一定的计算，就能使攻击者对共享的密钥发起离线的彻底攻击。

(2)重放攻击：RADIUS的所有报文没有经过加密；Access-Request报文的Access Authenticator只是一个随机数，而不能算作鉴别码；因此RADIUS服务器并不能对Access-Request报文进行鉴别；协议虽然要求Access-Request报文的请求鉴别码字段是不可预测的，并且在一段时间内不能重复，但RADIUS服务器并不对他的重复使用进行检查，所以可能导致重放攻击。

发明内容：

本发明的目的是提供一种AAA加强加密认证方法，它提高了移动互联网领域AAA认证的安全性，降低了认证被攻击的风险。

为了解决背景技术所存在的问题，本发明是采用如下技术方案：它的认证装置包含移动终端1、V接入网关服务器2、V认证服务器3，移动终端1通过APN与3G网络连接，3G网络经VPN加密隧道与V接入网关服务器2连接，V接入网关服务器2通过网络与V认证服务器3连接。

它的加密认证流程如下：用户接入NAS，NAS向RADIUS服务器使用Access-Request数据包提交用户信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account-Request，RADIUS服务器响应Account-Accept，对用户开始计费，同时用户可以进行自己的相关操作。

本发明具有以下特点：

一、客户端/服务器结构；

二、采用共享密钥保证网络传输安全性；

三、良好的可扩展性；

四、认证机制灵活。

本发明有如下有益效果：提高了移动互联网领域AAA认证的安全性，降低认证被攻击的风险。

附图说明：

图1为本发明的结构示意图，

图2为本发明的流程示意图。

具体实施方式：

参看图1-图2，本具体实施方式采用如下技术方案：它的认证装置包含移动终端1、V接入网关服务器2、V认证服务器3，移动终端1通过APN与3G网络连接，3G网络经VPN加密隧道与V接入网关服务器2连接，V接入网关服务器2通过网络与V认证服务器3连接。