[发明专利]一种基于EAP-MD5改进协议的身份认证方法及系统

说明书

本发明涉及一种基于EAP‑MD5改进协议的身份认证方法及系统，在该方法中，将Challenge和用户名进行了哈希处理，再将结果与用户密码进行异或，从而保护了Challenge，避免了明文传输，黑客由于不知道密码，因此截取数据后，无法直接采用暴力或字典破解的方法破解Challenge值，提高了暴力破解哈希的难度。同时，密码采用异或而不再明文组合式的包含在哈希值里，更增加了破解难度和复杂度，提高了密码使用的安全性，并引入时间戳作为后续认证中时间重放的判定依据。本发明可以在身份认证的过程中，有效降低协议被暴力破解的概率，并有效防止数据包的重放攻击，提高了认证的安全性。

技术领域

本发明涉及计算机通信技术领域，尤其涉及一种基于EAP-MD5改进协议的身份认证方法及系统。

背景技术

可扩展身份认证协议(Extensible Authentication Portocol，EAP)是一种支持多种认证方法的认证框架，用于基于端口的802.1X访问控制。EAP-MD5是一种最为基本的也是第一个用于WLAN中的EAP类型，较广泛的应用于有线或无线网络中端口认证。然而传统的EAP-MD5协议存在几个缺点，因此在一些高安全级的认证环境中EAP-MD5不被推荐使用，这几大缺点分别为：

1、易被MD5字典暴力破解用户密钥：请求方的用户名和认证挑战数总是明文可见，因此由用户名+密码+挑战数组成的MD5哈希值，其很容易受到离线字典攻击从而破译出用户密码。

2、容易出现重放攻击，即使不破解MD5哈希值，将上次一认证的所有数据包对认证服务器进行重放，由于服务器无法判断数据包的时间关系，因此也可能完成认证过程。

发明内容

针对上述问题，本发明旨在提供一种基于EAP-MD5改进协议的身份认证方法及系统，以降低协议被暴力破解哈希的概率，并且有效防止数据包重放攻击，提高协议的安全性。

具体方案如下：

一种基于EAP-MD5改进协议的身份认证方法，包括以下步骤：

S1：客户端向接入设备发送EAPOL_Start报文，开始认证接入；

S2：接入设备向客户端发送EAP_Request_Identity报文，要求客户端将用户名发送至接入设备；

S3：客户端发送请求回应EAP_Response/Identity报文至接入设备，其中请求回应EAP_Response/Identity报文中包括用户名；

S4：接入设备将接收到的请求回应EAP_Response/Identity报文中的用户名封装到RADIUS_Access_Request报文后，发送至认证服务器；

S5：认证服务器判断用户名是否属于合法用户名，如果不是，则不允许接入；如果是，则认证服务器产生一个Challenge，并将Challenge与用户名结合后，将结合后的结果进行哈希计算，并将计算的哈希值与用户密码进行异或运算处理，得到request信息，并将request信息通过接入设备使用RADIUS_Access_Challenge报文返回给接入设备；

S6：接入设备通过EAP_Request_Method报文，将接收到的request信息转发至客户端，要求客户端进行认证；

S7：客户端接收到request信息后，首先，将用户密码和request信息做异或运算，其次，将运算结果与当前时间戳进行异或运算，最后，将运算结果进行哈希运算得到哈希值，将哈希值与当前时间戳共同放入EAP_Response_Method报文中发送至接入设备；

S8：接入设备根据接收到的EAP_Response_Method报文将哈希值与当前时间戳共同放入RADIUS_Access_Request报文中发送至认证服务器，由认证服务器进行认证；