专利名称:使用eap对对等设备进行认证的方法和系统的制作方法
技术领域:
此处描述的示例实施例一般涉及无线通信网络,具体地,涉及网 络接入认证。
背景技术:
在传统网络(如无线网络)中,在允许对等设备接入网络之前需 要对对等设备进行认证。已经开发了许多标准以管理对等设备的认证 并控制对网络的接入。例如,IEEE标准802.11i定义了用于无线网络 接入和认证的特定安全协议,IEEE 802.1X为802局域网,特别是遵 循IEEE 802.11标准的无线局域网(WLAN)提供了基于端口的认证 框架。使用标准认证协议框架,如在RFC 3748中定义的可扩展认证 协议(EAP),可以实现IEEE 802.1X。
EAP定义了一种认证框架而不是实际的认证方法。在EAP中存 在许多可用于进行认证交换的方法/机制。可以称之为EAP专用认证 方法或机制。示例包括EAP-TLS、 EAP-SIM、 EAP-AKA、 PEAP、 LEAP 禾口 EAP-TTXS。
在EAP专用认证交换期间,对等设备和服务器生成主会话密钥 (MSK)。在服务器侧,还生成相关联的密钥生存期。此后,MSK将 用于导出其他密钥,包括瞬时会话密钥(TSK)-也被称为成对瞬时密 钥(PTK)。所导出的这些PTK或TSK将共享与MSK相同的密钥生 存期限制。如果EAP认证交换成功,则通常通过与接入端口相关联的 中间认证器,从服务器将EAP成功消息发送到对等设备。
当PTK或TSK的生存期届满时,认证器必须从网络上解除对对 等设备的认证。要求对等设备重复认证过程。如果对等设备正参与有 效的会话,该解除认证以及随之发生的从接入点的断开是非常不利的。 例如,在语音IP (VoIP)和其它这样的通信应用中,断开可以导致电话呼叫掉线。在另外的应用中,由于断开,媒体会话可能中断,数据包可能丢失。
相应地,提供用于对等设备认证的改进的方法和系统是有利的。
发明内容
至少一个示例实施例可以包括一种网络认证方法,将对等设备认证至具有认证器和认证服务器的无线网络,所述网络能够通过认证器来接入。所述方法可以包括执行对等设备和服务器之间的认证交换;在服务器中生成会话时间;以及将会话时间发送至认证器,并将成功消息从认证器发送至对等设备,其中,所述成功消息包括会话超时值,所述会话超时值包括密钥生存期。
至少一个示例实施例可以包括一种网络认证系统,包括要认证至无线网络的对等设备;耦合至网络的认证器;以及耦合至网络的认证服务器。所述对等设备和服务器可以被配置为执行认证阶段,所述服务器被配置为生成会话时间并将会话时间发送至认证器,所述认证器被配置为将成功消息发送至对等设备,其中,所述成功消息包括会话超时值,所述会话超时值包括会话时间。
一方面,本申请可以提供一种将对等设备认证至网络的方法,所述网络具有认证器和认证服务器,所述认证服务器支持可扩展认证协议(EAP),所述网络能够通过与认证器相关联的接入点来接入,所述方法包括以下步骤通过认证器在对等设备和认证服务器之间交换EAP专用认证消息;在对等设备中生成密钥材料(keying material);在认证服务器中生成所述密钥材料和相关联的密钥生存期,并将所述密钥材料和相关联的密钥生存期从认证服务器发送至认证器;以及在交换EAP专用认证消息之后,将EAP成功消息从认证器发送至对等设备,其中,所述EAP成功消息包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。所述方法还包括进行安全关联协议(如4次握手)来完成认证,并在将EAP成功消息发送至对等设备后,准许对等设备无阻塞地接入网络。
另一方面,本申请可以提供一种通信系统,包括具有接入点的网络;与所述接入点相关联的认证器;连接至所述网络的认证服务器, 所述认证服务器被配置为与认证器通信,所述认证服务器被配置为支 持可扩展认证协议(EAP);以及对等设备,被配置为连接至所述接入 点并通过认证器与认证服务器交换EAP专用认证消息,所述对等设备 还被配置为生成密钥材料,其中,所述认证服务器被配置为生成所述 密钥材料和相关联的密钥生存期,并将所述密钥材料和所述相关联的 生存期发送至认证器,以及,所述认证器被配置为在交换EAP专用认 证消息之后,将EAP成功消息发送至对等设备,其中,所述EAP成 功消息(42)包括码字段和数据字段,所述码字段包含成功指示符, 所述数据字段包含所述相关联的密钥生存期。所述对等设备和认证器 可以被配置为参与安全关联协议,以完成认证并准许对等设备无阻塞 地接入网络。
在又一方面,本申请可以提供一种网络中的接入点,用于允许对 等设备接入网络,所述网络包括支持可扩展认证协议(EAP)的认证 服务器,所述接入点包括认证器,所述认证器被配置为在认证服务器 和对等设备之间交换EAP专用认证消息,并被配置为从认证服务器接 收密钥材料和相关联的密钥生存期,所述认证器包括用于生成EAP成 功消息并用于在交换EAP专用认证消息之后将EAP成功消息发送至 对等设备的组件,其中,所述EAP成功消息包括码字段和数据字段, 所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生 存期。所述认证器还可以被配置为参与安全关联协议,以完成认证并 准许对等设备无阻塞地接入网络。
在又一方面,可以提供一种在网络中的接入点处允许对等设备接 入网络的方法,所述网络包括支持可扩展认证协议(EAP)的认证服 务器,所述方法包括在认证服务器和对等设备之间交换EAP专用认 证消息;从认证服务器接收密钥材料和相关联的密钥生存期;生成 EAP成功消息;以及在交换EAP专用认证消息之后,将EAP成功消 息发送至对等设备,其中,所述EAP成功消息包括码字段和数据字段, 所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生 存期。
现在参考附图,通过示例方式来描述示例实施例,在附图中,使 用相似的参考标号来表示相似的特征。
图1示出了其中可以应用实施例的示例无线局域网系统的图解视
图2以图解的形式示出了应用于图1所示的系统的对等设备、认 证器和认证服务器之间的网络认证对话的示例实施例;以及
图3示出了应用于图1所示系的统中的、在原始会话届满之前发 起新的认证会话的示例时间线。
具体实施例方式
以下一个或多个具体实施例的描述不应将本发明的实现限制为 任何具体计算机编程语言、操作系统、系统架构或设备架构。虽然以 下讨论的示例实施例中的一些涉及无线网络或WLAN,但本申请不限 于无线网络,而是适用于将EAP框架用于对等设备认证的任何网络。
典型地,EAP是在数据链路层(例如IEEE 802.11、 PPP、 VPN 中的IKEv2等)运行的认证框架。 一般而言,EAP允许使用后端认证 服务器,通过使用认证器作为一些或所有EAP专用认证消息的通道, 后端认证服务器可以实现一些或所有EAP专用认证方法。在IETF的 请求注解(RFC) 3748中概述了 EAP的框架,其内容结合在此作为 参考。
现在参见图1,图1示出无线局域网系统10的示例实施例的图解 视图。示出了基于以太网的主干线12具有用于连接多个设备的多个端 口。如图所示,以太网12可具有至少一个接入点16。系统10包括被 配置为与接入点16之一进行无线通信的对等设备20。在其他实施例 中,对等设备20可以被配置为与接入点16之一或以太网12上的其它 接入点进行有线连接并进行通信。在一些示例实施例中,至少一个接 入点16可实现IEEE 802.1X端口接入实体(PAE) 17,以允许对等设 备20接入主干线12。示出了认证服务器14连接到主干线12并被配置为提供用以认证对等设备20的认证服务。多个其它设备22也可以 连接到以太网12并可以被配置为在网络系统10中进行通信。
在一些示例实施例中,对等设备20可以是任何客户端设备,包 括计算机终端、无线移动设备、个人数字助理或被配置为通过接入点 16之一接入以太网12的其它任何设备。
端口 17可全部或部分地从阻塞切换到无阻塞,反之亦然。当接 入点16初始检测到设备(如对等设备20)时,从而部分启用端口 17 并将其设置为"未授权"状态。在这种状态下,只允许802.1X业务量, 而阻塞其它业务量,如DHCP (动态主机配置协议)和HTTP (超文 本传输协议)。如果对等设备20认证成功,则端口17变为无阻塞。
在一些示例实施例中,如图1所示,接入点16包括认证器15或 与认证器15相关联。在其它示例实施例中,认证器15可以与接入点 16分离。如以下将更详细描述的,认证器15便于网络系统10中对等 设备20的认证。在一些示例实施例中,认证器15用作认证服务器14 和对等设备20之间的通道。
在至少一些示例实施例中,可以使用任何适合的服务器设备(例 如其上安装有合适的可执行应用程序的控制器)来实现认证服务器 14。例如,如本领域所知的,可以使用远程拨号用户认证服务 (RADIUS)来配置认证服务器14。 一般而言,RADIUS服务器确定 对等设备20是否可接受使用指定或规定的协议来进行认证。如果接 受,则RADIUS服务器通过将EAP成功消息发送到认证器15来授权 对等设备20接入以太网12。在其他示例实施例中,如本领域所知的, 可以使用Diameter (例如可以用于执行DIAM-EAP协议)来配置认证 服务器14。本领域普通技术人员可以认识到认证服务器14的其它示 例实现方式。
现在参见图2,图2示出了应用于图1所示系统的对等设备20、 接入点16和认证服务器14之间的网络认证对话的示例性实施例。一 般而言,单向箭头表示从一个设备到另一个设备的单向数据传送,而 双向箭头表示设备之间的双向数据传送或数据交换。如时间箭头28 所指示,可以按照时间顺序来执行该对话。在一些示例实施例中,假定认证器15和认证服务器14在以太网 12上建立了安全通道,例如,如本领域所知的,使用IEEE 802.1X建
立安全通道。
在一些示例实施例中,该对话包括发现阶段、附着阶段、认证阶 段和安全关联协议阶段,通常称之为4次握手。发现阶段可以包括探 查请求和探査响应30。附着阶段可以包括认证请求和认证响应32,以 及关联请求和关联响应34。认证阶段可以包括EAP请求标识和EAP 响应标识36、接入请求38、 EAP专用认证交换40和AAA成功消息 41以及EAP成功消息42。安全关联协议阶段包括例如IEEE 802.11i 中定义的4次握手44。
发现阶段和附着阶段可以在对等设备20和接入点16之间进行。 发现阶段和附着阶段一般位于任何EAP协议外部。在发现阶段,对等 设备20主动定位任何接入点16以接入与这些接入点16相关联的特定 网络。在一些示例实施例中,手动或自动执行发现阶段。根据适当的 协议,发现阶段和后续的附着阶段的每一个步骤可以包括数据帧。对 于一些实施例,在IEEE 802.11中概述了发现阶段和附着阶段。
探查请求和响应步骤30是主动的过程,通过该过程,对等设备 20主动发现接入点16的安全策略。对等设备20向接入点16发送探 查请求。如果探査请求被肯定应答,则接入点16向对等设备20发回 探查响应。例如,探查请求数据帧可以包括服务设置标识符和所支持 的速率。例如,探查响应数据帧可以包括时间戳、信标间隔、能力信 息、SSID、所支持的速率和安全参数。
一旦探査步骤30成功,就交换认证请求和响应步骤32。成功的 认证允许进一步的指定数据交换,例如关联步骤34。例如,认证数据 帧可以包括认证算法编号、认证事务序列号、状态码和质询文本。
一旦认证步骤32成功,就交换关联请求和响应步骤34。成功的
关联允许进一步的指定数据交换,如数据帧、管理帧和控制帧。例如, 关联请求数据帧可以包括能力信息、监听间隔、SSID和所支持的速率。 例如,关联响应数据帧可以包括能力信息、状态码、关联ID和所支 持的速率。基于附着阶段的成功结束,可以发起认证阶段。可以使用EAP 请求标识和EAP响应标识36来开始认证阶段。这可以采用EAP分组 的形式。示例性EAP分组格式构造如下码、标识符、长度和数据。 可以有四种类型的码1)请求、2)响应、3)成功以及4)失败。标 识符协助将响应与请求相匹配。长度字段指示EAP分组的长度。数据 字段可以是0或更多字节,格式可以根据码字段的不同而变化。
在成功完成EAP请求标识和EAP响应标识36之后,认证器15 向认证服务器14发送接入请求38。作为响应,认证器发起与对等设 备20的EAP专用认证交换40。EAP认证交换40取决于所使用的EAP 协议的类型。例如,EAP认证协议可以是EAP-PEAP、 EAP-TLS、 EAP-SIM等。
在认证阶段期间,在对等设备20和认证服务器14上都生成密钥 材料。在一些实施例中,生成密钥材料作为EAP专用认证交换40的 一部分。在系统包括后端认证服务器14的实施例中,在认证阶段期间, 有密钥传输步骤,将密钥材料从认证服务器14发送至认证器15。在 2006年6月25日的IEIF草案文件draft-ietf-eap-keying-14加(以下称 为"KMF-EAP")中描述了一种已提出的密钥管理框架,其内容结合在 此作为参考。如KMF-EAP中所述,密钥材料包括主会话密钥(MSK), 有时称之为AAA密钥(认证、授权和计费)。在对等设备20和认证 服务器14处均导出MSK。在认证阶段期间,认证服务器14将MSK 发送至认证器15。认证阶段之后,对等设备20和认证器15可以使用 MSK来生成其他密钥,包括成对主密钥(PMK)和瞬时会话密钥 (TSK)。
如果认证协议交换40成功,则认证服务器14向认证器15发送 AAA成功消息41,以指示对等设备20已经被认证服务器14认证。 此时,可以将密钥材料(如MSK)发送到认证器15。密钥材料可以 包括在AAA成功消息41中,或在单独的消息中发送。认证服务器14 还可以向认证器15发送密钥材料的相关联的密钥生存期。在一些示例 实施例中,密钥生存期是默认值,例如8小时。密钥生存期还可被称 为会话超时值,指示在要求对等设备20的重新认证之前的最大会话时间。
然后,认证器15生成EAP成功消息42并将其发送到对等设备 20。可以使用EAP分组的格式来构造EAP成功消息42。认证器还将 密钥生存期发送到对等设备20。在一个实施例中,密钥生存期包含在 EAP成功消息42中。例如,密钥生存期可包括在成功分组的数据字 段中。定义EAP文献RFC 3748的4.2节中禁止在EAP成功分组的数 据部分中包括任何数据。相应地,本申请的实施例将不遵从RFC 3748, 除非修改该标准以允许在成功分组中包括这样的数据。
接收到EAP成功消息42后,对等设备20拥有与在对等设备20 处生成的MSK相关联的密钥生存期。因此,对等设备20可以准确地 预测其必须重新认证的截止时间,以免突然解除认证和可能的断开。
在认证阶段之后,对等设备20和认证器15执行安全相关协议, 如本领域所知,在802.11i的情况下,该协议被称为4次握手。4次握 手使得认证器15和对等设备20能够建立彼此的安全关联。成功完成 4次握手使IEEE 802.1X端口 17 (在接入点16中)变为无阻塞并允许 一般的数据业务量。成功完成安全关联协议还导致生成或导出对等设 备20和认证器15已知的瞬时会话密钥(TSK)。
认证器15也可以执行解除认证的步骤。解除认证完全或部分地 将对等设备20从系统IO断开。IEEE 802.1X端口 17变为阻塞并不再 允许与对等设备20进行特定的数据交换。例如,在一些实施例中,端 口 17仍可以允许802.1X业务量,但是阻塞其它业务量(如DHCP和 HTTP)。解除认证要求对等设备20再一次执行认证阶段(如果需要, 也执行发现阶段和附着阶段)。使用上述处理的对等设备20的重新认 证导致生成新密钥材料,该新密钥材料具有新的相关联的密钥生存期, 此后,可以准许对等设备20经认证计入网络12。
在一些示例实施例中,系统10可以允许对等设备20的预认证。 在这些实施例中,在实际附着到认证器15之前,对等设备20和认证 器15预先建立EAP密钥材料。因此,此后可以使用已经建立的密钥 来执行4次握手44,以重新建立认证的会话。以与上述认证类似的方 式执行预认证。相应地,在一些实施例中,不同之处在于重新认证(例如EAP成功消息42)和4次握手44之间将有延迟。
可以认识到,对于系统10的具体实施例的操作,上述步骤中的
一些或全部可能是必要的,也可能不是必要的。例如,当对等设备20
和接入点16已经互相发现时,不需要发现阶段。
与可以认识到,密钥生存期从认证器15到对等设备20的传送使
得对等设备20能够预测其会话的届满。因此。对等设备20可以釆取
主动的步骤以确保在有效的媒体会话(如VoIP呼叫)中间会话不会届
满。基于对密钥生存期的认识,对等设备20可以在会话届满之前发起
重新认证。
通过将密钥生存期的通信结合入EAP成功消息42中,本申请避 免了必须对每一种EAP专用方法进行修改,以在EAP专用认证交换 40期间传送密钥生存期。这也避免了必须在安全关联协议(例如4次 交换)期间传送密钥生存期。
现在参见图3,图3示出了对等设备20和认证器15之间的网络 认证会话的示例性时间线。例如,在时刻O处(t=0),可以发起原始 网络会话90。例如,可以在4次握手44成功并且端口 17无阻塞后发 起原始网络会话卯。在一些示例实施例中,在会话超时值届满(使用 t-tf表示)时,原始会话结束94。此时,认证器15可以执行对等设备 20的解除认证,从而完全或部分地断开对等设备20。此后,对等设备 20必须发起新的会话,例如通过重新发起认证阶段(或者,合适时发 起发现阶段和附着阶段)来发起新的会话。
在其他示例实施例中,再次参见图3,对等设备20可以在原始会 话结束94之前发起新的会话92。由于当接收到EAP成功消息42时, 对等设备20被通知了密钥生存期值,因此,对等设备20可以选择在 原始会话结束94之前的合适的时间来建立新会话92的认证。对等设 备20可以基于密钥生存期的百分比来选择发起重新认证的时间。该百 分比可以是固定值或可变值,并表示为p。因此,例如,如果密钥生 存期是8小时,则重新发起认证的合适时间可以是6个小时,意味着 M可以被设为0.75。仅作为示例,其它适合的p值的范围可以从0.5 至lj0.99。理论上说,n可以在从O到l内的任何范围。在一些实施例中,可以将重新认证时间设为密钥生存期届满之前的固定时间,例如 30分钟。可以认识到,可以使用其它适合的固定时间。
在一些实施例中,对等设备20可以尝试确保没有任何有效的媒 体会话或服务由于重新认证过程而中断。相应地,在一些示例实施例
中,对等设备20可以等待直到对等设备20暂时空闲时进行重新认证。 在一些示例实施例中,例如,如果对等设备20被配置为用于语音IP 呼叫应用,如果用户在对等设备20上发起语音呼叫,则对等设备20 可以告知用户现有会话中剩下的时间。例如, 一旦到达重新认证的时 间,对等设备20可以进行测试以确定在通信链路上是否存在任何有效 的服务或会话。如果有,则在重新认证前,对等设备10等待直到该服 务或会话结束。
在一些示例实施例中,在发起新的会话步骤92期间,对等设备 20执行重新认证,即重新与认证器15建立EAP密钥材料。这可以通 过执行与EAP认证协议交换40类似的步骤来完成,在需要时,也可 以执行其它任何在前的步骤。相应地,在原始会话结束94前,对等设 备20已经建立适合的密钥,只需要完成用于重新认证的4次握手44。
在一些示例实施例中,在原始会话结束94之前,对等设备20可 以被配置为开启或关闭发起新会话92的选项。相应地,对等设备20 的用户能够设置或配置所需的选项。
在一些实施例中,对等设备20的用户还可设置默认的)a值和/或 在每一个会话开始时手动设置p值。类似地,在一些示例实施例中, 接入点(或认证器15)可以被配置为开启或关闭发起新会话92的选 项。
在一些示例实施例中,对等设备20可以在显示屏(未示出)上 显示定时器,该定时器对原始网络会话中剩下的时间量进行显示或倒 计数。因此,连续地或间歇地通知对等设备20的用户剩下的会话时间。 用户可以在原始网络会话结束94之前相应地采取动作。例如,用户可 以选择不开始语音呼叫或不发起任何新的数据传送。在一些示例实施 例中,对等设备20上还可以有用户可选择的手动选项,其中,基于对 等设备20的用户的选择,发起与认证器15的新的会话92。以上描述不应限于IEEE 802.11i。更合理地,本发明的示例实施 例可以应用至其它网络协议,包括使用EAP的网络协议。相应地,例 如,本系统可以应用于点对点协议(PPP)上的EAP、 IKEv2上的EAP等等。
尽管在以上的描述中详细描述了本发明,但是本领域技术人员应 当理解,在不脱离仅由所附权利要求来限定的本发明的范围的前提下,
可以做出改变。
权利要求
1.一种将对等设备(20)认证至网络的方法,所述网络具有认证器(15)和认证服务器(14),所述认证服务器(14)支持可扩展认证协议“EAP”,所述网络能够通过与认证器相关联的接入点(16)来接入,所述方法包括以下步骤通过认证器(15)在对等设备(20)和认证服务器(14)之间交换EAP专用认证消息(40);在对等设备(20)中生成密钥材料;在认证服务器(14)中生成所述密钥材料和相关联的密钥生存期,并将所述密钥材料和所述相关联的密钥生存期从认证服务器(14)发送(41)至认证器(15);以及在交换EAP专用认证消息(40)之后,将EAP成功消息(42)从认证器(15)发送至对等设备(20),其中,所述EAP成功消息(42)包括码字段和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。
2. 根据权利要求1所述的方法,还包括以下步骤进行安全关联 协议(44)来完成认证,并在将EAP成功消息(42)发送至对等设备(20)后,准许对等设备(20)无阻塞地接入网络。
3. 根据权利要求2所述的方法,其中,所述密钥材料包括主会话 密钥"MSK",安全关联协议(44)包括4次握手,所述4次握手包括 从MSK导出成对主密钥"PMK",并根据PMK生成瞬时会话密钥 "TSK",所述TSK用于加密对等设备(20)和接入点(16)之间的后 续通信。
4. 根据权利要求3所述的方法,其中,与MSK相关联的密钥生 存期与从MSK导出的每一个密钥相关联,所述从MSK导出的密钥包 括PMK和TSK。
5. 根据权利要求1至4中任一项所述的方法,还包括,在相关联 的密钥生存期届满之前,对等设备(20)发起与服务器的另外的EAP 认证交换,以重新认证对等设备,并生成新的密钥材料和新的相关联的密钥生存期。
6. 根据权利要求5所述的方法,还包括以下步骤检测对等设备(20)上有效的会话,并在发起所述另外的EAP认证交换之前,等待 所述有效的会话终止。
7. —种通信系统,包括 具有接入点(16)的网络;与所述接入点(16)相关联的认证器(15);连接至所述网络的认证服务器(14),所述认证服务器(14)被 配置为与认证器(15)通信,所述认证服务器(14)被配置为支持可扩展认证协议"EAP";以及对等设备(20),被配置为连接至所述接入点(16),并通过认证 器(15)与认证服务器(14)交换EAP专用认证消息(40),所述对 等设备(20)还被配置为生成密钥材料,其中,所述认证服务器(14)被配置为生成所述密钥材料和相关 联的密钥生存期,并将所述密钥材料和所述相关联的生存期发送至认 证器(15),以及,所述认证器(15)被配置为在交换EAP专用认证消息(40)之后, 将EAP成功消息(42)发送至对等设备(20),其中,所述EAP成功 消息(42)包括码字段和数据字段,所述码字段包含成功指示符,所 述数据字段包含所述相关联的密钥生存期。
8. 根据权利要求7所述的系统,其中,所述对等设备(20)和所 述认证器(15)被配置为参与安全关联协议(44),以完成认证并准许 对等设备(20)无阻塞地接入网络。
9. 根据权利要求8所述的系统,其中,所述密钥材料包括主会话 密钥"MSK",安全关联协议(44)包括4次握手,所述4次握手包括 从MSK导出成对主密钥"PMK",并根据PMK生成瞬时会话密钥 "TSK",所述TSK用于加密对等设备(20)和接入点(16)之间的后 续通信。
10. 根据权利要求9所述的系统,其中,与MSK相关联的密钥生 存期与从MSK导出的每一个密钥相关联,所述从MSK导出的密钥包括PMK和TSK。
11. 根据权利要求7至IO中任一项所述的系统,其中,所述对等 设备(20)还被配置为,在相关联的密钥生存期届满之前,发起与服 务器(14)的另外的EAP认证交换,以重新认证对等设备(20),并 生成新的密钥材料和新的相关联的密钥生存期。
12. 根据权利要求11所述的系统,其中,所述对等设备(20)还 被配置为,检测对等设备(20)上有效的会话,并在发起所述另外的 EAP认证交换之前,等待所述有效的会话终止。
13. 根据权利要求7至12中任一项所述的系统,其中,所述对等 设备(20)包括显示器,所述对等设备(20)被配置为显示定时器, 所述定时器指示密钥生存期中剩下的时间。
14. 一种网络中的接入点(16),用于允许对等设备(20)接入网 络,所述网络包括支持可扩展认证协议"EAP"的认证服务器(14), 所述接入点(16)包括认证器(15),所述认证器(15)被配置为在认证服务器(14) 和对等设备(20)之间交换EAP专用认证消息(40),并被配置为从 认证服务器(14)接收密钥材料和相关联的密钥生存期,所述认证器 (15)包括用于生成EAP成功消息(42)并用于在交换EAP专用认 证消息(40)之后将EAP成功消息(42)发送至对等设备(20)的组 件,其中,所述EAP成功消息(42)包括码字段和数据字段,所述码 字段包含成功指示符,所述数据字段包含所述相关联的密钥生存期。
15. 根据权利要求14所述的接入点,其中,所述对等设备(20) 和所述认证器(15)被配置为参与安全关联协议(44),以完成认证并 准许对等设备(20)无阻塞地接入网络,其中,所述密钥材料包括主 会话密钥"MSK",安全关联协议(44)包括4次握手,所述4次握手 包括从MSK导出成对主密钥"PMK",并根据PMK生成瞬时会话密 钥"TSK",所述TSK用于加密对等设备(20)和接入点(16)之间的 后续通信。
16. 根据权利要求15所述的接入点,其中,与MSK相关联的密 钥生存期与从MSK导出的每一个密钥相关联,所述从MSK导出的密钥包括PMK和TSK。
17. —种在网络中的接入点(16)处允许对等设备(20)接入网 络的方法,所述网络包括支持可扩展认证协议"EAP"的认证服务器(14),所述方法包括在认证服务器(14)和对等设备(20)之间交换EAP专用认证消 息(40);从认证服务器(14)接收密钥材料和相关联的密钥生存期; 生成EAP成功消息(42);以及在交换EAP专用认证消息(40)之后,将EAP成功消息(42) 发送至对等设备(20),其中,所述EAP成功消息(42)包括码字段 和数据字段,所述码字段包含成功指示符,所述数据字段包含所述相 关联的密钥生存期。
18. —种计算机可读介质,包括计算设备的处理器可执行的程序 代码,以使所述计算设备执行根据权利要求n所述的方法。
全文摘要
一种使用可扩展认证协议(EAP)将对等设备认证至网络的方法和系统。在EAP成功消息中,将与在对等设备和认证服务器中生成的密钥材料相关联的密钥生存期从认证器发送至对等设备。被提供以密钥生存期的对等设备能够预测其已认证的会话的终止,并在密钥生存期届满之前发起重新认证。
文档编号H04L9/32GK101542973SQ200880000707
公开日2009年9月23日 申请日期2008年2月8日 优先权日2007年2月9日
发明者里奥那多·何塞·席尔瓦·萨罗蒙 申请人:捷讯研究有限公司