80、企业网络快速切换的相互原像认证

企业网络快速切换的相互原像认证

1. 引言

无线网络在企业和家庭的 IT 基础设施中扮演着重要角色。一方面，它减少了使用铜缆或光纤电缆的昂贵基础设施；另一方面，为无线设备（如 PDA、笔记本电脑、智能手机等）提供了移动性，使用户能够自由移动。

IEEE 802.11i 标准为建立安全的无线基础设施提供了两种操作模式：个人模式和企业模式。个人模式常用于小型办公室和家庭办公室环境，使用预共享密钥（PSK）进行认证和保密，该密钥需在所有移动设备和接入点上手动配置。而企业网络则使用中央认证服务器（如 RADIUS 或 Diameter）通过 IEEE 802.1X 对关联的无线客户端进行认证，企业通常选择这种模式是因为其具备集中管理能力、可将无线账户与现有认证数据库关联，以及更高的安全性。

本文聚焦于企业环境中的移动客户端，如使用小型无线设备进行音频/视频电话、多媒体应用或远程控制的移动用户。在两个接入点之间漫游时，由于认证时间长，通常会导致延迟或数据包丢失，这在实时通信中非常烦人，甚至可能中断连接，在远程控制场景中还可能导致危险事件。因此，需要一种为快速切换优化的安全认证解决方案，以处理（近）实时通信。

2. 我们的贡献

我们提出了一种高效的可扩展认证协议（EAP），即相互原像认证（MPA）协议，用于与 RADIUS 或 Diameter 认证服务器配合使用。该协议使用加密哈希函数对双方进行认证，通过改进的哈希链技术，仅使用两条对称加密的协议消息就实现了安全的密钥协商和相互认证，并且为认证过程提供了不可否认性。

我们还在 Host AP 项目中实现了 EAP - MPA，包括带有集成 RADIUS 认证服务器的接入点部分（