企业网络切换协议 EAP - MPA 解析
超级会员免费看
用于企业网络快速切换的互逆像认证协议 EAP - MPA 解析
1. 安全目标
在请求者/客户端(C)的实例 Ci 和认证服务器(S)的实例 Sj 之间,EAP - MPA 协议需要实现两个安全目标:相互认证和认证密钥交换,这两个目标在协议的初始化阶段 0 和主阶段都要达成。
1.1 相互认证定义
在正确运行的 EAP - MPA 协议的两个阶段中,若出现以下任何一个事件,则表示相互认证属性被破坏:
1. 未被破坏的客户端实例 Ci 接受与被破坏的服务器实例的协议运行。
2. 未被破坏的服务器实例 Sj 接受与被破坏的客户端实例的协议运行。
3. 未被破坏的客户端实例 Ci 和服务器实例 Sj 都接受协议运行后,它们共享不同的会话密钥(EKA,EKB)或拥有不对应的认证凭证(AUT HA/B,PROOFA/B)。
1.2 认证密钥交换定义
给定一个均匀选择的比特 b,PPT 敌手 A 与正确的协议 Π 进行交互,且 A 不允许对已接受的实例查询 SessionKeyReveal() 或破坏实例。认证密钥交换游戏 GameAKEΠ(A, l) 的交互过程如下:
1. A 在不使用 SessionKeyReveal() 和 Corrupt() 查询的情况下与实例 Ci、Sj 交互。
2. A 向实例 Ci 或 Sj 发送 Test() 查询,并根据 b 的值,得到从 {0,1}l(若 b = 0)或 {EKA, EKB}(若 b = 1)中选择的随机值。
3. 进一步交互后,A 终止并输出一个比特 b′。若 b′ = b,则 A 赢得游戏。敌手在所有敌手(运行时间为 l)中对 b 随机猜测的最大优势概率为:
AdvAKEΠ(A, l) = maxA |2Pr[GameAKEΠ(A, l) = b] − 1|
2. 安全证明
安全分析基于 Shoup 的游戏序列技术,采用从 LaMacchia 等人和 Huang 等人改进而来的 eCK 安全模型。这里主要给出主模式和初始化阶段最安全的非对称模式的安全证明。
2.1 初始化阶段(非对称)
此阶段使用公钥加密进行相互认证,即协议内的所有加密都是用预期接收方的公钥进行的公钥加密。
2.1.1 相互认证定理
在具有抗二次原像的加密哈希函数和 IND - CCA2 安全的非对称加密方案的条件下,EAP - MPA 协议在相互认证方面满足定义 2,且成功概率有如下上限:
SuccMA Phase 0 / asym.(l) ≤ 4q2 / 2l + 4 · Advind - cca2 asym. cipher(l)
通过一系列游戏来证明:
-
游戏 G0
:真实协议,模拟器 Δ 根据协议规范模拟客户端 C 和服务器 S 的所有协议查询。
-
游戏 G1
:避免随机数 NA、NB 碰撞。当模拟器 Δ 在不同协议会话中选择相同的随机数 NA 或 NB 时,模拟中止。此操作排除了重放消息 3 和 4 的可能性,且 |Pr[WinMA1] − Pr[WinMA0]| ≤ 2q2 / 2l。
-
游戏 G2
:避免 NXTA、NXTB 碰撞。当模拟器 Δ 在不同协议会话中选择相同的 NXTA 或 NXTB 值时,模拟中止。这也确保了 NXT PROOFA 和 NXT PROOFB 不会碰撞,|Pr[WinMA2] − Pr[WinMA1]| ≤ 2q2 / 2l。
-
游戏 G3
:加密信息增益。模拟器 Δ 将消息 2 和 3 中 NA 和 NB 的加密替换为随机选择的值。此操作排除了敌手 A 在第 3 和第 4 个协议消息中发送自己的 NXTA/B 值的可能性,|Pr[WinMA3] − Pr[WinMA2]| ≤ 4 · Advind - cca2 asym. cipher(l)。
在非对称模式下,EAP - MPA 协议还能抵抗未知密钥共享(UKS)攻击。最终,由于身份无法被伪造,NXTA/B 值无法被伪造,且随机参数不会意外匹配,敌手 A 破坏相互认证属性的成功概率 Pr[WinMA3] = 0。
2.1.2 认证密钥交换定理
在具有抗二次原像的加密哈希函数和 IND - CCA2 安全的非对称加密方案的条件下,EAP - MPA 协议在认证密钥交换方面满足定义 3,且成功概率有如下上限:
SuccAKE Phase 0 / asym.(l) ≤ 4q2 / 2l + 4 · Advind - cca2 asym. cipher(l) + 2 · Advprf hash(l)
游戏过程如下:
-
游戏 G0
:真实协议,模拟器 Δ 根据协议规范模拟客户端 C 和服务器 S 的所有协议查询。
-
游戏 G1、G2、G3
:与相互认证证明中的对应游戏相同。
-
游戏 G4
:EKA、EKB 的伪随机性。模拟器 Δ 随机选择 EKA 和 EKB 的值,而不是用伪随机函数计算。此操作排除了敌手 A 以高于 1 / 2l 的概率计算密钥 EKA 和 EKB 的可能性,|Pr[WinAKE4] − Pr[WinAKE3]| ≤ 2 · Advprf hash(l)。由于没有 NA/B、NXTA/B 的碰撞,无法成功更改 NXTA 和 NXTB 值,且交换的密钥 EKA 和 EKB 是完全随机的,敌手 A 选择 b′ 使得 b = b′ 的成功概率为 1 / 2,即 Pr[WinAKE3] = 0。
2.2 主阶段
主阶段的安全分析也从相互认证和认证密钥交换两个方面进行。
2.2.1 相互认证定理
在具有抗二次原像的加密哈希函数和 IND - CCA2 安全的对称加密方案的条件下,EAP - MPA 协议在相互认证方面满足定义 2,且成功概率有如下上限:
SuccMA Phase 1(l) ≤ 2 · [2q2 / 2l + Advind - cca2 sym. cipher(l) · (1 + Succ2nd preimage hash(l))]
通过以下游戏证明:
-
游戏 G0
:真实协议,模拟器 Δ 根据协议规范模拟客户端 C 和服务器 S 的所有协议查询。
-
游戏 G1
:避免 NXT、PROOF 碰撞。当模拟器 Δ 在不同协议会话中选择相同的 NXTA、NXTB、PROOFA 或 PROOFB 值时,模拟中止。此操作排除了机密参数 NXTA/B 和 PROOFA/B 意外碰撞的可能性,|Pr[WinMA1] − Pr[WinMA0]| ≤ 4q2 / 2l。
-
游戏 G2
:创建有效 IP 值。若存在未由诚实方先前计算的有效完整性保护(IP)值,模拟器 Δ 停止。伪造 IP 值,敌手需要收集进入“哈希”函数的所有输入数据,有两种可能途径获取信息,但计算出的区分游戏的概率是明显的上限。由于敌手无法成功操纵受 IP 保护的数据且无意外碰撞,敌手 A 破坏相互认证属性的总体成功概率为 Pr[WinMA2] = 0。
2.2.2 认证密钥交换定理
在具有抗二次原像的加密哈希函数和 IND - CCA2 安全的对称加密方案的条件下,EAP - MPA 协议在认证密钥交换方面满足定义 3,且成功概率有如下上限:
SuccAKE Phase 1(l) ≤ 2 · [2q2 / 2l + Advind - cca2 sym. cipher(l) · (1 + Succ2nd preimage hash(l)) + Advprf hash(l)]
游戏过程如下:
-
游戏 G0
:真实协议,模拟器 Δ 根据协议规范模拟客户端 C 和服务器 S 的所有协议查询。
-
游戏 G1、G2
:与相互认证证明中的对应游戏相同。
-
游戏 G3
:EKA、EKB 的伪随机性。模拟器 Δ 随机选择 EKA 和 EKB 的值,而不是用伪随机函数计算。此操作排除了敌手 A 以高于 1 / 2l 的概率计算密钥 EKA 和 EKB 的可能性,|Pr[WinAKE3] − Pr[WinAKE2]| ≤ 2 · Advprf hash(l)。由于没有 NA/B、NXTA/B 的碰撞,无法成功更改 NXTA 和 NXTB 值,且交换的密钥 EKA 和 EKB 是完全随机的,敌手 A 选择 b′ 使得 b = b′ 的成功概率为 1 / 2,即 Pr[WinAKE3] = 0。
3. 性能分析
3.1 常见 EAP 协议
- EAP - TLS :使用客户端和服务器证书进行认证,是最安全的 EAP 协议之一,支持快速重新连接,认证时间较短,且有大量实现支持。
- EAP - TTLS :用证书认证服务器,允许客户端使用基于更简单或更快技术的内部认证方法(如 CHAP)。它与 EAP - PEAP 是最常用的 EAP 协议之一,无需 PKI 即可进行客户端认证,且集成在微软和思科的实现中。
- EAP - PSK :设计高效,认证仅依赖对称密码学(预共享密钥),仅使用四条消息,是无线场景中最快 EAP 协议的候选者,但不太普及。
3.2 性能结果
性能分析基于 Linux 下的访问点软件 hostapd(版本 0.6.9)和客户端请求者软件 wpa supplicant(版本 0.6.9)。由于 hostapd 不支持快速重新连接,在访问点设备上额外使用了 freeRADIUS 认证服务器。所有测试重复 20 次,标准方差较小,证明测试具有实用性。
|协议|首次认证时间(ms)|主阶段/快速重连时间(ms)|
| ---- | ---- | ---- |
|EAP - MPA(对称[0xEE])| - | - |
|EAP - MPA(混合[0xEC])| - | - |
|EAP - MPA(非对称[0xCC])| - | - |
|EAP - PSK| - | - |
|EAP - TLS| - | - |
|EAP - TTLS/CHAP| - | - |
从测试结果来看,EAP - MPA 在主阶段运行时提供了最快的结果。与 EAP - TLS 在快速重连模式下相比快两倍,比 EAP - PSK 快三分之一。
3.3 性能分析流程
graph LR
A[选择测试环境] --> B[安装 hostapd 和 wpa supplicant]
B --> C[配置 freeRADIUS 认证服务器]
C --> D[进行 20 次测试]
D --> E[记录首次认证和主阶段/快速重连时间]
E --> F[分析结果并比较协议性能]
综上所述,EAP - MPA 协议在安全和性能方面都有出色表现,其主阶段认证时间仅为 10ms,是常见 EAP 协议中最快的,适合快速漫游场景。未来可针对不同操作系统提供经过良好测试和性能优化的 EAP - MPA 实现,并对无线漫游性能进行进一步优化。
4. 协议优势总结
4.1 安全优势
EAP - MPA 协议在安全方面有着显著的优势,通过一系列的安全证明可以看出其在相互认证和认证密钥交换上的可靠性。在初始化阶段的非对称模式中,利用公钥加密进行相互认证,结合多个游戏步骤,有效抵抗了多种攻击,如未知密钥共享(UKS)攻击,确保了身份无法被伪造,随机参数不会意外匹配,从而保证了相互认证的安全性。在主阶段,使用对称加密方案,同样通过精心设计的游戏流程,防止了敌手伪造关键参数和操纵数据,保障了协议的安全运行。
下面通过表格对比不同阶段的安全保障措施:
|阶段|加密方式|安全保障措施|
| ---- | ---- | ---- |
|初始化阶段(非对称)|公钥加密|避免随机数和关键值碰撞、防止加密信息被利用、抵抗 UKS 攻击|
|主阶段|对称加密|避免关键参数碰撞、防止伪造 IP 值|
4.2 性能优势
在性能方面,EAP - MPA 协议表现卓越。与常见的 EAP 协议如 EAP - TLS、EAP - TTLS 和 EAP - PSK 相比,它在主阶段的认证时间最短。从性能测试结果可知,EAP - MPA 在主阶段运行时比 EAP - TLS 在快速重连模式下快两倍,比 EAP - PSK 快三分之一。其高效性主要得益于协议设计的简洁性和优化,尤其在快速漫游场景中具有明显的优势。
5. 应用场景与建议
5.1 适用场景
EAP - MPA 协议适用于企业网络中的快速切换场景。在企业环境中,员工可能需要在不同的接入点之间频繁切换网络,传统的 EAP 协议可能会导致较长的认证时间,影响工作效率。而 EAP - MPA 协议的快速认证特性可以大大缩短切换时间,提高网络使用的流畅性。例如,在大型办公园区、工厂车间等无线网络覆盖范围广且人员流动性大的地方,EAP - MPA 协议能够发挥其优势,为用户提供快速、稳定的网络连接。
5.2 实施建议
如果企业决定采用 EAP - MPA 协议,以下是一些实施建议:
1.
环境准备
:确保网络环境支持相关的软件和硬件。安装合适版本的 hostapd 和 wpa supplicant 软件,并配置好 freeRADIUS 认证服务器。
2.
测试优化
:在正式部署之前,进行充分的测试。可以在小规模的网络环境中进行测试,记录不同模式下的性能数据,根据测试结果进行优化。
3.
人员培训
:对网络管理人员进行培训,使其熟悉 EAP - MPA 协议的配置和管理。确保他们能够及时处理可能出现的问题,保障网络的稳定运行。
5.3 实施流程
graph LR
A[评估网络需求] --> B[选择 EAP - MPA 协议]
B --> C[准备测试环境]
C --> D[进行小规模测试]
D --> E[根据测试结果优化配置]
E --> F[大规模部署]
F --> G[对网络管理人员进行培训]
G --> H[持续监控和维护]
6. 总结与展望
EAP - MPA 协议是一种专为企业网络快速切换场景优化的 EAP 协议。它由高安全性的初始化阶段和快速执行的主阶段组成,通过严格的安全证明,在强大的攻击模型下证明了其安全性。性能分析表明,它在常见 EAP 协议中具有最快的认证速度,主阶段认证时间仅为 10ms,非常适合快速漫游场景。
未来,可以针对不同的操作系统提供经过充分测试和性能优化的 EAP - MPA 实现。同时,为了进一步提升无线漫游性能,需要对底层的无线网络栈进行优化,例如实现智能接入点选择机制(最佳链路)和优化与网络栈相关的超时设置。通过这些改进,EAP - MPA 协议有望在企业网络中得到更广泛的应用,为用户提供更加高效、安全的网络体验。
扫一扫
4221
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
