文档介绍:基于DAA的无线局域网认证协议的构造和证明马晓'杨扬2刘景森°张先哲'(,河南开封475004:,河南开封475001)-TLS协议,指出该协议中不具备身份保护的功能,容易泄露用户的身份信息,无法实现认证的匿名性。提出了基于直接匿名证言的无线局域网安全认证协议,并从理论上证明了协议的匿名性和安全性。关键词无线局域网;直接匿名证言;认证1引言无线局域网经过不断的发展,在技术上已经逐渐成熟,应用也更加广泛。而安全问题一直是无线局域网应用的一个主要障碍,其中认证技术是整个安全方案的基础。⑴协议中的EAP-TLS协议进行用户认证。EAP-TLS协议具有认证流和业务流分开的很多优点,但该协议不对用户身份进行保护。2004年,可信计算组织(TCG,putingGroup)为解决如何实现在TCP之间相互认证的隐私保护的问题,发布了直接匿名证言(I)AA,DirectAnonymousAttestation)方案⑵,该方案适合于小型网络的身份认证。本文对直接匿名证言方案进行改进使之适应于无线局域网。下面首先分析当前无线局域网中身份认证协议,然后提出基于DAA的无线局域网认证协议,并对其匿名性和安全性进行分析。2EAP-TLS协议为了解决无线局域网用户的接入认证问题,。,⑶作为它的认证框架,。-起使用,分别是:EAP-MD5,EAP-0TP,EAP-TLS。在这三种认证技术中,EAP-TLS是WLAN首选安全技术,它被大多数主流公司所支持。EAP-TLS认证在安全性方面有特有的优势,需要在客户机和认证服务器上使用证书,进行两次认证,尽管需要客户机一服务器之间繁顼的证书管理,但EAP-TLS实现方法比其它EAP更安全。但EAP-TLS认证协议不对用户身份进行保护。TLS协议自身可以实现双向身份认证和通信数据加密。但是在认证的过程中,由于每个无线客户端必须以明文形式准确提供自己的身份证明,客户机还需要把自己的用户名信息通过数拥帧发给AP,这些都很容易造成无线客户端的行为被跟踪,导致隐私泄露。因此有必要引入一种匿名机制来实现在无线客户端和认证服务器之间相互认证的同时提供隐私保护,即无线客户端向认证服务器证明自己是一个合法的用户,但又不让认证服务器知道自己身份信息。,。新协议结构主要包括3个实体:无线终端Station,发布者Issuer,验证服务器Verifier,无线终端Station指的是要进入无线局域网的客户机。发布者Issuer用来产生一个公钥对和一个用来保证用户隐私不被泄露的非交互式证明值。验证服务器Verifier通过知识证明来确定Station的身份。协议具体流程如下:Issuer计算产生Issuer公钥丹和一个用于验证公钥元素正确性的非交互式证明值