專利名稱:抵抗無線局域網(wǎng)接入認(rèn)證拒絕服務(wù)攻擊的方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)技術(shù)安全領(lǐng)域����,具體涉及無線網(wǎng)絡(luò)環(huán)境抗拒絕服務(wù)DoS攻擊的方 法����,可用于無線局域網(wǎng)環(huán)境,以減少拒絕服務(wù)攻擊對接入認(rèn)證過程的影響����。
背景技術(shù):
拒絕服務(wù)DoS攻擊的主要目的是為了使網(wǎng)絡(luò)中提供的服務(wù)喪失可用性,其實(shí)施難
度小����、危害程度大,是目前網(wǎng)絡(luò)中最大的威脅����。但是由于互聯(lián)網(wǎng)的開放性��,導(dǎo)致無法杜絕這
種攻擊的存在���。因此現(xiàn)有研究的目標(biāo)都旨在如何減少DoS攻擊對網(wǎng)絡(luò)的影響。 無線網(wǎng)絡(luò)的接入安全一直是人們研究的熱點(diǎn)問題��。由于無線網(wǎng)絡(luò)設(shè)備的和帶寬資
源的局限性�,導(dǎo)致接入認(rèn)證過程面臨DoS攻擊的威脅。目前已有的無線接入認(rèn)證協(xié)議��,諸如
WAPI協(xié)議和802. lli協(xié)議等�����,都在無線接入過程中存在一定的DoS攻擊威脅�����。 802. lli協(xié)議是目前最流行的無線網(wǎng)絡(luò)安全協(xié)議標(biāo)準(zhǔn)��,它提供了身份認(rèn)證和密鑰
交換功能���,目前市面主流無線網(wǎng)絡(luò)產(chǎn)品都采用該標(biāo)準(zhǔn)��。802. lli繼承了 802. 11的兩種認(rèn)證
方式開放式系統(tǒng)認(rèn)證方式和共享密鑰認(rèn)證方式��,并且提出了基于802. IX的認(rèn)證機(jī)制����,建
議最好采用基于802. 1X的認(rèn)證機(jī)制。802. lli協(xié)議提出了新的安全網(wǎng)絡(luò)安全體系——強(qiáng)安
全網(wǎng)絡(luò)RSN(Robust Security Network)�����,主要由安全關(guān)聯(lián)管理和數(shù)據(jù)加密機(jī)制夠成��。其中
安全關(guān)聯(lián)管理機(jī)制包括RSN安全能力協(xié)商����、802. IX認(rèn)證過程和802. IX密鑰發(fā)布過程��。 1. RSN安全能力協(xié)商過程即安全關(guān)聯(lián)建立的過程���,參考圖l�����,描述如下 1)用戶STA通過接入點(diǎn)AP的信標(biāo)幀或者探測響應(yīng)幀獲得802. lli的信息元素��; 2)用戶STA向接入點(diǎn)AP進(jìn)行開放系統(tǒng)認(rèn)證請求���; 3)接入點(diǎn)AP對用戶STA做出開放系統(tǒng)認(rèn)證響應(yīng)����; 4)用戶STA發(fā)送關(guān)聯(lián)請求給接入點(diǎn)AP ; 5)接入點(diǎn)AP對用戶STA進(jìn)行關(guān)聯(lián)請求認(rèn)證響應(yīng)����。 2. 802. IX認(rèn)證過程 當(dāng)安全關(guān)聯(lián)建立過程結(jié)束之后,就可以進(jìn)入802. IX認(rèn)證���。802. IX認(rèn)證協(xié)議實(shí)現(xiàn)了 網(wǎng)絡(luò)的接入控制�,該協(xié)議包含三個主體�,用戶接入端,接入認(rèn)證端和認(rèn)證服務(wù)器,即無線網(wǎng) 絡(luò)環(huán)境中的用戶STA,接入點(diǎn)AP和認(rèn)證服務(wù)器ASU���。在該協(xié)議下��,用戶STA和接入點(diǎn)AP之 間通過認(rèn)證服務(wù)器ASU進(jìn)行相互認(rèn)證���。用戶STA與接入點(diǎn)AP之間采用802. IX認(rèn)證標(biāo)準(zhǔn)�����, 而接入點(diǎn)AP和認(rèn)證服務(wù)器ASU之間則采用AAA協(xié)議作為通信標(biāo)準(zhǔn)��,即RADIUS/DIAMETER協(xié) 議�。 參考圖2, 802. IX認(rèn)證過程如下 1)用戶STA向接入點(diǎn)AP的非受控端口發(fā)送一個EAP啟動消息�����; 2)接入點(diǎn)AP返回EAP擴(kuò)展認(rèn)證回應(yīng)���,要求用戶STA提供身份信息��; 3)用戶STA通過EAP擴(kuò)展認(rèn)證響應(yīng)�,向接入點(diǎn)AP發(fā)送自己的身份信息�; 4)接入點(diǎn)AP將用戶STA的身份信息通過接入請求發(fā)送給認(rèn)證服務(wù)器ASU來進(jìn)行
認(rèn)證�;
5)認(rèn)證服務(wù)器ASU利用EAP中封裝的認(rèn)證方法來對用戶STA進(jìn)行身份認(rèn)證;
6)用戶STA身份得到認(rèn)證之后����,認(rèn)證服務(wù)器ASU將認(rèn)證結(jié)果和密鑰材料發(fā)送給接 入點(diǎn)AP ; 7)接入點(diǎn)AP向用戶STA發(fā)送EAP擴(kuò)展認(rèn)證成功消息。 上述安全關(guān)聯(lián)建立過程是一個狀態(tài)執(zhí)行協(xié)議,AP需要對用戶的狀態(tài)信息存儲���,因 此需要AP消耗一定的存儲資源����。如果攻擊者發(fā)送了大量虛假探測請求����,AP會因?yàn)樘幚磉@ 些虛假探測請求而導(dǎo)致自身存儲資源耗盡,無法為其他用戶提供接入認(rèn)證服務(wù)���。擴(kuò)展認(rèn)證 802. IX為接入認(rèn)證過程提供了更強(qiáng)的身份驗(yàn)證����,但是同時也能夠被攻擊者利用來進(jìn)行DoS 攻擊�����,攻擊者可以發(fā)送大量虛假的證書迫使ASU進(jìn)行證書驗(yàn)證消耗大量的計(jì)算資源導(dǎo)致接 入認(rèn)證服務(wù)無法正常進(jìn)行��。因此802. lli協(xié)議針對DoS攻擊沒有起到很好的防護(hù)作用����。
WAPI協(xié)議是中國無線局域網(wǎng)標(biāo)準(zhǔn)��,由WAI和WPI兩個模塊構(gòu)成�,分別實(shí)現(xiàn)對用戶身 份的認(rèn)證和對傳輸數(shù)據(jù)加密的功能�。WAPI與802. lli協(xié)議相同,需要首先進(jìn)行安全關(guān)聯(lián)過 程���。參考圖3�,其關(guān)聯(lián)過程如下 1.用戶STA通過AP的信標(biāo)幀或者探測響應(yīng)幀獲得WAPI信息元素
2.用戶STA向接入點(diǎn)AP發(fā)送開放系統(tǒng)認(rèn)證請求�����;
3.接入點(diǎn)AP對用戶STA做出開放系統(tǒng)認(rèn)證響應(yīng)��; 4.用戶STA發(fā)送關(guān)聯(lián)請求給接入點(diǎn)AP�����,其中關(guān)聯(lián)請求中的包含WPAI信息元素����;
5.接入點(diǎn)AP對用戶STA進(jìn)行關(guān)聯(lián)請求認(rèn)證響應(yīng)。 在完成WAPI安全關(guān)聯(lián)建立后將進(jìn)行WAI認(rèn)證����,參考圖4,認(rèn)證過程如下 首先����,接入點(diǎn)AP向用戶STA發(fā)送認(rèn)證激活請求,即接入點(diǎn)AP向用戶STA發(fā)送信標(biāo)
幀���; 其次�,在接入認(rèn)證請求中���,用戶STA將自己的證書和接入請求時間提交給接入點(diǎn) AP ; 再次����,在證書認(rèn)證請求中�����,接入點(diǎn)AP將用戶STA的證書����、用戶STA接入請求時間和 自己的證書及他對這三個部分的簽名發(fā)給認(rèn)證服務(wù)器ASU ; 然后,當(dāng)認(rèn)證服務(wù)器ASU收到接入點(diǎn)AP發(fā)送來的證書認(rèn)證請求之后���,首先驗(yàn)證接 入點(diǎn)AP的簽名和證書�����,當(dāng)認(rèn)證成功之后����,進(jìn)一步驗(yàn)證用戶STA的證書,之后�����,認(rèn)證服務(wù)器ASU 對用戶STA和接入點(diǎn)AP證書的認(rèn)證結(jié)果用自己的私鑰進(jìn)行簽名���,并將這個簽名連同證書驗(yàn) 證的結(jié)果發(fā)回給接入點(diǎn)AP; 最后���,接入點(diǎn)AP對收到的證書認(rèn)證響應(yīng)進(jìn)行驗(yàn)證,并得到對用戶STA證書的認(rèn)證 結(jié)果�����,根據(jù)這一結(jié)果來決定是否允許接入用戶STA���。同時接入點(diǎn)AP需要將認(rèn)證服務(wù)器ASU 的驗(yàn)證結(jié)果轉(zhuǎn)發(fā)給用戶STA�,用戶STA也要對認(rèn)證服務(wù)器ASU的簽名進(jìn)行驗(yàn)證��,并得到對接 入點(diǎn)AP證書的認(rèn)證結(jié)果,根據(jù)這一結(jié)果決定是否接入接入點(diǎn)AP�。 WAPI協(xié)議同樣需要建立關(guān)聯(lián)過程���,因此存在802. 11協(xié)議中面臨關(guān)聯(lián)過程中的資 源耗盡威脅�。對于WAI過程�,AP和ASU都需要對證書進(jìn)行簽名認(rèn)證計(jì)算,因此���,AP和ASU很 容易遭受DoS攻擊的威脅����。 針對認(rèn)證協(xié)議的DoS攻擊威脅��,研究者首先提出了 cookie機(jī)制����。其基本思想是在 發(fā)起方請求到來時,響應(yīng)方生成一個與發(fā)起方捆綁的cookie,然后將該cookie發(fā)送給發(fā)起 方���,并要求發(fā)送方回送該cookie,使用偽造的網(wǎng)絡(luò)地址的攻擊者�,很難偽造和篡改cookie
4來繼續(xù)運(yùn)行協(xié)議�����,從而達(dá)到防御DoS攻擊的目的。該機(jī)制對偽造IP地址的DoS攻擊有很好 的抵御效果��,但是對于來自真實(shí)地址的IP地址的DoS則無能為力���。 之后�,client-puzzle機(jī)制的提出則進(jìn)一步增強(qiáng)了認(rèn)證協(xié)議抗DoS攻擊的能力���?�;?本原理是�,當(dāng)服務(wù)器端接收到客戶的請求時���,服務(wù)器會向客戶端發(fā)送一個問題puzzle,要求 客戶端在規(guī)定的時間內(nèi)做出解答solution,并將解答發(fā)回給服務(wù)器���。但是如何避免請求過 程被攻擊者利用以發(fā)動DoS攻擊是一個需要解決的問題。Puzzle通常通過消耗CPU資源和 內(nèi)存資源來構(gòu)造���。 最近有研究者提出利用無線模塊來構(gòu)造puzzle的方法來抵御無線接入認(rèn)證的 DoS攻擊但是其中也帶來了一些其他安全隱患��,距離實(shí)用還有很大距離�。因此現(xiàn)有的無線接 入認(rèn)證協(xié)議對DoS攻擊的防御機(jī)制仍然不健全。需要設(shè)計(jì)一種能夠在接入認(rèn)證過程中有效 抵抗DoS攻擊的方法來提高移動網(wǎng)絡(luò)的安全性���。
發(fā)明內(nèi)容
本發(fā)明主要針對上述無線接入認(rèn)證過程中的不足�����,通過監(jiān)聽修改的信標(biāo)幀方式和 client-puzzle機(jī)制相結(jié)合,提出了一種抵抗無線局域網(wǎng)接入認(rèn)證拒絕服務(wù)攻擊的方法�����,
為實(shí)現(xiàn)上述目的��,本發(fā)明包括如下步驟 (1)用戶STA通過監(jiān)聽獲得接入點(diǎn)AP的信標(biāo)幀來獲得相關(guān)信息元素��,該信息元素 中包含原有信息和用戶產(chǎn)生問題puzzle所需的參數(shù)�����; (2)在獲得相關(guān)信息元素后��,用戶STA與接入點(diǎn)AP進(jìn)行相應(yīng)的認(rèn)證交互���;
(3)在進(jìn)行認(rèn)證交互的同時���,執(zhí)行如下操作 3a)用戶STA從信標(biāo)幀中獲得接入點(diǎn)AP的MAC地址AP_add��,從信息元素中獲得構(gòu) 造puzzle所用的構(gòu)造隨機(jī)數(shù)Ni和當(dāng)前難度級別L��,指定puzzle計(jì)算所用的Hash函數(shù)�,并 任意選擇一個隨機(jī)數(shù)r ; 3b)將待解答X����、用戶所選擇隨機(jī)數(shù)r、接入點(diǎn)的MAC地址AP—add����、構(gòu)造隨機(jī)數(shù)Ni
和難度級別L,按順序并接成比特串X || r || Ni || AP—add || L�����,并對該比特串進(jìn)行Hash計(jì)算�,
如果計(jì)算結(jié)果最后L位為0,則X是puzzle的解答�,否則解答不能通過; 3c)用戶利用窮舉搜索的方法尋找一個解答X�����,使其滿足步驟3b中解答的判定條
件; (4)完成puzzle的生成和解答后�,用戶STA向接入點(diǎn)AP發(fā)起關(guān)聯(lián)請求消息,該關(guān) 聯(lián)請求消息的信息元素中添加生成puzzle的相關(guān)參數(shù)����; (5)接入點(diǎn)AP對關(guān)聯(lián)請求消息中的puzzle和尋找的解答X按照步驟3b)中對解 答的判定條件做出驗(yàn)證,如果puzzle驗(yàn)證通過�����,且該puzzle驗(yàn)證結(jié)果與當(dāng)前解答臨時列表 中存儲的已有驗(yàn)證結(jié)果不重復(fù)時�����,則向用戶發(fā)送關(guān)聯(lián)請求響應(yīng)消息���,完成關(guān)聯(lián)請求,并將驗(yàn) 證結(jié)果存入解答臨時列表中����,否則終止該用戶的接入請求。 本發(fā)明由于通過對信標(biāo)幀中信息元素的修改��,增加puzzle構(gòu)造參數(shù),使用戶能夠 通過監(jiān)聽信標(biāo)幀的方式來獲得puzzle構(gòu)造參數(shù)��,減少了傳統(tǒng)方案中為構(gòu)造puzzle而增加 的協(xié)商次數(shù)����,提高了協(xié)商效率;同時由于采用用戶監(jiān)聽信標(biāo)幀的方式來獲得puzzle構(gòu)造參 數(shù)���,避免了傳統(tǒng)client-puzzle機(jī)制中請求puzzle的過程中潛在的DoS攻擊威脅�。
通過對關(guān)聯(lián)請求消息中用戶所產(chǎn)生puzzle和解答的驗(yàn)證�,將偽造請求篩選出來,以提高無線接入認(rèn)證協(xié)議的抗DoS攻擊能力���。
圖1是802. lli協(xié)議接入認(rèn)證的關(guān)聯(lián)建立過程示意圖����;
圖2是802. lli協(xié)議接入認(rèn)證的擴(kuò)展認(rèn)證過程示意圖�����;
圖3是WAPI協(xié)議接入認(rèn)證的關(guān)聯(lián)建立過程示意圖��;
圖4是WAPI協(xié)議接入認(rèn)證的WAI認(rèn)證過程示意圖��;
圖5是本發(fā)明應(yīng)用于無線局域網(wǎng)接入認(rèn)證過程的示意圖;
圖6是本發(fā)明針對802. 11 i協(xié)議修改的信標(biāo)幀信息元素格式����;
圖7是本發(fā)明針對WAPI協(xié)議修改的信標(biāo)幀信息元素格式;
圖8是本發(fā)明針對802. lli協(xié)議修改的關(guān)聯(lián)請求信息元素格式��;
圖9是本發(fā)明針對WAPI協(xié)議修改的關(guān)聯(lián)請求信息元素格式�。
具體實(shí)施例方式
參照圖5,本發(fā)明給出的接入認(rèn)證過程中抵御拒絕服務(wù)攻擊的方法��,包括如下步 驟 步驟1�,用戶STA通過監(jiān)聽的方式獲得AP所發(fā)布的信標(biāo)幀。 信標(biāo)幀在無線網(wǎng)絡(luò)環(huán)境下是接入點(diǎn)AP采用廣播機(jī)制周期發(fā)送的���,因此用戶不需 要向接入點(diǎn)AP發(fā)送請求消息,就能夠通過監(jiān)聽的方式來獲得信標(biāo)幀中的信息元素���。在本
發(fā)明中����,用戶所監(jiān)聽信標(biāo)幀的信息元素是在原有信息元素基礎(chǔ)上進(jìn)行了修改��,添加了構(gòu)造 puzzle所需的參數(shù)��,除了包含原有的信息之外,還包括構(gòu)造隨機(jī)數(shù)Ni�����、難度級別L和當(dāng)前AP 所支持Hash算法��。 本發(fā)明針對802. lli協(xié)議和WAPI協(xié)議���,分別對其信息元素進(jìn)行了修改�����。針對 802. lli協(xié)議��,信息元素格式的修改如圖6所示��,在原有信息元素格式基礎(chǔ)上���,添加構(gòu)造隨 機(jī)數(shù)Ni表明當(dāng)前AP所選隨機(jī)數(shù),占用4個8位位組數(shù)��;難度級別L表明計(jì)算puzzle所需 難度級別����,占用一個8位位組數(shù)�;Hash算法表示當(dāng)前AP可支持的Hash算法�,如MD5, SHA-l 或者其他安全性更高的Hash算法��,占用一個八位位組數(shù)�。針對WAPI協(xié)議,信息元素的修改 如圖7所示��,所添加的各項(xiàng)含義及格式與對802. lli協(xié)議信息元素所添加的各項(xiàng)相同���。
構(gòu)造隨機(jī)數(shù)Ni由接入點(diǎn)隨機(jī)產(chǎn)生�,并由AP規(guī)定構(gòu)造隨機(jī)數(shù)的有效使用期���,如果當(dāng) 前構(gòu)造隨機(jī)數(shù)失效時�,接入點(diǎn)AP產(chǎn)生新的隨機(jī)數(shù)�����,并更新信息元素����;L是表示puzzle的難 度級別�,由接入點(diǎn)AP根據(jù)當(dāng)前網(wǎng)絡(luò)和接入點(diǎn)資源消耗狀況動態(tài)調(diào)節(jié)��,如果難度級別L發(fā)生 變化�,需要AP更新當(dāng)前信息元素����。 步驟2,用戶STA與接入點(diǎn)AP進(jìn)行相應(yīng)的認(rèn)證交互�����,同時用戶產(chǎn)生puzzle并做出 解答����。 用戶在監(jiān)聽到某接入點(diǎn)AP的信標(biāo)幀后,如果選擇接入當(dāng)前無線網(wǎng)絡(luò)�����,則針對所使 用無線接入認(rèn)證協(xié)議進(jìn)行認(rèn)證交互�,當(dāng)采用802. lli協(xié)議時,用戶需要與該接入點(diǎn)AP進(jìn)行 開放系統(tǒng)認(rèn)證交互��,當(dāng)采用WAPI協(xié)議時�,用戶需要進(jìn)行鏈路認(rèn)證交互; 用戶在進(jìn)行認(rèn)證交互的同時��,需要根據(jù)得到的信息元素來構(gòu)造puzzle并做出解 答,這里采用計(jì)算資源消耗來構(gòu)造問題puzzle :首先用戶STA從信標(biāo)幀中獲得接入點(diǎn)AP的MAC地址AP_add�,從信息元素中獲得構(gòu)造puzzle所用的構(gòu)造隨機(jī)數(shù)Ni和當(dāng)前難度級 別L,指定puzzle計(jì)算所用的Hash函數(shù)�,并任意選擇一個隨機(jī)數(shù)r ;將待解答X、用戶所選 擇隨機(jī)數(shù)r��、接入點(diǎn)的MAC地址AP—add�、構(gòu)造隨機(jī)數(shù)Ni和難度級別L,按順序并接成比特 串X II r II Ni II AP—add || L ;對該比特串進(jìn)行Hash計(jì)算��,如果計(jì)算結(jié)果最后L位為O��,則X是 puzzle的解答����,否則解答不能通過,即使得X滿足下式 Hash(X || r || Ni || dest IP || L)mod 2L = 0其中各符號標(biāo)示與上述相同��。 由于Hash函數(shù)具有單向性���,通過解答判斷條件�����,來求解X在計(jì)算上是不行的����,因
此���,用戶只能通過窮舉搜索的方法來尋找解答X�,并進(jìn)行計(jì)算驗(yàn)證直至找出滿足解答條件的X����。 步驟3,用戶STA向接入點(diǎn)AP發(fā)送包含puzzle和解答的關(guān)聯(lián)請求消息��。
首先��,由用戶對關(guān)聯(lián)請求中的信息元素進(jìn)行修改��,在信息元素中添加puzzle的所 有生成參數(shù)以及解答X��。針對兩種無線接入認(rèn)證協(xié)議802. lli協(xié)議和WAPI協(xié)議����,分別對其 關(guān)聯(lián)請求信息元素進(jìn)行修改 如果采用802. lli協(xié)議,則在原有關(guān)聯(lián)請求的信息元素格式基礎(chǔ)上��,添加構(gòu)造隨 機(jī)數(shù)Ni、難度級別L���、用戶所選擇Hash算法���、用戶所選擇隨機(jī)數(shù)r和解答X,其中Ni占用4 個8位位組數(shù)�����,L占用1個8位位組數(shù)��,Hash算法占用1個8位位組數(shù)����,r占用4個8位位 組數(shù),X占用4個8位位組數(shù)�����,如圖8所示��; 如果采用WAPI協(xié)議�����,則在原有關(guān)聯(lián)請求信息元素格式基礎(chǔ)上,添加構(gòu)造隨機(jī)數(shù) Ni����、難度級別L���、用戶所選擇Hash算法��、用戶所選擇隨機(jī)數(shù)r和解答X����,其中Ni占用4個8 位位組數(shù)����,L占用1個8位位組數(shù),Hash算法占用1個8位位組數(shù)�����,r占用4個8位位組數(shù)����, X占用4個8位位組數(shù),如圖9所示�。 然后,用戶將修改后的關(guān)聯(lián)請求消息發(fā)送給接入點(diǎn)。 步驟4�,接入點(diǎn)AP接收關(guān)聯(lián)請求,并對puzzle和解答進(jìn)行驗(yàn)證�����,如果驗(yàn)證通過則完 成關(guān)聯(lián)請求�,否則終止用戶接入請求。 接入點(diǎn)AP接收到用戶的關(guān)聯(lián)請求消息�,從關(guān)聯(lián)請求消息信息元素中,提取構(gòu)造隨 機(jī)數(shù)Ni����、難度級別L、用戶所選擇Hash函數(shù)�����、用戶所選擇隨機(jī)數(shù)r�、解答X ;然后由接入點(diǎn)計(jì) 算X II r II Ni II AP_add II L的散列值,驗(yàn)證該解X答是否滿足步驟2中的解答判斷條件�,如果 解答X滿足判斷條件,則繼續(xù)對解答的唯一性進(jìn)行判定�����,否則終止用戶的接入請求;
如果puzzle和解答X滿足解答條件�,將由該解答X計(jì)算出的散列值與解答臨時列 表中已存儲散列值進(jìn)行比較,避免puzzle和解答X被重復(fù)利用若該散列值未被包含在解 答臨時列表中����,則接受關(guān)聯(lián)請求,并返回關(guān)聯(lián)響應(yīng)�����,建立安全關(guān)聯(lián)��;否則拒絕關(guān)聯(lián)請求��,終止 用戶的接入請求�。接入點(diǎn)完成關(guān)聯(lián)請求過程后����,將計(jì)算結(jié)果存入解答臨時列表中,如果信標(biāo) 幀中信息元素發(fā)生變動��,接入點(diǎn)需要清空解答臨時列表以接受新的puzzle和解答��。
符號說明 DoS攻擊拒絕服務(wù)(Denial of Service)攻擊 WAPI :中國無線局域網(wǎng)安全標(biāo)準(zhǔn) 802. lli :無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)協(xié)議RSN:強(qiáng)安全網(wǎng)絡(luò)(Robust Security Network) 802. IX :基于端口的網(wǎng)絡(luò)接入控制認(rèn)證標(biāo)準(zhǔn)
7
AP :接入點(diǎn)(Access Point) STA :用戶(Station) ASU :認(rèn)證服務(wù)單元 EAP :擴(kuò)展認(rèn)證 Hash :雜湊函數(shù) r :用戶選取的隨機(jī)數(shù) X :解答 Ni :AP所選擇的構(gòu)造隨機(jī)數(shù) AP add :A P的地址 L :AP所選擇的難度級別�。 MD5 :Message-Digest Algorithm 5��,信息-摘要算法-5 SHA-l :Secure Hash Standard-1 ���,安全雜湊標(biāo)準(zhǔn)-1 RADIUS :Remote Authentication Dial In User Service,遠(yuǎn)端用戶撥入認(rèn)證月艮務(wù) DIAMETER :新一代AAA協(xié)議。
權(quán)利要求
一種抵抗無線局域網(wǎng)接入認(rèn)證中存在的拒絕服務(wù)攻擊的方法�,包括如下步驟(1)用戶STA通過監(jiān)聽獲得接入點(diǎn)AP發(fā)布的信標(biāo)幀獲得相關(guān)信息元素,該信息元素中包含原有信息和用戶產(chǎn)生問題puzzle所需的參數(shù)����;(2)在獲得相關(guān)信息元素后,用戶STA與接入點(diǎn)AP進(jìn)行相應(yīng)的認(rèn)證交互�����;(3)在進(jìn)行認(rèn)證交互的同時�����,執(zhí)行如下操作3a)用戶STA從信標(biāo)幀中接入點(diǎn)AP的MAC地址AP_add��,從信息元素中獲得構(gòu)造puzzle所用的構(gòu)造隨機(jī)數(shù)Ni和當(dāng)前難度級別L��,指定puzzle計(jì)算所用的Hash函數(shù)���,并任意選擇一個隨機(jī)數(shù)r�����;3b)將待解答X����、用戶所選擇隨機(jī)數(shù)r、接入點(diǎn)的MAC地址AP_add����、構(gòu)造隨機(jī)數(shù)Ni和難度級別L,按順序并接成比特串X||r||Ni||AP_add||L��,并對該比特串進(jìn)行Hash計(jì)算���,如果計(jì)算結(jié)果最后L位為0,則X是puzzle的解答�����,否則解答不能通過�;3c)用戶利用窮舉搜索的方法尋找一個解答X,使其滿足步驟3b中解答的判定條件�����;(4)完成puzzle的生成和解答后,用戶STA向接入點(diǎn)AP發(fā)起關(guān)聯(lián)請求消息���,該關(guān)聯(lián)請求消息的信息元素中添加生成puzzle的相關(guān)參數(shù)�����;(5)接入點(diǎn)AP對關(guān)聯(lián)請求消息中的puzzle和尋找的解答X按照步驟3b)中對解答的判定條件做出驗(yàn)證��,如果puzzle驗(yàn)證通過�,且該puzzle驗(yàn)證結(jié)果與當(dāng)前解答臨時列表中存儲的已有驗(yàn)證結(jié)果不重復(fù)時�����,則向用戶發(fā)送關(guān)聯(lián)請求響應(yīng)消息��,完成關(guān)聯(lián)請求�����,并將驗(yàn)證結(jié)果存入解答臨時列表中��,否則終止該用戶的接入請求��。
2. 根據(jù)權(quán)利要求l所述的接入認(rèn)證方法���,其中步驟(1)所述的用戶產(chǎn)生問題puzzle所 需的參數(shù)����,是在對原有信息元素進(jìn)行修改的基礎(chǔ)上,添加構(gòu)造puzzle所需的隨機(jī)數(shù)Ni��、難 度級別L以及接入點(diǎn)AP所支持Hash算法����。
3. 根據(jù)權(quán)利要求1所述的接入認(rèn)證方法,其中步驟(4)所述的puzzle生成相關(guān)參數(shù)�, 是在對原有信息元素進(jìn)行修改的基礎(chǔ)上,添加構(gòu)造隨機(jī)數(shù)Ni����、當(dāng)前難度級別L���、用戶所選擇 的隨機(jī)數(shù)r�����、 Hash算法以及尋找的解答X����。
全文摘要
本發(fā)明公開了一種無線接入認(rèn)證協(xié)議抗DoS攻擊的方法,主要解決現(xiàn)有802.11i協(xié)議和WAPI協(xié)議無線接入認(rèn)證過程中存在的DoS攻擊威脅問題��。該方法利用信標(biāo)幀發(fā)布機(jī)制和client-puzzle機(jī)制的結(jié)合使用����,實(shí)現(xiàn)對接入認(rèn)證關(guān)聯(lián)過程中DoS攻擊的抵御。其實(shí)現(xiàn)步驟是(1)用戶通過監(jiān)聽的方式獲得接入點(diǎn)所發(fā)布的信標(biāo)幀�����,獲得構(gòu)造puzzle所需參數(shù)���;(2)在完成認(rèn)證交互的同時��,生成puzzle并作出解答����;(3)將puzzle和解答包含在關(guān)聯(lián)請求中發(fā)送給接入點(diǎn)���;(4)接入點(diǎn)通過對puzzle和解答進(jìn)行的驗(yàn)證�,決定是否完成此次關(guān)聯(lián)過程����。本發(fā)明具有較強(qiáng)的抵御DoS攻擊能力和適應(yīng)性���,適用于現(xiàn)有的無線接入認(rèn)證協(xié)議。
文檔編號H04W24/04GK101778387SQ20101001357
公開日2010年7月14日 申請日期2010年1月8日 優(yōu)先權(quán)日2010年1月8日
發(fā)明者劉彥明, 李小平, 董慶寬, 高琳, 黎劍兵 申請人:西安電子科技大學(xué)