亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于射頻標(biāo)簽的無(wú)線局域網(wǎng)接入認(rèn)證抗拒絕服務(wù)攻擊方法

文檔序號(hào):7778370閱讀:200來(lái)源:國(guó)知局
基于射頻標(biāo)簽的無(wú)線局域網(wǎng)接入認(rèn)證抗拒絕服務(wù)攻擊方法
【專利摘要】本發(fā)明公開(kāi)了一種基于射頻標(biāo)簽的無(wú)線局域網(wǎng)接入認(rèn)證抗拒絕服務(wù)攻擊方法,主要解決無(wú)線局域網(wǎng)接入認(rèn)證過(guò)程中存在拒絕服務(wù)攻擊的問(wèn)題。其實(shí)現(xiàn)步驟是:(1)用戶STA向密鑰管理中心KDC申請(qǐng)得到標(biāo)簽;(2)用戶STA與標(biāo)簽進(jìn)行綁定;(3)標(biāo)簽與接入點(diǎn)AP協(xié)商會(huì)話密鑰;(4)用戶STA將監(jiān)聽(tīng)信道獲得的參數(shù)發(fā)送給標(biāo)簽,由標(biāo)簽進(jìn)行哈希值h的計(jì)算;(5)用戶將哈希值h添加到接入申請(qǐng)中發(fā)送給接入點(diǎn)AP;(6)接入點(diǎn)AP對(duì)哈希值h進(jìn)行驗(yàn)證并決定是否完成此次關(guān)聯(lián)過(guò)程。本發(fā)明利用射頻標(biāo)簽進(jìn)行無(wú)線局域網(wǎng)接入認(rèn)證時(shí)的抗拒絕服務(wù)攻擊,避免了潛在的攻擊威脅,提高了無(wú)線局域網(wǎng)接入認(rèn)證時(shí)抗拒絕服務(wù)攻擊的能力,可用于網(wǎng)絡(luò)安全。
【專利說(shuō)明】基于射頻標(biāo)簽的無(wú)線局域網(wǎng)接入認(rèn)證抗拒絕服務(wù)攻擊方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,特別涉及一種抗拒絕服務(wù)攻擊的方法,可用于無(wú)線網(wǎng)絡(luò)的接入認(rèn)證過(guò)程。
技術(shù)背景
[0002]拒絕服務(wù)DoS攻擊,是指攻擊者通過(guò)一定的手段使目標(biāo)設(shè)備資源過(guò)度消耗而導(dǎo)致其不能夠提供和接受服務(wù)的攻擊方式。這種攻擊方式由于其實(shí)現(xiàn)容易,追蹤困難,后果嚴(yán)重等特點(diǎn)成為網(wǎng)絡(luò)安全的第一大難題。在無(wú)線網(wǎng)絡(luò)中由于無(wú)線網(wǎng)絡(luò)設(shè)備性能和帶寬資源的局限性,在抗攻擊能力上與有線網(wǎng)絡(luò)相比更加脆弱,更易受DoS攻擊且危害更嚴(yán)重。
[0003]作為無(wú)線局域網(wǎng)中數(shù)據(jù)收發(fā)的關(guān)鍵設(shè)備,接入點(diǎn)AP往往會(huì)成為無(wú)線局域網(wǎng)的安全瓶頸。AP能否正常工作直接關(guān)系到無(wú)線局域網(wǎng)整體的安全性,因此保障AP免受拒絕服務(wù)DoS攻擊的威脅就顯得尤為重要。
[0004]IEEE802.1li協(xié)議是重要的無(wú)線網(wǎng)絡(luò)安全協(xié)議標(biāo)準(zhǔn),提供接入與傳輸?shù)陌踩珯C(jī)制,強(qiáng)化了安全與認(rèn)證機(jī)制。盡管IEEE802.1li標(biāo)準(zhǔn)為無(wú)線局域網(wǎng)提供了安全保障,但是由于協(xié)議設(shè)計(jì)問(wèn)題和無(wú)線局域網(wǎng)自身特點(diǎn),無(wú)線局域網(wǎng)WLAN中的接入認(rèn)證過(guò)程仍然面臨著非常嚴(yán)重的拒絕服務(wù)DoS攻擊威脅。
[0005]IEEE802.1li標(biāo)準(zhǔn)為無(wú)線局域網(wǎng)定義了新的安全框架RSN,如圖1所示。RSN安全體系包括強(qiáng)安全網(wǎng)絡(luò)關(guān)聯(lián)RSNA建立過(guò)程和數(shù)據(jù)加密通信兩個(gè)部分。其中強(qiáng)安全網(wǎng)絡(luò)關(guān)聯(lián)RSNA建立過(guò)程又分為三個(gè)部分:一是RSN安全能力協(xié)商過(guò)程,二是802.1X認(rèn)證過(guò)程,三是密鑰管理過(guò)程。
[0006]所述的RSN安全能力協(xié)商過(guò)程,如圖2所示,其實(shí)現(xiàn)如下:
[0007]I)用戶STA通過(guò)接入點(diǎn)AP的信標(biāo)幀或者探測(cè)響應(yīng)幀獲得802.1li信息元素;
[0008]2)用戶STA向接入點(diǎn)AP進(jìn)行開(kāi)放系統(tǒng)認(rèn)證請(qǐng)求;
[0009]3)接入點(diǎn)AP對(duì)用戶STA做出開(kāi)放系統(tǒng)認(rèn)證響應(yīng);
[0010]4)用戶STA向接入點(diǎn)AP發(fā)送關(guān)聯(lián)請(qǐng)求;
[0011]5)接入點(diǎn)AP對(duì)用戶STA進(jìn)行關(guān)聯(lián)請(qǐng)求認(rèn)證響應(yīng)。
[0012]上述安全關(guān)聯(lián)建立過(guò)程是一個(gè)狀態(tài)執(zhí)行協(xié)議,AP需要對(duì)用戶的狀態(tài)信息進(jìn)行存儲(chǔ),因此需要AP消耗一定的存儲(chǔ)資源。如果攻擊者發(fā)送了大量虛假探測(cè)請(qǐng)求,AP會(huì)因?yàn)樘幚磉@些虛假探測(cè)請(qǐng)求而導(dǎo)致自身存儲(chǔ)資源耗盡,無(wú)法為其他用戶提供接入認(rèn)證服務(wù)。
[0013]鑒于上述缺陷,IEEE802.1li在原有基礎(chǔ)上擴(kuò)展了 802.1X認(rèn)證協(xié)議,引入數(shù)字證書(shū)為接入認(rèn)證過(guò)程提供了更強(qiáng)的身份驗(yàn)證,但其仍能夠被攻擊者利用來(lái)進(jìn)行拒絕服務(wù)DoS攻擊。攻擊者可以發(fā)送大量虛假的證書(shū)迫使驗(yàn)證服務(wù)器AS進(jìn)行證書(shū)驗(yàn)證而消耗大量的計(jì)算資源,導(dǎo)致接入認(rèn)證服務(wù)無(wú)法正常進(jìn)行。因此802.1li協(xié)議不能有效地抵御DoS攻擊。
[0014]由于互聯(lián)網(wǎng)的開(kāi)放性致使拒絕服務(wù)攻擊無(wú)法杜絕,因此對(duì)于如何減少DoS攻擊對(duì)無(wú)線網(wǎng)絡(luò)接入認(rèn)證過(guò)程的影響,國(guó)內(nèi)外學(xué)者提出了很多思想和方法。
[0015]史庭俊等人在2006年提出了一種基于clientpuzzle機(jī)制設(shè)計(jì)無(wú)線網(wǎng)絡(luò)認(rèn)證協(xié)議的方法,在一定程度上抑制了拒絕服務(wù)DoS攻擊。但是由于接入點(diǎn)AP需要對(duì)每一個(gè)認(rèn)證請(qǐng)求均產(chǎn)生一個(gè)難題puzzle,這就給響應(yīng)方帶來(lái)一定的存儲(chǔ)負(fù)擔(dān),因此易受到潛在的存儲(chǔ)資源消耗攻擊。
[0016]IvanMartinovic等人于2008年提出了利用信號(hào)的廣播機(jī)制和區(qū)域證明的方法實(shí)現(xiàn)接入認(rèn)證過(guò)中對(duì)拒絕服務(wù)DoS攻擊的防御。該方案有較好的抗拒絕服務(wù)DoS攻擊能力,但是用來(lái)驗(yàn)證難題puzzle答案的已接入用戶不能保證其可信性,因?yàn)榭赡艹霈F(xiàn)惡意的用戶節(jié)點(diǎn),因此該方案存在安全缺陷。
[0017]AliOrdi 等人在 2013 年 4 月提出 了一種結(jié)合 Ietterenvelop 機(jī)制和 clientpuzzle機(jī)制的方式實(shí)現(xiàn)接入認(rèn)證過(guò)程中的DoS攻擊防御,同時(shí)能夠防止在難題puzz Ie驗(yàn)證平臺(tái)中出現(xiàn)AP資源耗盡的問(wèn)題。但是由于不同的設(shè)備計(jì)算能力的差異,在難題puzzle的設(shè)計(jì)上仍然存在著很大的弊端,致使計(jì)算能力強(qiáng)的用戶仍然有機(jī)會(huì)對(duì)AP進(jìn)行DoS攻擊。
[0018]綜上所述,現(xiàn)有的無(wú)線接入認(rèn)證協(xié)議對(duì)DoS攻擊的防御機(jī)制仍然不健全,影響無(wú)線網(wǎng)絡(luò)的安全。

【發(fā)明內(nèi)容】

[0019]本發(fā)明的目的在于針對(duì)上述已有技術(shù)的缺點(diǎn),提出一種基于射頻標(biāo)簽的無(wú)線網(wǎng)絡(luò)抗拒絕服務(wù)攻擊方法,以減少拒絕服務(wù)攻擊對(duì)無(wú)線網(wǎng)絡(luò)接入認(rèn)證過(guò)程的影響,提高無(wú)線網(wǎng)絡(luò)的安全性。
[0020]實(shí)現(xiàn)本發(fā)明的技術(shù)方案是對(duì)現(xiàn)有的802.1X擴(kuò)展認(rèn)證協(xié)議進(jìn)行改進(jìn),其包括如下步驟:
[0021](I)系統(tǒng)初始化步驟:采用可信服務(wù)器作為密鑰管理中心KDC,為標(biāo)簽與無(wú)線設(shè)備接入點(diǎn)AP分發(fā)初始密鑰,設(shè)用戶STA具有讀卡器功能,將標(biāo)簽貼在用戶STA設(shè)備上,并與用戶STA通過(guò)讀卡器通信;
[0022](2)標(biāo)簽與用戶STA的綁定步驟:
[0023](2a)用戶STA以自己的MAC地址STA_addr向密鑰管理中心KDC申請(qǐng)標(biāo)簽,密鑰管理中心KDC為用戶分發(fā)標(biāo)簽以及標(biāo)記隨機(jī)數(shù)Ni ;
[0024](2b)密鑰管理中心KDC將用戶STA的MAC地址、標(biāo)簽的身份IDt、標(biāo)簽的初始密鑰Kt和標(biāo)記隨機(jī)數(shù)Ni對(duì)應(yīng)起來(lái),并以列表形式保存,該列表稱為L(zhǎng)MAC ;
[0025](3)標(biāo)簽與接入點(diǎn)AP協(xié)商會(huì)話密鑰步驟:
[0026](3a)標(biāo)簽生成會(huì)話密鑰請(qǐng)求Request,并用初始密鑰Kt對(duì)身份IDt進(jìn)行加密,得到加密信息Et (IDt),將會(huì)話密鑰請(qǐng)求Request和加密信息Et (IDt) 一起發(fā)送給用戶STA;
[0027](3b)用戶STA收到標(biāo)簽發(fā)來(lái)的消息后,在此消息后面添加上標(biāo)記隨機(jī)數(shù)Ni以及自己的MAC地址STA-addr構(gòu)成申請(qǐng)信息,將該申請(qǐng)信息發(fā)送給密鑰管理中心KDC ;
[0028](3c)密鑰管理中心KDC收到用戶STA發(fā)來(lái)的申請(qǐng)信息后,首先檢查列表LMAC,檢驗(yàn)標(biāo)記隨機(jī)數(shù)Ni和MAC地址STA-addr是否存在于列表LMAC中,若不是,直接做拋棄處理,否則查出對(duì)應(yīng)標(biāo)簽的初始密鑰Kt,并用該密鑰進(jìn)行解密運(yùn)算,求解出標(biāo)簽的身份IDt ;
[0029](3d)密鑰管理中心KDC生成一個(gè)會(huì)話密鑰Ks,用標(biāo)簽初始密鑰Kt對(duì)會(huì)話密鑰Ks和標(biāo)簽的身份IDt進(jìn)行加密,得到密文Et (Ks I IDt),并將該密文、標(biāo)簽的會(huì)話密鑰請(qǐng)求Request、用戶STA的MAC地址STA-addr —起作為回復(fù)包發(fā)送給用戶STA ;[0030](3e)用戶STA收到回復(fù)包后檢查MAC地址是否是自己的地址,若是則將該回復(fù)包發(fā)送給標(biāo)簽,否則丟棄處理;標(biāo)簽收到用戶STA轉(zhuǎn)發(fā)的回復(fù)包后,先檢查會(huì)話密鑰請(qǐng)求Request的正確性,若正確,則解密,從而獲得與接入點(diǎn)AP共享的會(huì)話密鑰Ks,否則將該包丟棄;
[0031](3f)接入點(diǎn)AP生成會(huì)話密鑰請(qǐng)求Request2,用初始密鑰Ka對(duì)自己的身份IDa進(jìn)行加密得到密文Ea (IDa),并將會(huì)話密鑰請(qǐng)求Request2、密文Ea(IDa)和自己的MAC地址MACa一同發(fā)送給密鑰管理中心KDC ;
[0032](3g)密鑰管理中心KDC核對(duì)接入點(diǎn)AP的地址信息后,用接入點(diǎn)AP的初始密鑰Ka對(duì)會(huì)話密鑰Ks和接入點(diǎn)AP的身份信息IDa以及列表LMAC進(jìn)行加密,得到加密信息Ea (Ks I I IDa I I LMAC),再將該加密信息發(fā)送給接入點(diǎn)AP ;
[0033](3h)接入點(diǎn)AP用初始密鑰Ka解密,獲得會(huì)話密鑰Ks和列表LMAC,同時(shí)生成一個(gè)密鑰隨機(jī)數(shù)Nr將其加入列表LMAC中,并用會(huì)話密鑰Ks對(duì)密鑰隨機(jī)數(shù)Nr加密后傳遞給用戶STA,用戶STA再傳遞給標(biāo)簽;
[0034](4)基于射頻標(biāo)簽的無(wú)線局域網(wǎng)接入認(rèn)證步驟:
[0035](4a)接入點(diǎn)AP選擇廣播隨機(jī)數(shù)R1和難度系數(shù)d,并要求申請(qǐng)接入的用戶在認(rèn)證請(qǐng)求中添加哈希值h ;
[0036](4b)接入點(diǎn)AP將廣播隨機(jī)數(shù)R1和難度系數(shù)d在網(wǎng)絡(luò)中周期性地廣播;
[0037](4c)用戶STA監(jiān)聽(tīng)信道獲得的廣播隨機(jī)數(shù)R1和難度系數(shù)d,若d=0,則用戶直接根據(jù)802.1X擴(kuò)展認(rèn)證協(xié)議完成接入認(rèn)證過(guò)程;若d>0,用戶STA生成終端隨機(jī)數(shù)R2,并將難度系數(shù)d、廣播隨機(jī)數(shù)R1、終端隨機(jī)數(shù)R2以及MAC地址STA-addr發(fā)送給自己的標(biāo)簽;
[0038](4d)標(biāo)簽對(duì)收到的信息和身份IDt進(jìn)行哈希運(yùn)算,運(yùn)算時(shí)間為h,得到哈希值h,即:
[0039]h = hash (IDt | | STA-addr | R1 R2),
[0040]式中hash為哈希運(yùn)算函數(shù),“ I I ”為連接符;
[0041](4e)標(biāo)簽運(yùn)算結(jié)束后,將哈希值h和密鑰隨機(jī)數(shù)Nr延遲時(shí)間t后發(fā)送給用戶STA,其中延遲時(shí)間t由難度系數(shù)d和哈希運(yùn)算時(shí)間h乘積決定,即:
[0042]t = dX t0,
[0043](4f)用戶STA將標(biāo)簽計(jì)算的哈希值h和MAC地址STA-addr以及廣播隨機(jī)數(shù)札、終端隨機(jī)數(shù)R2放在一起構(gòu)成認(rèn)證請(qǐng)求,將該認(rèn)證請(qǐng)求發(fā)送給接入點(diǎn)AP ;
[0044](4g)接入點(diǎn)AP對(duì)認(rèn)證請(qǐng)求中的哈希值h進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)后則建立關(guān)聯(lián),否則終止該用戶的接入請(qǐng)求。
[0045]本發(fā)明具有如下優(yōu)點(diǎn):
[0046]1.本發(fā)明使用規(guī)格統(tǒng)一的標(biāo)簽進(jìn)行哈希值h的運(yùn)算,避免了用戶計(jì)算能力差異帶來(lái)的潛在威脅,提高了接入認(rèn)證過(guò)程的安全性。
[0047]2.本發(fā)明由于將用戶STA的MAC地址與其附屬標(biāo)簽綁定,加大了用戶偽造MAC地址進(jìn)行拒絕服務(wù)攻擊的難度,從而減少了拒絕服務(wù)攻擊對(duì)無(wú)線網(wǎng)絡(luò)接入認(rèn)證過(guò)程的影響,提高了網(wǎng)絡(luò)的安全性。
【專利附圖】

【附圖說(shuō)明】[0048]圖1是現(xiàn)有802.1li協(xié)議安全框架示意圖;
[0049]圖2是現(xiàn)有802.1li協(xié)議接入認(rèn)證的關(guān)聯(lián)建立過(guò)程示意圖;
[0050]圖3是本發(fā)明的實(shí)現(xiàn)的示意圖;
[0051]圖4是本發(fā)明中標(biāo)簽與接入點(diǎn)AP協(xié)商會(huì)話密鑰的示意圖;
[0052]圖5是本發(fā)明中用戶STA接入認(rèn)證過(guò)程示意圖。
【具體實(shí)施方式】
[0053]以下結(jié)合附圖對(duì)本發(fā)明的方案及優(yōu)點(diǎn)做進(jìn)一步描述。
[0054]參照?qǐng)D3,本發(fā)明的實(shí)施步驟如下:
[0055]步驟I,系統(tǒng)初始化。
[0056]采用可信服務(wù)器作為密鑰管理中心KDC ;密鑰管理中心KDC分別為標(biāo)簽和無(wú)線設(shè)備接入點(diǎn)AP分發(fā)初始密鑰KJPKa ;設(shè)用戶STA具有讀卡器功能;當(dāng)用戶STA申請(qǐng)到標(biāo)簽后,就將標(biāo)簽貼在用戶STA設(shè)備上;利用標(biāo)簽與讀卡器通過(guò)電磁感應(yīng)方式通信的原理實(shí)現(xiàn)用戶STA與標(biāo)簽的通信。
[0057]步驟2,標(biāo)簽與用戶STA的綁定。
[0058](2a)用戶STA以自己的MAC地址STA-addr向密鑰管理中心KDC申請(qǐng)標(biāo)簽;
[0059](2b)密鑰管理中心KDC為用戶分發(fā)標(biāo)簽以及標(biāo)記隨機(jī)數(shù)Ni,并將用戶STA的MAC地址、標(biāo)簽的身份IDt和標(biāo)記隨機(jī)數(shù)Ni對(duì)應(yīng)起來(lái),以列表形式保存,該列表稱為L(zhǎng)MAC。
[0060]步驟3,用戶STA首次接入時(shí)與接入點(diǎn)AP協(xié)商會(huì)話密鑰。
[0061]參照?qǐng)D4,本步驟的具體實(shí)現(xiàn)如下:
[0062](3a)標(biāo)簽生成會(huì)話密鑰請(qǐng)求Request,并用初始密鑰Kt對(duì)自己的身份IDt進(jìn)行加密,得到加密信息Et (IDt),再將會(huì)話密鑰請(qǐng)求Request和加密信息Et (IDt) 一起發(fā)送給用戶STA,如圖4a所示;
[0063](3b)用戶STA收到標(biāo)簽發(fā)來(lái)的消息后,在此消息后面添加上標(biāo)記隨機(jī)數(shù)Ni以及自己的MAC地址STA-addr構(gòu)成申請(qǐng)信息,再將該申請(qǐng)信息發(fā)送給密鑰管理中心KDC ;
[0064](3c)密鑰管理中心KDC收到用戶STA發(fā)來(lái)的申請(qǐng)信息后,首先檢查列表LMAC中是否有申請(qǐng)信息中的標(biāo)記隨機(jī)數(shù)Ni和MAC地址STA-addr,若沒(méi)有,直接做拋棄處理,否則用標(biāo)簽的初始密鑰Kt對(duì)加密信息Et(IDt)進(jìn)行解密運(yùn)算,得到標(biāo)簽的身份IDt ;
[0065](3d)密鑰管理中心KDC生成會(huì)話密鑰Ks,用標(biāo)簽初始密鑰Kt對(duì)會(huì)話密鑰Ks和標(biāo)簽的身份IDt進(jìn)行加密,得到密文Et (Ks I I IDt),并將該密文、標(biāo)簽的會(huì)話密鑰請(qǐng)求Request和用戶STA的MAC地址STA-addr —起作為回復(fù)包發(fā)送給用戶STA ;
[0066](3e)用戶STA收到回復(fù)包后檢查MAC地址是否是自己的地址,若是則將該回復(fù)包發(fā)送給標(biāo)簽,否則丟棄處理;標(biāo)簽收到用戶STA轉(zhuǎn)發(fā)的回復(fù)包后,先檢查會(huì)話密鑰請(qǐng)求Request的正確性,若正確,則解密獲得會(huì)話密鑰Ks,否則將該包丟棄;
[0067](3f)接入點(diǎn)AP生成會(huì)話密鑰請(qǐng)求Request2,用初始密鑰Ka對(duì)自己的身份IDa進(jìn)行加密得到密文Ea (IDa),并將會(huì)話密鑰請(qǐng)求Request2、密文Ea(IDa)和自己的MAC地址MACa一同發(fā)送給密鑰管理中心KDC,如圖4b所示;
[0068](3g)密鑰管理中心KDC收到接入點(diǎn)AP發(fā)送的消息后,用接入點(diǎn)AP的初始密鑰Ka對(duì)會(huì)話密鑰Ks、接入點(diǎn)AP的身份IDa和列表LMAC進(jìn)行加密,得到加密信息Ea (Ks I I IDa I I LMAC),并將該加密信息發(fā)送給接入點(diǎn)AP ;
[0069](3h)接入點(diǎn)AP用初始密鑰Ka解密,獲得會(huì)話密鑰Ks和列表LMAC,再生成一個(gè)隨機(jī)數(shù)Nr將其加入列表LMAC中,并用會(huì)話密鑰Ks對(duì)密鑰隨機(jī)數(shù)Nr加密后傳遞給用戶STA,用戶STA再將其傳遞給標(biāo)簽。
[0070]步驟4,基于射頻標(biāo)簽的無(wú)線局域網(wǎng)接入認(rèn)證。
[0071]用戶STA在接入點(diǎn)AP處的接入過(guò)程分為首次接入和非首次接入兩種情況,其中:
[0072]首次接入,是指用戶STA第一次接入該局域網(wǎng),與其附屬的標(biāo)簽未進(jìn)行過(guò)綁定。在這種情況下,用戶STA想要接入該無(wú)線局域網(wǎng)就必須先按步驟2完成與標(biāo)簽的綁定過(guò)程,再按步驟3完成與接入點(diǎn)AP的會(huì)話密鑰協(xié)商過(guò)程,最后完成下面要進(jìn)行的接入認(rèn)證過(guò)程。
[0073]非首次接入,是指用戶STA已完成與標(biāo)簽的綁定且與接入點(diǎn)AP已有協(xié)商好的會(huì)話密鑰。在這種情況下,接入點(diǎn)AP處已有用戶STA和標(biāo)簽身份IDt的綁定列表LMAC ;用戶STA處也有會(huì)話密鑰協(xié)商成功后接入點(diǎn)AP向其發(fā)送的密鑰隨機(jī)數(shù)Nr。在非首次接入情況下,用戶若要接入該局域網(wǎng),則需要進(jìn)行如下接入認(rèn)證過(guò)程。
[0074]參照?qǐng)D5,用戶STA進(jìn)行接入認(rèn)證的實(shí)現(xiàn)步驟如下:
[0075](4a)接入點(diǎn)AP選擇廣播隨機(jī)數(shù)R1和難度系數(shù)d,并要求申請(qǐng)接入的用戶在認(rèn)證請(qǐng)求中添加哈希值h ;
[0076](4b)接入點(diǎn)AP將廣播隨機(jī)數(shù)R1和難度系數(shù)d周期性的廣播;
[0077](4c)用戶STA監(jiān)聽(tīng)信道獲得廣播隨機(jī)數(shù)R1和難度系數(shù)d,若d=0,則用戶直接根據(jù)802.1X擴(kuò)展認(rèn)證協(xié)議完成接入認(rèn)證過(guò)程;若d>0,用戶STA生成終端隨機(jī)數(shù)R2,并將難度系數(shù)d、廣播隨機(jī)數(shù)R1、終端隨機(jī)數(shù)R2以及MAC地址STA-addr發(fā)送給自己的標(biāo)簽;
[0078](4d)標(biāo)簽對(duì)收到的信息和身份IDt進(jìn)行哈希運(yùn)算,運(yùn)算時(shí)間為h,得到哈希值h,即:
[0079]h = hash (IDt | | STA-addr | R1 R2),
[0080]式中hash為哈希運(yùn)算函數(shù),“ I I ”為連接符;
[0081](4e)標(biāo)簽運(yùn)算結(jié)束后,將哈希值h和密鑰隨機(jī)數(shù)Nr延遲時(shí)間t后發(fā)送給用戶STA,其中延遲時(shí)間t由難度系數(shù)d和哈希運(yùn)算時(shí)間h乘積決定,即:
[0082]t = dXt0,
[0083](4f)用戶STA將標(biāo)簽計(jì)算的哈希值h和MAC地址STA-addr以及廣播隨機(jī)數(shù)札、終端隨機(jī)數(shù)R2放在一起構(gòu)成認(rèn)證請(qǐng)求,將該認(rèn)證請(qǐng)求發(fā)送給接入點(diǎn)AP ;
[0084](4g)接入點(diǎn)AP對(duì)認(rèn)證請(qǐng)求中的哈希值h進(jìn)行驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果決定是否完成此次關(guān)聯(lián)過(guò)程:
[0085](4gl)接入點(diǎn)AP檢驗(yàn)認(rèn)證請(qǐng)求中的廣播隨機(jī)數(shù)R1是否為當(dāng)前正在廣播的隨機(jī)數(shù),如果不是,則終止該接入請(qǐng)求,否則比較認(rèn)證請(qǐng)求中攜帶的密鑰隨機(jī)數(shù)Nr與列表LMAC中用戶STA對(duì)應(yīng)的隨機(jī)數(shù)是否一致,若一致,則根據(jù)用戶的MAC地址STA-addr在列表LMAC中查詢到該用戶對(duì)應(yīng)的標(biāo)簽身份IDt,否則終止用戶的接入請(qǐng)求。
[0086](4g2)接入點(diǎn)AP對(duì)獲得的信息進(jìn)行哈希運(yùn)算,得到驗(yàn)證哈希值hi:
[0087]Ii1 = hash (IDt | | STA-addr | R1 R2),
[0088]式中hash為哈希運(yùn)算函數(shù),“ I I ”為連接符;
[0089](4g3)接入點(diǎn)AP將驗(yàn)證哈希值hi與用戶認(rèn)證請(qǐng)求中的哈希值h進(jìn)行比較,若兩者相等,則向用戶STA發(fā)送認(rèn)證響應(yīng)消息,進(jìn)行后續(xù)的關(guān)聯(lián)過(guò)程,否則終止該用戶的接入請(qǐng)求。
[0090]符號(hào)說(shuō)明:
[0091]RSNA:強(qiáng)安全網(wǎng)絡(luò)關(guān)聯(lián)
[0092]802.1l1:無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)協(xié)議
[0093]802.1X:基于端口的網(wǎng)絡(luò)接入控制認(rèn)證標(biāo)準(zhǔn)
[0094]DoS:拒絕服務(wù)
[0095]RSN:強(qiáng)安全網(wǎng)絡(luò)
[0096]AP:接入點(diǎn)
[0097]STA:用戶
[0098]KDC:密鑰管理中心
[0099]IDt:標(biāo)簽的身份
[0100]IDa:接入點(diǎn)AP的身份
[0101 ] STA-addr:用戶 STA 的 MAC 地址
[0102]Kt:標(biāo)簽的初始密鑰
[0103]Ka:接入點(diǎn)AP的初始密鑰
[0104]Ks:接入點(diǎn)AP和用戶STA的共享會(huì)話密鑰
[0105]R1:廣播隨機(jī)數(shù)
[0106]R2:用戶STA生成的終端隨機(jī)數(shù)
[0107]Nr:接入點(diǎn)AP為用戶STA生成的密鑰隨機(jī)數(shù)
[0108]N1:密鑰管理中心KDC為用戶分發(fā)的標(biāo)記隨機(jī)數(shù)
[0109]LMAC:密鑰管理中心KDC將用戶MAC地址、標(biāo)記隨機(jī)數(shù)Ni和對(duì)應(yīng)標(biāo)簽的身份IDt三者綁定形成的列表。
【權(quán)利要求】
1.一種基于射頻標(biāo)簽的無(wú)線局域網(wǎng)接入認(rèn)證抗拒絕服務(wù)攻擊方法,包括: (O系統(tǒng)初始化步驟:采用可信服務(wù)器作為密鑰管理中心KDC,為標(biāo)簽與無(wú)線設(shè)備接入點(diǎn)AP分發(fā)初始密鑰,設(shè)用戶STA具有讀卡器功能,將標(biāo)簽貼在用戶STA設(shè)備上,并與用戶STA通過(guò)讀卡器通信; (2)標(biāo)簽與用戶STA的綁定步驟: (2a)用戶STA以自己的MAC地址STA-addr向密鑰管理中心KDC申請(qǐng)標(biāo)簽,密鑰管理中心KDC為用戶分發(fā)標(biāo)簽以及標(biāo)記隨機(jī)數(shù)Ni ; (2b)密鑰管理中心KDC將用戶STA的MAC地址、標(biāo)簽的身份IDt、標(biāo)簽的初始密鑰Kt和標(biāo)記隨機(jī)數(shù)Ni對(duì)應(yīng)起來(lái),并以列表形式保存,該列表稱為L(zhǎng)MAC ; (3)標(biāo)簽與接入點(diǎn)AP協(xié)商會(huì)話密鑰步驟: (3a)標(biāo)簽生成會(huì)話密鑰請(qǐng)求Request,并用初始密鑰Kt對(duì)身份IDt進(jìn)行加密,得到加密信息Et (IDt),將會(huì)話密鑰請(qǐng)求Request和加密信息Et (IDt) 一起發(fā)送給用戶STA; (3b)用戶STA收到標(biāo)簽發(fā)來(lái)的消息后,在此消息后面添加上標(biāo)記隨機(jī)數(shù)Ni以及自己的MAC地址STA-addr構(gòu)成申請(qǐng)信息,將該申請(qǐng)信息發(fā)送給密鑰管理中心KDC ; (3c)密鑰管理中心KDC收到用戶STA發(fā)來(lái)的申請(qǐng)信息后,首先檢查列表LMAC,檢驗(yàn)標(biāo)記隨機(jī)數(shù)Ni和MAC地址STA-addr是否存在于列表LMAC中,若不是,直接做拋棄處理,否則查出對(duì)應(yīng)標(biāo)簽的初始密鑰Kt,并用該密鑰進(jìn)行解密運(yùn)算,求解出標(biāo)簽的身份IDt ; (3d)密鑰管理中心KD C生成一個(gè)會(huì)話密鑰Ks,用標(biāo)簽初始密鑰Kt對(duì)會(huì)話密鑰Ks和標(biāo)簽的身份IDt進(jìn)行加密,得到密文E t(Ks I I IDt),并將該密文、標(biāo)簽的會(huì)話密鑰請(qǐng)求Request、用戶STA的MAC地址STA-addr —起作為回復(fù)包發(fā)送給用戶STA ; (3e)用戶STA收到回復(fù)包后檢查MAC地址是否是自己的地址,若是則將該回復(fù)包發(fā)送給標(biāo)簽,否則丟棄處理;標(biāo)簽收到用戶STA轉(zhuǎn)發(fā)的回復(fù)包后,先檢查會(huì)話密鑰請(qǐng)求Request的正確性,若正確,則解密,從而獲得與接入點(diǎn)AP共享的會(huì)話密鑰Ks,否則將該包丟棄;(3f)接入點(diǎn)AP生成會(huì)話密鑰請(qǐng)求Request2,用初始密鑰Ka對(duì)自己的身份IDa進(jìn)行加密得到密文Ea(IDa),并將會(huì)話密鑰請(qǐng)求Request2、密文Ea(IDa)和自己的MAC地址MACa —同發(fā)送給密鑰管理中心KDC ; (3g)密鑰管理中心KDC核對(duì)接入點(diǎn)AP的地址信息后,用接入點(diǎn)AP的初始密鑰Ka對(duì)會(huì)話密鑰Ks和接入點(diǎn)AP的身份信息IDa以及列表LMAC進(jìn)行加密,得到加密信息Ea (Ks I I IDa I I LMAC),再將該加密信息發(fā)送給接入點(diǎn)AP ; (3h)接入點(diǎn)AP用初始密鑰Ka解密,獲得會(huì)話密鑰Ks和列表LMAC,同時(shí)生成一個(gè)密鑰隨機(jī)數(shù)Nr將其加入列表LMAC中,并用會(huì)話密鑰Ks對(duì)密鑰隨機(jī)數(shù)Nr加密后傳遞給用戶STA,用戶STA再傳遞給標(biāo)簽; (4)基于射頻標(biāo)簽的無(wú)線局域網(wǎng)接入認(rèn)證步驟: (4a)接入點(diǎn)AP選擇廣播隨機(jī)數(shù)R1和難度系數(shù)d,并要求申請(qǐng)接入的用戶在認(rèn)證請(qǐng)求中添加哈希值h ; (4b)接入點(diǎn)AP將廣播隨機(jī)數(shù)R1和難度系數(shù)d在網(wǎng)絡(luò)中周期性地廣播; (4c)用戶STA監(jiān)聽(tīng)信道獲得的廣播隨機(jī)數(shù)R1和難度系數(shù)d,若d=0,則用戶直接根據(jù)802.1X擴(kuò)展認(rèn)證協(xié)議完成接入認(rèn)證過(guò)程;若d>0,用戶STA生成終端隨機(jī)數(shù)R2,并將難度系數(shù)d、廣播隨機(jī)數(shù)R1、終端隨機(jī)數(shù)R2以及MAC地址STA-addr發(fā)送給自己的標(biāo)簽;(4d)標(biāo)簽對(duì)收到的信息和身份IDt進(jìn)行哈希運(yùn)算,運(yùn)算時(shí)間為h,得到哈希值h,即: h = hash (IDt | | STA-addr | R1 R2), 式中hash為哈希運(yùn)算函數(shù),“ I I ”為連接符; (4e)標(biāo)簽運(yùn)算結(jié)束后,將哈希值h和密鑰隨機(jī)數(shù)Nr延遲時(shí)間t后發(fā)送給用戶STA,其中延遲時(shí)間t由難度系數(shù)d和哈希運(yùn)算時(shí)間&乘積決定,即:t = dX t0, (4f)用戶STA將標(biāo)簽計(jì)算的哈希值h和MAC地址STA-addr以及廣播隨機(jī)數(shù)R1、終端隨機(jī)數(shù)R2放在一起構(gòu)成認(rèn)證請(qǐng)求,將該認(rèn)證請(qǐng)求發(fā)送給接入點(diǎn)AP ; (4g)接入點(diǎn)AP對(duì)認(rèn)證請(qǐng)求中的哈希值h進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)后則建立關(guān)聯(lián),否則終止該用戶的接入請(qǐng)求。
2.根據(jù)權(quán)利要求1中所述的一種基于射頻標(biāo)簽的無(wú)線局域網(wǎng)接入認(rèn)證抗拒絕服務(wù)攻擊方法,其中步驟(4g)所述的接入點(diǎn)AP對(duì)認(rèn)證請(qǐng)求中的哈希值h進(jìn)行驗(yàn)證,按如下步驟進(jìn)行: (4gl)接入點(diǎn)AP檢驗(yàn)認(rèn)證請(qǐng)求中的廣播隨機(jī)數(shù)R1是否為當(dāng)前正在廣播的隨機(jī)數(shù),如果不是,則終止該接入請(qǐng)求,否則比較認(rèn)證請(qǐng)求中攜帶的密鑰隨機(jī)數(shù)Nr與列表LMAC中用戶STA對(duì)應(yīng)的隨機(jī)數(shù)是否一致,若一致,則根據(jù)用戶的MAC地址STA-addr在列表LMAC中查詢到該用戶對(duì)應(yīng)的標(biāo)簽身份IDt ; (4g2)接入點(diǎn)AP對(duì)獲得的信息進(jìn)行哈希運(yùn)算,得到驗(yàn)證哈希值Ii1:
Ii1 = hash (IDt | | STA-addr | R1 R2), 式中hash為哈希運(yùn)算函數(shù),“ || ”為連接符; (4g3)接入點(diǎn)AP將驗(yàn)證哈希值Ii1與用戶認(rèn)證請(qǐng)求中的哈希值h進(jìn)行比較,若兩者相等,則向用戶STA發(fā)送認(rèn)證響應(yīng)消息并完成以后的關(guān)聯(lián)過(guò)程,否則終止該用戶的接入請(qǐng)求。
【文檔編號(hào)】H04W12/04GK103596179SQ201310628370
【公開(kāi)日】2014年2月19日 申請(qǐng)日期:2013年11月29日 優(yōu)先權(quán)日:2013年11月29日
【發(fā)明者】董慶寬, 劉曉婷, 陳原, 王俊平, 方建平, 丁文秀 申請(qǐng)人:西安電子科技大學(xué)昆山創(chuàng)新研究院, 西安電子科技大學(xué)
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1