[发明专利]抵抗无线局域网接入认证拒绝服务攻击的方法

说明书

技术领域

本发明属于网络技术安全领域，具体涉及无线网络环境抗拒绝服务DoS攻击的方法，可用于无线局域网环境，以减少拒绝服务攻击对接入认证过程的影响。 

技术背景

拒绝服务DoS攻击的主要目的是为了使网络中提供的服务丧失可用性，其实施难度小、危害程度大，是目前网络中最大的威胁。但是由于互联网的开放性，导致无法杜绝这种攻击的存在。因此现有研究的目标都旨在如何减少DoS攻击对网络的影响。 

无线网络的接入安全一直是人们研究的热点问题。由于无线网络设备的和带宽资源的局限性，导致接入认证过程面临DoS攻击的威胁。目前已有的无线接入认证协议，诸如WAPI协议和802.11i协议等，都在无线接入过程中存在一定的DoS攻击威胁。 

802.11i协议是目前最流行的无线网络安全协议标准，它提供了身份认证和密钥交换功能，目前市面主流无线网络产品都采用该标准。802.11i继承了802.11的两种认证方式：开放式系统认证方式和共享密钥认证方式，并且提出了基于802.1X的认证机制，建议最好采用基于802.1X的认证机制。802.11i协议提出了新的安全网络安全体系——强安全网络RSN(Robust Security Network)，主要由安全关联管理和数据加密机制够成。其中安全关联管理机制包括RSN安全能力协商、802.1X认证过程和802.1X密钥发布过程。 

1.RSN安全能力协商过程即安全关联建立的过程，参考图1，描述如下： 

1)用户STA通过接入点AP的信标帧或者探测响应帧获得802.11i的信息元素； 

2)用户STA向接入点AP进行开放系统认证请求； 

3)接入点AP对用户STA做出开放系统认证响应； 

4)用户STA发送关联请求给接入点AP； 

5)接入点AP对用户STA进行关联请求认证响应。 

2.802.1X认证过程 

当安全关联建立过程结束之后，就可以进入802.1X认证。802.1X认证协议实现了网络的接入控制，该协议包含三个主体，用户接入端，接入认证端和认证服务器，即无线网络环境中的用户STA，接入点AP和认证服务器ASU。在该协议下，用户STA和接入点AP之间通过认证服务器ASU进行相互认证。用户STA与接入点AP之间采用802.1X认证标准，而接入点AP和认证服务器ASU之间则采用AAA协议作为通信标准，即RADIUS/DIAMETER协议。 

参考图2，802.1X认证过程如下： 

1)用户STA向接入点AP的非受控端口发送一个EAP启动消息； 

2)接入点AP返回EAP扩展认证回应，要求用户STA提供身份信息； 

3)用户STA通过EAP扩展认证响应，向接入点AP发送自己的身份信息； 

4)接入点AP将用户STA的身份信息通过接入请求发送给认证服务器ASU来进行认证； 

5)认证服务器ASU利用EAP中封装的认证方法来对用户STA进行身份认证； 

6)用户STA身份得到认证之后，认证服务器ASU将认证结果和密钥材料发送给接入点AP； 

7)接入点AP向用户STA发送EAP扩展认证成功消息。 

上述安全关联建立过程是一个状态执行协议，AP需要对用户的状态信息存储，因此需要AP消耗一定的存储资源。如果攻击者发送了大量虚假探测请求，AP会因为处理这些虚假探测请求而导致自身存储资源耗尽，无法为其他用户提供接入认证服务。扩展认证802.1X为接入认证过程提供了更强的身份验证，但是同时也能够被攻击者利用来进行DoS攻击，攻击者可以发送大量虚假的证书迫使ASU进行证书验证消耗大量的计算资源导致接入认证服务无法正常进行。因此802.11i协议针对DoS攻击没有起到很好的防护作用。 

WAPI协议是中国无线局域网标准，由WAI和WPI两个模块构成，分别实现对用户身份的认证和对传输数据加密的功能。WAPI与802.11i协议相同，需要首先进行安全关联过程。参考图3，其关联过程如下： 

1.用户STA通过AP的信标帧或者探测响应帧获得WAPI信息元素 

2.用户STA向接入点AP发送开放系统认证请求； 

3.接入点AP对用户STA做出开放系统认证响应； 

4.用户STA发送关联请求给接入点AP，其中关联请求中的包含WPAI信息元素； 

5.接入点AP对用户STA进行关联请求认证响应。