[发明专利]抵抗无线局域网接入认证拒绝服务攻击的方法

摘要

本发明公开了一种无线接入认证协议抗DoS攻击的方法，主要解决现有802.11i协议和WAPI协议无线接入认证过程中存在的DoS攻击威胁问题。该方法利用信标帧发布机制和client-puzzle机制的结合使用，实现对接入认证关联过程中DoS攻击的抵御。其实现步骤是：(1)用户通过监听的方式获得接入点所发布的信标帧，获得构造puzzle所需参数；(2)在完成认证交互的同时，生成puzzle并作出解答；(3)将puzzle和解答包含在关联请求中发送给接入点；(4)接入点通过对puzzle和解答进行的验证，决定是否完成此次关联过程。本发明具有较强的抵御DoS攻击能力和适应性，适用于现有的无线接入认证协议。

主权项

一种抵抗无线局域网接入认证中存在的拒绝服务攻击的方法，包括如下步骤：(1)用户STA通过监听获得接入点AP发布的信标帧获得相关信息元素，该信息元素中包含原有信息和用户产生问题puzzle所需的参数；(2)在获得相关信息元素后，用户STA与接入点AP进行相应的认证交互；(3)在进行认证交互的同时，执行如下操作：3a)用户STA从信标帧中接入点AP的MAC地址AP_add，从信息元素中获得构造puzzle所用的构造随机数Ni和当前难度级别L，指定puzzle计算所用的Hash函数，并任意选择一个随机数r；3b)将待解答X、用户所选择随机数r、接入点的MAC地址AP_add、构造随机数Ni和难度级别L，按顺序并接成比特串X||r||Ni||AP_add||L，并对该比特串进行Hash计算，如果计算结果最后L位为0，则X是puzzle的解答，否则解答不能通过；3c)用户利用穷举搜索的方法寻找一个解答X，使其满足步骤3b中解答的判定条件；(4)完成puzzle的生成和解答后，用户STA向接入点AP发起关联请求消息，该关联请求消息的信息元素中添加生成puzzle的相关参数；(5)接入点AP对关联请求消息中的puzzle和寻找的解答X按照步骤3b)中对解答的判定条件做出验证，如果puzzle验证通过，且该puzzle验证结果与当前解答临时列表中存储的已有验证结果不重复时，则向用户发送关联请求响应消息，完成关联请求，并将验证结果存入解答临时列表中，否则终止该用户的接入请求。