基于射频标签的无线局域网接入认证抗拒绝服务攻击方法

摘要

本发明公开了一种基于射频标签的无线局域网接入认证抗拒绝服务攻击方法，主要解决无线局域网接入认证过程中存在拒绝服务攻击的问题。其实现步骤是：（1）用户STA向密钥管理中心KDC申请得到标签；（2）用户STA与标签进行绑定；（3）标签与接入点AP协商会话密钥；（4）用户STA将监听信道获得的参数发送给标签，由标签进行哈希值h的计算；（5）用户将哈希值h添加到接入申请中发送给接入点AP；（6）接入点AP对哈希值h进行验证并决定是否完成此次关联过程。本发明利用射频标签进行无线局域网接入认证时的抗拒绝服务攻击，避免了潜在的攻击威胁，提高了无线局域网接入认证时抗拒绝服务攻击的能力，可用于网络安全。

主权项

一种基于射频标签的无线局域网接入认证抗拒绝服务攻击方法，包括：（1）系统初始化步骤：采用可信服务器作为密钥管理中心KDC，为标签与无线设备接入点AP分发初始密钥，设用户STA具有读卡器功能，将标签贴在用户STA设备上，并与用户STA通过读卡器通信；（2）标签与用户STA的绑定步骤：（2a）用户STA以自己的MAC地址STA‑addr向密钥管理中心KDC申请标签，密钥管理中心KDC为用户分发标签以及标记随机数Ni；（2b）密钥管理中心KDC将用户STA的MAC地址、标签的身份IDt、标签的初始密钥Kt和标记随机数Ni对应起来，并以列表形式保存，该列表称为LMAC；（3）标签与接入点AP协商会话密钥步骤：（3a）标签生成会话密钥请求Request，并用初始密钥Kt对身份IDt进行加密，得到加密信息Et(IDt)，将会话密钥请求Request和加密信息Et(IDt)一起发送给用户STA;（3b）用户STA收到标签发来的消息后，在此消息后面添加上标记随机数Ni以及自己的MAC地址STA‑addr构成申请信息，将该申请信息发送给密钥管理中心KDC；（3c）密钥管理中心KDC收到用户STA发来的申请信息后，首先检查列表LMAC，检验标记随机数Ni和MAC地址STA‑addr是否存在于列表LMAC中，若不是，直接做抛弃处理，否则查出对应标签的初始密钥Kt，并用该密钥进行解密运算，求解出标签的身份IDt；（3d）密钥管理中心KDC生成一个会话密钥Ks，用标签初始密钥Kt对会话密钥Ks和标签的身份IDt进行加密，得到密文Et（Ks||IDt），并将该密文、标签的会话密钥请求Request、用户STA的MAC地址STA‑addr一起作为回复包发送给用户STA；（3e）用户STA收到回复包后检查MAC地址是否是自己的地址，若是则将该回复包发送给标签，否则丢弃处理；标签收到用户STA转发的回复包后，先检查会话密钥请求Request的正确性，若正确，则解密，从而获得与接入点AP共享的会话密钥Ks，否则将该包丢弃；（3f）接入点AP生成会话密钥请求Request2，用初始密钥KA对自己的身份IDA进行加密得到密文EA(IDA)，并将会话密钥请求Request2、密文EA(IDA)和自己的MAC地址MACA一同发送给密钥管理中心KDC；（3g）密钥管理中心KDC核对接入点AP的地址信息后，用接入点AP的初始密钥KA对会话密钥Ks和接入点AP的身份信息IDA以及列表LMAC进行加密，得到加密信息EA(Ks||IDA||LMAC)，再将该加密信息发送给接入点AP；（3h）接入点AP用初始密钥KA解密，获得会话密钥Ks和列表LMAC，同时生成一个密钥随机数Nr将其加入列表LMAC中，并用会话密钥Ks对密钥随机数Nr加密后传递给用户STA，用户STA再传递给标签；（4）基于射频标签的无线局域网接入认证步骤：（4a）接入点AP选择广播随机数R1和难度系数d，并要求申请接入的用户在认证请求中添加哈希值h；（4b）接入点AP将广播随机数R1和难度系数d在网络中周期性地广播；（4c）用户STA监听信道获得的广播随机数R1和难度系数d，若d=0，则用户直接根据802.1X扩展认证协议完成接入认证过程；若d>0，用户STA生成终端随机数R2，并将难度系数d、广播随机数R1、终端随机数R2以及MAC地址STA‑addr发送给自己的标签；（4d）标签对收到的信息和身份IDt进行哈希运算，运算时间为t0，得到哈希值h，即：h＝hash(IDt||STA‑addr||R1||R2)，式中hash为哈希运算函数，“||”为连接符；（4e）标签运算结束后，将哈希值h和密钥随机数Nr延迟时间t后发送给用户STA，其中延迟时间t由难度系数d和哈希运算时间t0乘积决定，即：t＝d×t0，（4f）用户STA将标签计算的哈希值h和MAC地址STA‑addr以及广播随机数R1、终端随机数R2放在一起构成认证请求，将该认证请求发送给接入点AP；（4g）接入点AP对认证请求中的哈希值h进行验证，验证通过后则建立关联，否则终止该用户的接入请求。