無(wú)線(xiàn)局域網(wǎng)接入認(rèn)證協(xié)議的抗DoS攻擊技術(shù)研究.pdf

1、隨著無(wú)線(xiàn)通信技術(shù)的飛速發(fā)展，越來(lái)越多的用戶(hù)開(kāi)始使用無(wú)線(xiàn)設(shè)備連接到互聯(lián)網(wǎng)。由于無(wú)線(xiàn)鏈路的開(kāi)放性特點(diǎn)，無(wú)線(xiàn)網(wǎng)絡(luò)通信比有線(xiàn)網(wǎng)絡(luò)更容易受到各種各樣的攻擊。為了保護(hù)無(wú)線(xiàn)局域網(wǎng)的安全，IEEE802.11組織發(fā)布了無(wú)線(xiàn)局域網(wǎng)安全標(biāo)準(zhǔn)--IEEE802.11 i安全協(xié)議。但是由于協(xié)議設(shè)計(jì)問(wèn)題和無(wú)線(xiàn)局域網(wǎng)自身特點(diǎn)，無(wú)線(xiàn)局域網(wǎng)中的接入認(rèn)證過(guò)程以及安全關(guān)聯(lián)協(xié)商過(guò)程仍然面臨著非常嚴(yán)重的DoS攻擊威脅。在對(duì)國(guó)內(nèi)外已有的接入認(rèn)證協(xié)議抗DoS攻擊方法進(jìn)行廣泛調(diào)研的

2、基礎(chǔ)上，本文針對(duì)無(wú)線(xiàn)局域網(wǎng)接入認(rèn)證過(guò)程抗DoS攻擊技術(shù)進(jìn)行了深入的研究。
　　 本文首先提出了一種基于client puzzle機(jī)制的新型抗DoS攻擊方案。在該方案中無(wú)線(xiàn)接入點(diǎn)利用信標(biāo)幀的廣播機(jī)制發(fā)布puzzle構(gòu)造參數(shù)，用戶(hù)通過(guò)監(jiān)聽(tīng)方式獲得信標(biāo)幀，根據(jù)信標(biāo)幀中包含的參數(shù)構(gòu)造puzzle并做出解答，只有在解答通過(guò)接入點(diǎn)驗(yàn)證時(shí)，才會(huì)繼續(xù)對(duì)用戶(hù)做出認(rèn)證請(qǐng)求響應(yīng)并完成接入認(rèn)證過(guò)程。該方案在不改變802.11i協(xié)議的結(jié)構(gòu)框架以及不增加額

3、外通信輪數(shù)的前提下，最大限度地平衡了接入用戶(hù)和接入點(diǎn)之間的資源平衡性，減少了DoS攻擊對(duì)接入點(diǎn)的影響。
　　 其次，為了解決基于計(jì)算資源消耗的puzzle機(jī)制可能會(huì)給無(wú)線(xiàn)設(shè)備帶來(lái)一定負(fù)擔(dān)的問(wèn)題，本文對(duì)一種新的wireless client puzzle機(jī)制進(jìn)行了深入研究。針對(duì)該機(jī)制中存在的安全問(wèn)題，本文提出了一種利用無(wú)線(xiàn)傳感器實(shí)現(xiàn)該機(jī)制的方案，并通過(guò)增加驗(yàn)證節(jié)點(diǎn)隨機(jī)選擇方案和抗偽造警告消息攻擊技術(shù)來(lái)進(jìn)一步提高該機(jī)制的安全性。與此