CN101159538A - 一种密钥管理方法 - Google Patents

Abstract

本发明涉及一种密钥管理方法，为一种增强的RSNA的4步握手协议。其包括以下步骤：1认证器在消息(1)上添加密钥协商标识KNID和消息完整性码MIC后，发送给请求者；2请求者收到消息(1)后验证其中的MIC字段是否正确，不正确则直接丢弃；否则进行其他验证，验证成功则向认证器发送消息(2)；3认证器收到消息(2)后进行验证，验证成功则向请求者发送消息(3)；4请求者收到消息(3)后进行验证，验证成功则向认证器发送消息(4)；5认证器收到消息(4)后进行验证，验证成功则4步握手协议成功完成，认证器和请求者协商出一致的单播临时密钥UTK，并各自得到对方的组播主密钥GMK。本发明解决了目前RSNA安全机制中密钥管理协议存在的DoS攻击问题。

Description

一种密钥管理方法

技术领域

本发明涉及一种密钥管理方法，尤其是一种用于RSNA的密钥管理方法。

背景技术

为了解决无线局域网WLAN(Wireless Local Area Network)国际标准ISO/IEC 8802-11中定义的WEP(Wired Equivalent Privacy)安全机制存在的安全漏洞，IEEE组织颁布了IEEE 802.11i标准，在后向兼容的基础上，提出了鲁棒安全网络关联RSNA(Robust Security Network Association)技术弥补WEP存在的安全漏洞。

RSNA通过基于扩展认证协议EAP(Extended Authentication Protocol)的IEEE 802.1x与4步握手协议(4-way Handshake)，实现认证与密钥分发功能。该安全机制均较好地解决了WLAN的安全问题，但由于这种机制在设计时更多考虑了安全性，而没有过多考虑协议的可用性，因此其4步握手协议存在DoS攻击问题。这是由于4步握手协议的第一个消息未采取保护措施，裸露的消息1可被攻击者利用。

对于认证器(Authenticator)，最多与每个请求者(Supplicant)存在一个握手，并具有超时重发功能，但请求者却不能采用同样的策略。若请求者配置成完全状态的，即仅期望某个特定消息的应答，现考虑请求者接收到消息1并发出消息2这种情况，若消息2由于各种原因丢失了，认证器将得不到期望的消息2，因此认证器超时之后会重传消息1，但由于请求者仅期望收到消息3，则会丢弃该重传的消息1，引起协议失败，则攻击者利用这一点可以抢先在合法消息1之前发送伪造的消息1，造成请求者阻塞协议。因此在握手过程中，请求者必须允许接受多个消息1以保证协议能够继续，即请求者必须允许多个握手实例同时运行。

协议阻塞攻击是由于消息1的薄弱性造成的，为回避此问题，在协议实施时，请求者可存储多个单播临时密钥UTK(Unicast Temporal Key)，一个为合法的单播临时密钥，其余为临时的单播临时密钥。收到消息1时仅更新临时的单播临时密钥，只有收到带有有效消息完整性码MIC(MessageIntegrity Code)的消息3时才更新合法的单播临时密钥。若攻击者发送多个携带不同Nonce的消息1，为了确保不阻塞合法认证器的协议执行，请求者必须采用相当大的存储空间来存储所有收到的消息1中的Nonce、本地新产生的Nonce及对应的临时的单播临时密钥，直到它完成握手并得到一个合法的单播临时密钥。单播临时密钥的计算虽然花费不大，不会造成CPU耗尽攻击，但攻击者若有意提高伪造消息1的发送频率，则存在存储耗尽的危险。这种伪造攻击易于实施，造成的危害也比较严重，一次成功的攻击将使得先期的对认证过程的种种努力化为泡影。

发明内容

本发明为解决背景技术中存在的上述技术问题，而提供一种可防止DoS攻击的密钥管理方法。

本发明的技术解决方案是：本发明为一种密钥管理方法，其特殊之处在于：该方法为一种增强的RSNA的4步握手协议，其包括以下步骤：

1)、认证器在消息1原有定义内容的基础上，添加密钥协商标识KNID和消息完整性码MIC，构成新的消息1后，发送给请求者；

2)、请求者收到新的消息1之后，验证其中的MIC字段是否正确，若不正确，则直接丢弃；否则，进行原有验证，若验证成功，则向认证器发送消息2；

3)、认证器收到消息2之后，进行原有验证，若验证成功，则向请求者发送消息3；

4)、请求者收到消息3之后，进行原有验证，若验证成功，则向认证器发送消息4；

5)、认证器收到消息4之后，进行原有验证，若验证成功，则4步握手协议成功完成，认证器和请求者协商出一致的单播临时密钥UTK，并各自得到对方的组播主密钥GMK。

上述步骤1)中MIC为认证器利用认证阶段已协商的成对主密钥PMK对MIC字段之前的所有字段计算的杂凑值。

上述步骤1)中的KNID，若此次过程为RSNA认证成功后的首次4步握手协议，则其为认证器产生的随机数，若为密钥更新过程，则其为上一次4步握手协议成功后，认证器根据PMK、Nonce_A、Nonce_S计算得到的值。

若为密钥更新过程，步骤2)中请求者还要验证KNID是否正确，不正确，则直接丢弃。

上述消息1原有定义内容以及消息2、消息3和消息4的内容分别与IEEE802.11i-2004标准文本中的定义相同。

上述原有验证均为IEEE 802.11i-2004标准文本中的验证过程。

本发明通过在原有的RSNA的4步握手方法的消息1的基础上添加消息完整性码MIC和密钥协商标识KNID，防止对消息1的伪造和重放，以增强协议的安全性和健壮性，解决了目前RSNA安全机制中密钥管理协议存在的DoS攻击问题。

具体实施方式

本发明的具体方法如下：

1)、认证器在消息1原有定义内容的基础上，添加密钥协商标识KNID(Key Negotiation IDentifier)和消息完整性码MIC，构成新的消息1后，发送给请求者；

2)、请求者收到新的消息1之后，验证其中的MIC字段是否正确，若不正确，则直接丢弃；否则，进行原有验证，若验证成功，则向认证器发送消息2；消息2的内容与原有定义相同；

需说明的是：新消息1中的MIC为认证器利用认证阶段已协商的成对主密钥PMK(Pairwise Master Key)对MIC字段之前的所有字段计算的杂凑值；新消息1中的KNID，若此次过程为RSNA认证成功后的首次4步握手协议，则其为认证器产生的随机数，若为密钥更新过程，则其为上一次4步握手协议成功后，认证器根据PMK、Nonce_A、Nonce_S计算得到的值。MIC字段的添加杜绝了攻击者对消息1的伪造，KNID的这种设计使认证器和请求者能够实现同步功能，杜绝了攻击者对消息1的重放。在密钥更新过程中，请求者对消息1的验证还应包含对KNID的验证，

3)、认证器收到消息2之后，进行原有验证，若验证成功，则向请求者发送消息3；消息3的内容与原有定义相同；

4)、请求者收到消息3之后，进行原有验证，若验证成功，则向认证器发送消息4；消息4的内容与原有定义相同；

5)、认证器收到消息4之后，进行原有验证，若验证成功，则4步握手协议成功完成，认证器和请求者协商出一致的单播临时密钥UTK，并各自得到对方的组播主密钥GMK(Group Master Key)。

名词解释：

Nonce_A：认证器产生的一次性随机数；

Nonce_S：请求者产生的一次性随机数。

原有定义和原有验证指的是IEEE 802.11i-2004标准文本中的定义和验证。

Claims (6)

1.一种密钥管理方法，其特征在于：该方法为一种增强的RSNA的4步握手协议，其包括以下步骤：

1)、认证器在消息(1)原有定义内容的基础上，添加密钥协商标识KNID和消息完整性码MIC，构成新的消息(1)后，发送给请求者；

2)、请求者收到新的消息(1)之后，验证其中的MIC字段是否正确，若不正确，则直接丢弃；否则，进行原有验证，若验证成功，则向认证器发送消息(2)；

3)、认证器收到消息(2)之后，进行原有验证，若验证成功，则向请求者发送消息(3)；

4)、请求者收到消息(3)之后，进行原有验证，若验证成功，则向认证器发送消息(4)；

5)、认证器收到消息(4)之后，进行原有验证，若验证成功，则4步握手协议成功完成，认证器和请求者协商出一致的单播临时密钥UTK，并各自得到对方的组播主密钥GMK。

2.根据权利要求1所述的密钥管理方法，其特征在于：所述步骤1)中消息完整性码MIC为认证器利用认证阶段已协商的成对主密钥PMK对MIC字段之前的所有字段计算的杂凑值。

3.根据权利要求1所述的密钥管理方法，其特征在于：所述步骤1)中的密钥协商标识KNID，若此次过程为RSNA认证成功后的首次4步握手协议，则其为认证器产生的随机数，若为密钥更新过程，则其为上一次4步握手协议成功后，认证器根据成对主密钥PMK、Nonce_A、Nonce_S计算得到的值。

4.根据权利要求1或2或3所述的密钥管理方法，其特征在于：若为密钥更新过程，所述步骤2)中请求者还要验证KNID是否正确，不正确，则直接丢弃。

5.根据权利要求4所述的密钥管理方法，其特征在于：所述消息(1)原有定义内容以及消息(2)、消息(3)和消息(4)的内容分别与IEEE802.11i-2004标准文本中的定义相同。

6.根据权利要求4所述的密钥管理方法，其特征在于：所述原有验证均为IEEE 802.11i-2004标准文本中的验证过程。