CN103763321A - Wlan网络中一种基于认证方法的嗅探防御方法 - Google Patents
Wlan网络中一种基于认证方法的嗅探防御方法 Download PDFInfo
- Publication number
- CN103763321A CN103763321A CN201410030004.4A CN201410030004A CN103763321A CN 103763321 A CN103763321 A CN 103763321A CN 201410030004 A CN201410030004 A CN 201410030004A CN 103763321 A CN103763321 A CN 103763321A
- Authority
- CN
- China
- Prior art keywords
- authentication
- identity
- client
- server
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明在无线局域网WLAN中提出了一种保证网络信息安全的嗅探防御技术方法,基于一次性认证身份的认证方式依赖于设定在客户端和服务器之间的预共享密钥PSK,利用PSK导出K1和K2来验证服务器和客户端的身份,其中导出算法f采用HMAC-SHA-1或者HMAC-MD5,而对应于某个用户的PSK使用该用户的一次性用户ID对应标识,所谓一次性,是指该ID只在某一用户本次登入认证时出示使用,在认证结束之后即被新的ID替代。本发明采用基于一次性认证身份的认证方式EAP-OTID作为现有EAP认证方式的改进措施,既保持了EAP-MD5计算速率快捷和部署容易的特点,又支持双向认证又能保护用户identity信息泄露。
Description
技术领域
本发明涉及无线局域网WLAN中安全技术研究领域,具体的讲是一种WLAN通过选择优良认证方法来防御无线嗅探攻击的网络安全方法。
背景技术
众所周知,无线局域网(WLAN)因为安装便捷、组网灵活而被迅速推广普及,应用广泛。然而WLAN在给用户带来便捷的同时,也带来了较大的安全隐患,这是由WLAN无线信号的广播本质和它应用的网络协议自身的设计缺陷导致的。WLAN安全技术的研究,对信息安全相关领域和未来信息化战略目标都很有价值,也是近年来安全领域研究中的热点。
但是,在现有的众多WLAN安全技术研究中,针对无线嗅探相关技术的研究还很少,无线嗅探在WLAN中的威胁还没有充分引起人们的关注。被动攻击作为网络攻击的主要模式之一,以嗅探为代表的被动攻击在WLAN网络环境更显优势,嗅探攻击以其隐蔽性、非交互性以及非干扰性,往往能使WLAN用户的信息泄漏于无形之中。
目前WLAN标准提出的各种安防措施、安全协议和技术并没有很好的抵挡嗅探攻击技术。比如,基于非密钥体制防护手段,如SSID(Service Set Identifier,服务集标识码)广播隐藏、MAC地址过滤和密钥周期缩短设置等,前两者在嗅探攻击的被动侦听和数据分析下不堪一击,而密钥周期缩短的设置带来频繁更新密码的问题亦不被用户所采用。在众多认证协议和加密技术提出的过程中,WLAN的IFS(Intrusion Detection Systems,入侵检测系统)也层出不穷,但都未能有效检测并防御无线嗅探攻击。现行的WLAN安全技术并没有根本解决安全问题,其中相当重要的原因是没有针对嗅探防御的措施,使得WLAN终端频受攻击。
传统的网络安全防御方法分为两种模式:主动防御和被动防御,相对于“亡羊补牢式”的被动防御,主动防御更高级些,主动防御通常在攻击发生前根据系统运行状态预估可能存在的威胁以及攻击形式、手段,进而设计主动修复漏洞、防御攻击的系统,通常包括IPS(Intrusion preventionsystem,入侵防御系统)和IDS(Intrusion detection system,入侵检测系统)两种。目前WLAN有不少主动防御系统,这些防御系统对于主动攻击具有很好的防御效果,但是无线嗅探却能成功躲避各类无线网络防御系统的监视,以其隐蔽性和无干扰性悄悄地攻击网络。因此我们针对无线嗅探防御安全技术进行深入研究,设计周全的嗅探防御技术,在现有的防御技术基础上进行改进和优化,全面加强WLAN信息安全。
无线局域网WLAN应用广泛,但同时由于自身特性,WLAN也带有极大的安全隐患,嗅探攻击以其隐蔽性、非交互性以及非干扰性,往往能使WLAN用户的信息泄漏于无形之中。目前WLAN有不少防御系统,但是无线嗅探攻击却能成功地躲避各类无线网络防御系统的监视,以其隐蔽性和无干扰性悄悄地攻击网络。这就迫使我们不得不针对无线嗅探防御安全技术进行深入研究,全面保证网络信息安全。
802.11i定义的健壮安全网络中采用802.1X认证模式,提供比WPA-PSK更为安全的保密等级,通常使用于中型或者大型可交换无线网络中。相对于在简单家庭WLAN或者小型WLAN中使用预共享密钥维护网络安全的模式,802.1X采用专门的数据库系统维护每个合法用户的独立的账户信息,除非攻陷整个账户数据库,盗取所有用户的登入口令,否则不足以威胁整个WLAN的安全性,这一点与在PSK模式中盗取了共享密钥之后就能嗅探全网络信息形成鲜明的对比。802.1X认证框架提供了针对链路层的扩展认证,对其上层的具体认证方式完全透明。
802.1X所采纳的可扩展认证协议EAP是基于端口的网络接入控制协议,并且是RADIUS主要支持的一个安全框架。实际上EAP是一个通用认证框架,定义了一系列用于双方认证开始和结束后处理的中间消息,这些消息与各种上层认证算法一同使用。目前使用最为广泛的认证算法主要有EAP-MD5、EAP-TSL、EAP-TTSL、EAP-LEAP和EAP-PEAP。
发明内容
本发明综合认证安全性(认证双向性、客户信息保密性)、部署难度和网络处理速度等因素,结合各种EAP认证方式的特点,提出一种折中的认证方式,弥补现有EAP认证的不足,又能提高一定的网络性能。本发明的步骤如下:
步骤一:AP新检测到网络中新加入的STA即发送一个EAP-Request Identity质询。
步骤二:STA在接收到AP的identity身份质询之后回复以一个一次性的Identity,即ID_current即作为回应。
步骤三:服务器接收到identity响应以后,查询本地数据库中是否存在ID_current用户,如果存在则使用request报文发送自身的ID_server同时附加一个实时性的随机码Ns。
步骤四:客户端接收到该请求之后同样产生一个实时性的随机码Nc,并导出K1和K2:
K1=f(PSK,ID_server & Ns & Nc)
K2=f(PSK,ID_current & Nc & Ns)
MIC1=f(K1,ID_current & Nc & Ns)
然后客户端将Nc和f(K1,MIC1)一同发送给服务器,并在其中附加客户端支持的加密算法。
步骤五:服务器使用同样的参数和算法计算出MIC1和K1的单向散列值,用以校验客户端的身份。如果校验成功,那么服务器将产生一个新的用户标识ID_new来代替数据库中的ID_current。然后使用如下公式计算出MIC2:
MIC2=f(MIC1,ID_new & Nc & Ns)
然后使用步骤四报文中选定客户端支持的某加密算法encode,使用K2作为加密密钥,加密MIC2、ID_new和一个新的48Byte数据数(前主密钥),然后将密文发送给客户端并附加所选的加密算法信息,之后利用前主密钥导出会话主密钥。
步骤六:客户端接收到密文和加密算法类型之后使用K2进行解码,得到MIC2和ID_new。首先计算出MIC2值验证服务器的身份,如果验证通过,则使用ID_new替换原来的ID_current,并利用前主密钥结合PSK导出会话主密钥。然后发送一个空响应标识认证过程结束。
步骤七:服务端接收到客户端的空响应则回复以EAP-Success标识认证成功。
本发明通过选择优良认证方法来增强加密强度,以此来防御无线嗅探攻击,尤其适用于无线局域网网络。
因为不采用KPI系统,所以EAP-OTID认证依赖于设定在客户端和服务器之间的预共享密钥PSK。利用PSK导出K1和K2来验证服务器和客户端的身份,其中导出算法f采用HMAC-SHA-1或者HMAC-MD5。而对应于某个用户的PSK使用该用户的一次性用户ID对应标识。所谓一次性,是指该ID只在某一用户本次登入认证时出示使用(称为ID_current),在认证结束之后即被新的ID(称为ID_new)替代。本发明采用基于一次性认证身份的认证方式EAP-OTID(EAP-One Time Identity)作为现有EAP认证方式的改进措施,既保持了EAP-MD5计算速率快捷和部署容易的特点,又支持双向认证又能保护用户identity信息泄露。
为使本发明的目的、实现方案和优点更为清晰,下面对本发明作进一步地详细描述。
本发的基于一次性认证身份的认证方式EAP-OTID的认证流程。因为不采用KPI系统,所以EAP-OTI认证依赖于设定在客户端和服务器之间的预共享密钥PSK。利用PSK导出K1和K2来验证服务器和客户端的身份,其中导出算法f采用HMAC-SHA-1或者HMAC-MD5。而对应于某个用户的PSK使用该用户的一次性用户ID对应标识。所谓一次性,是指该ID只在某一用户本次登入认证时出示使用(称为ID_current),在认证结束之后即被新的ID(称为ID_new)替代。具体实施方式如下:
(1)AP新检测到网络中新加入的STA即发送一个EAP-RequestIdentity质询。
(2)STA在接收到AP的identity身份质询之后回复以一个一次性的Identity,即ID_current即作为回应。
(3)服务器接收到identity响应以后,查询本地数据库中是否存在ID_current用户,如果存在则使用request报文发送自身的ID_server同时附加一个实时性的随机码Ns。
(4)客户端接收到该请求之后同样产生一个实时性的随机码Nc,并利用如下算法导出K1和K2:
K1=f(PSK,ID_server & Ns & Nc)
K2=f(PSK,ID_current & Nc & Ns)
MIC1=f(K1,ID_current & Nc & Ns)
然后客户端将Nc和f(K1,MIC1)一同发送给服务器,并在其中附加客户端支持的加密算法。
(5)服务器使用同样的参数和算法计算出MIC1和K1的单向散列值,用以校验客户端的身份。如果校验成功,那么服务器将产生一个新的用户标识ID_new来代替数据库中的ID_current。使用如下公式计算出MIC2:
MIC2=f(MIC1,ID_new & Nc & Ns)
然后使用步骤四报文中选定客户端支持的某加密算法encode,使用K2作为加密密钥,加密MIC2、ID_new和一个新的48Byte数据数(前主密钥),然后将密文发送给客户端并附加所选的加密算法信息,之后利用前主密钥导出会话主密钥。
(6)客户端接收到密文和加密算法类型之后使用K2进行解码,得到MIC2和ID_new。首先计算出MIC2值验证服务器的身份,如果验证通过,则使用ID_new替换原来的ID_current,并利用前主密钥结合PSK导出会话主密钥。然后发送一个空响应标识认证过程结束。
(7)服务端接收到客户端的空响应则回复以EAP-Success标识认证成功。
表1中显示了基于一次性认证身份的认证方式EAP-OTID与现有主流EAP认证方式的特性对比,表明了该认证方式的优良性。该对比凸显出基于一次性认证身份的认证方式EAP-OTID简易部署以及计算迅速的特点,并且在不具有PKI构架的情况下仍然具有双向认证的功能,同时引入一次性身份标识特性保证了用户信息不易暴露。
在无线嗅探攻击的威胁下,基于一次性认证身份的认证方式EAP-OTID表现出强壮的特性抵御攻击:
首先,纯嗅探攻击。这种攻击窃听收集客户端和服务器之间的所有信息以获取任何明文形式的信息。但是在EAP-OIT中,只有ID_current信息是以明文传输,且该值在本次传输之后就被丢弃不再使用,所以,对于攻击者而言,没有任何意义。
然后,重放攻击。这种攻击通过嗅探并保存先前客户端和服务器的通信报文再后期重新发送进行攻击已获得认证许可。而EAP-OIT使用具有实时性的双向的随机码Nc和Ns来保证了会话的实时性。
最后,字典攻击。该攻击通过嗅探认证过程中的传输的哈希值和以明文传输的哈希算法的输入参数,试图使用字典恢复加密密钥信息。然而EAP-OIT具有强烈的防字典及暴力攻击特性:认证过程中传输的哈希值是使用密钥K2计算的,而并不是PSK本身,而K2又是通过PSK进行哈希导出的,所以字典攻击的难度大大提升,而且K1和K2具有时效性,仅仅在本次会话中有效,在认证结束和同样与ID_current一同丢弃。
Claims (2)
1.一种WLAN网络中通过选择优良认证方法来防御无线嗅探攻击的网络安全方法,基于一次性认证身份的认证方式依赖于设定在客户端和服务器之间的预共享密钥PSK,利用PSK导出K1和K2来验证服务器和客户端的身份,其中导出算法f采用HMAC-SHA-1或者HMAC-MD5,而对应于某个用户的PSK使用该用户的一次性用户ID对应标识,所谓一次性,是指该ID只在某一用户本次登入认证时出示使用(称为ID_current),在认证结束之后即被新的ID(称为ID_new)替代。
2.根据权利要求1所述的方法,其特征在于,包括下列步骤:
步骤一:AP新检测到网络中新加入的STA即发送一个EAP-Request Identity质询;
步骤二:STA在接收到AP的identity身份质询之后回复以一个一次性的Identity,即ID_current即作为回应;
步骤三:服务器接收到identity响应以后,查询本地数据库中是否存在ID_current用户,如果存在则使用request报文发送自身的ID_server同时附加一个实时性的随机码Ns;
步骤四:客户端接收到该请求之后同样产生一个实时性的随机码Nc,并导出K1和K2:
K1=f(PSK,ID_server& Ns & Nc)
K2=f(PSK,ID_current & Nc & Ns)
MIC1=f(K1,ID_current& Nc & Ns)
然后客户端将Nc和f(K1,MIC1)一同发送给服务器,并在其中附加客户端支持的加密算法;
步骤五:服务器使用同样的参数和算法计算出MIC1和K1的单向散列值,用以校验客户端的身份;如果校验成功,那么服务器将产生一个新的用户标识ID_new来代替数据库中的ID_current;然后使用如下公式计算出MIC2:
MIC2=f(MIC1,ID_new & Nc & Ns)
然后使用步骤四报文中选定客户端支持的某加密算法encode,使用K2作为加密密钥,加密MIC2、ID_new和一个新的48Byte数据数(前主密钥),然后将密文发送给客户端并附加所选的加密算法信息,之后利用前主密钥导出会话主密钥;
步骤六:客户端接收到密文和加密算法类型之后使用K2进行解码,得到MIC2和ID_new;首先计算出MIC2值验证服务器的身份,如果验证通过,则使用ID_new替换原来的ID_current,并利用前主密钥结合PSK导出会话主密钥;然后发送一个空响应标识认证过程结束;
步骤七:服务端接收到客户端的空响应则回复以EAP-Success标识认证成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410030004.4A CN103763321A (zh) | 2014-01-22 | 2014-01-22 | Wlan网络中一种基于认证方法的嗅探防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410030004.4A CN103763321A (zh) | 2014-01-22 | 2014-01-22 | Wlan网络中一种基于认证方法的嗅探防御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103763321A true CN103763321A (zh) | 2014-04-30 |
Family
ID=50530481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410030004.4A Pending CN103763321A (zh) | 2014-01-22 | 2014-01-22 | Wlan网络中一种基于认证方法的嗅探防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103763321A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107277078A (zh) * | 2017-08-22 | 2017-10-20 | 南京晓庄学院 | 一种家庭网关数据通讯加密方法 |
| CN113609463A (zh) * | 2021-10-08 | 2021-11-05 | 湖南宸瀚信息科技有限责任公司 | 一种基于区块链身份管理的物联网系统 |
| WO2022135413A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 身份鉴别方法、鉴别接入控制器、请求设备、存储介质、程序、及程序产品 |
| WO2023243753A1 (ko) * | 2022-06-17 | 2023-12-21 | (주)진앤현웰빙 | 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595894A (zh) * | 2003-09-10 | 2005-03-16 | 华为技术有限公司 | 一种无线局域网接入认证的实现方法 |
| CN101123811A (zh) * | 2006-08-09 | 2008-02-13 | 三星电子株式会社 | 管理和wpa-psk无线网络连接的站的设备和方法 |
| WO2013080035A2 (en) * | 2011-11-28 | 2013-06-06 | Alcatel Lucent | A method and a device of authentication in the converged wireless network |
-
2014
- 2014-01-22 CN CN201410030004.4A patent/CN103763321A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595894A (zh) * | 2003-09-10 | 2005-03-16 | 华为技术有限公司 | 一种无线局域网接入认证的实现方法 |
| CN101123811A (zh) * | 2006-08-09 | 2008-02-13 | 三星电子株式会社 | 管理和wpa-psk无线网络连接的站的设备和方法 |
| WO2013080035A2 (en) * | 2011-11-28 | 2013-06-06 | Alcatel Lucent | A method and a device of authentication in the converged wireless network |
Non-Patent Citations (1)
| Title |
|---|
| M.AIT HEMAD, M.A.EI KIRAM, A.LAZREK: "An EAP Authentication Method using One Time Identity", 《INTERNATIONAL JOURNAL OF COMPUTER SCIENCE AND NETWORK SECURITY》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107277078A (zh) * | 2017-08-22 | 2017-10-20 | 南京晓庄学院 | 一种家庭网关数据通讯加密方法 |
| WO2022135413A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 身份鉴别方法、鉴别接入控制器、请求设备、存储介质、程序、及程序产品 |
| CN113609463A (zh) * | 2021-10-08 | 2021-11-05 | 湖南宸瀚信息科技有限责任公司 | 一种基于区块链身份管理的物联网系统 |
| WO2023243753A1 (ko) * | 2022-06-17 | 2023-12-21 | (주)진앤현웰빙 | 액세스 포인트를 통한 보안 접속을 이용한 서비스 제공 시스템 및 그 시스템의 동작 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hwang et al. | A study on MITM (Man in the Middle) vulnerability in wireless network using 802.1 X and EAP | |
| CN109327313A (zh) | 一种具有隐私保护特性的双向身份认证方法、服务器 | |
| Mahalat et al. | A PUF based light weight protocol for secure WiFi authentication of IoT devices | |
| CN101371491A (zh) | 提供无线网状网络的方法和装置 | |
| CN106230587B (zh) | 一种长连接防重放攻击的方法 | |
| CN104394123A (zh) | 一种基于http协议的数据加密传输系统及方法 | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN103763321A (zh) | Wlan网络中一种基于认证方法的嗅探防御方法 | |
| Gill et al. | Specification-based intrusion detection in WLANs | |
| CN104468626A (zh) | 实现移动终端无线认证加密的系统及方法 | |
| CN102595401B (zh) | 一种检测uicc和设备是否配对的方法和系统 | |
| Naoui et al. | Novel smart home authentication protocol LRP-SHAP | |
| CN105873059A (zh) | 配电通信无线专网的联合身份认证方法和系统 | |
| Zha et al. | Security improvements of IEEE 802.11 i 4-way handshake scheme | |
| Sharma et al. | A review on wireless network security | |
| CN101800988A (zh) | 一种基于网络接入设备的移动IPv6服务认证方法 | |
| CN105790932B (zh) | 一种通过使用机器码为基础的加密方法 | |
| CN107835168A (zh) | 一种基于端信息扩展序列矩阵转置相乘的认证方法 | |
| CN109246124B (zh) | 一种加密信息的主动防御方法 | |
| CN205693897U (zh) | Lte电力无线专网的二次身份认证系统 | |
| Seth et al. | De-authentication attack detection using discrete event systems in 802.11 wi-fi networks | |
| Teyou et al. | Solving downgrade and dos attack due to the four ways handshake vulnerabilities (WIFI) | |
| Abdrabou | Robust pre-authentication protocol for wireless network | |
| Nyangaresi et al. | Anonymity preserving lightweight authentication protocol for resource-limited wireless sensor networks | |
| Bonaventura et al. | Smart Bulbs can be Hacked to Hack into your Household |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140430 |