CN114040400B - 一种wapi认证服务器防止dos攻击的方法 - Google Patents
一种wapi认证服务器防止dos攻击的方法 Download PDFInfo
- Publication number
- CN114040400B CN114040400B CN202111231632.5A CN202111231632A CN114040400B CN 114040400 B CN114040400 B CN 114040400B CN 202111231632 A CN202111231632 A CN 202111231632A CN 114040400 B CN114040400 B CN 114040400B
- Authority
- CN
- China
- Prior art keywords
- authentication request
- authentication
- wapi
- frequency
- priority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000008569 process Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 abstract description 10
- 230000002159 abnormal effect Effects 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种WAPI认证服务器防止DOS攻击的方法,包括在证书鉴别实体上设置两个或两个以上不同的优先级队列;制定形成不同的优先级队列的策略;利用优先级队列存储WAPI证书鉴别请求;根据制定的优先级队列的策略将WAPI证书鉴别请求放入对应的优先级队列;根据优先级的级别高低来调度WAPI认证请求的处理。本发明实现了让WAPI认证服务器具备防御大量非正常的认证请求或类似DOS攻击的认证请求的能力,避免了CPU资源被大量占用,提高了运行速度,有利于及时响应正常的WAPI认证请求。
Description
技术领域
本发明涉及网络服务技术领域,具体涉及一种WAPI认证服务器防止DOS攻击的方法。
背景技术
WAPI(Wireless LAN Authentication and Privacy Infrastructure,无线局域网鉴别和保密基础结构)通过采用证书来标识AP(无线接入点)和STA(无线终端)的身份,基于三元认证体系统进行无线接入点和无线终端的身份认证,确保了无线接入认证的安全性。在这种三元认证体系统中,无线接入点和无线终端实现互相认证是由双方均信任的ASU(证书鉴别实体)完成。WAPI技术体系统中,无线终端接入无线接入点的认证过程包括以下步骤:
S1、认证激活,是无线接入点通告无线终端开始鉴别过程;
S2、接入鉴别请求,是无线终端向无线接入点发送鉴别请求消息,无线接入点收到接入鉴别请求后,用无线终端的公钥进行消息签名鉴别;
S3、无线接入点向证书鉴别实体发送证书鉴别请求,证书鉴别实体收到证书鉴别请求后,根据证书私钥进行证书的签名验证;
S4、证书鉴别实体向无线接入点发送证书鉴别响应消息;
S5、无线接入点向无线终端发送接入鉴别响应分组。
证书鉴别实体接受来自无线接入点的证书鉴别请求,证书鉴别请求的处理包括复杂的SHA256和椭圆曲线非对称密码计算,是一种很耗费计算资源的复杂计算。
在实际网络应用中,一些WAPI终端因为某些原因,其WAPI接入过程中的证书鉴别不过,鉴别接入设备会断开其无线连接,这些终端会立刻进行再次连接,从而再次触发鉴别过程,我们针对一些WAPI终端进行了测试,实际情况是达到了每分钟几十次的状态。如果网络中存在多个这样的终端,证书鉴别实体就会频繁处理这些重复和无谓的复杂计算,导致证书鉴别实体计算资源大量占用。另一种情况是,如果网络中存在攻击者终端,频繁产生无线关联并触发WAPI接入过程的证书鉴别认证,鉴别接入设备一般不会针对此进行识别和拦截这样的行为,同样会导致证书鉴别实体频繁处理这些大量的以攻击为目的的鉴别请求,从而导致CPU资源大量占用。前述证书鉴别实体的CPU被非正常的鉴别请求大量占用,会引起正常鉴别请求得不到响应或得不到及时的响应,从而处于拒绝服务(DOS)状态。
发明内容
本发明的目的在于提供一种WAPI认证服务器防止DOS攻击的方法,可以解决现有技术中证书鉴别实体的CPU被非正常的鉴别请求占用过多造成得拒绝服务状态的问题。
本发明的目的是通过以下技术方案实现的:
本发明提供一种WAPI认证服务器防止DOS攻击的方法,包括以下步骤:
在证书鉴别实体上设置两个或两个以上不同的优先级队列;
制定形成不同的优先级队列的策略;
利用优先级队列存储WAPI证书鉴别请求;
根据制定的优先级队列的策略将WAPI证书鉴别请求放入对应的优先级队列;
根据优先级的级别高低来调度WAPI认证请求的处理。
进一步的,所述制定形成不同的优先级队列的策略包括:
基于无线接入点进行记录和统计某个时间段的WAPI认证请求频度;
将WAPI认证请求频度进行档次划分;
当收到WAPI证书鉴别请求后,查询此鉴别请求中无线终端的认证请求频率;
依据无线终端的认证请求频率将认证请求放入对应的优先级队列中。
进一步的,所述将WAPI认证请求频度进行档次划分具体为将WAPI认证请求频度分成低频认证请求、中频认证请求和高频认证请求。
进一步的,所述依据无线终端的认证请求频率将认证请求放入对应的优先级队列中具体如下:
依据无线终端的认证请求频率将所述低频认证请求放入高优先级认证请求队列中;
依据无线终端的认证请求频率将所述中频认证请求放入中等优先级认证请求队列中;
依据无线终端的认证请求频率将所述高频认证请求放入低优先级认证请求队列中。
进一步的,所述根据优先级的级别高低来调度WAPI认证请求的处理具体包括:
当证书鉴别实体处理WAPI认证请求时,优先处理高优先级队列里的认证请求,在高优先级得到保证后,再依次按照从高到低的优先级队列进行处理。
进一步的,所述基于无线接入点进行记录和统计某个时间段的WAPI认证请求频度具体包括:
以无线接入点作为请求频度统计的基础;
将请求消息中无线接入点MAC地址相同的认证请求作为一类请求进行统计。
本发明的有益效果:
本发明通过在WAPI认证服务器中设置不同的优先级队列,并将不同的优先级队对应不同WAPI认证请求频度的认证请求,从而得到证书鉴别实体处理WAPI认证请求时可根据优先级的不同来调度认证请求的处理。该方法实现了让WAPI认证服务器具备防御大量非正常的认证请求或类似DOS攻击的认证请求的能力,避免了CPU资源被大量占用,提高了运行速度,有利于及时响应正常的WAPI认证请求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见的,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为WAPI认证服务器防止DOS攻击的方法步骤示意图;
图2为优先级队列的策略中调度认证请求处理的示意图。
具体实施方式
下面结合附图对本公开实施例进行详细描述。
以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
请参阅图1和图2,本申请的WAPI认证服务器防止DOS攻击的方法的一个实施例,包括以下步骤:
S1、在证书鉴别实体上设置两个或两个以上不同的优先级队列;
S2、制定形成不同的优先级队列的策略;
S3、利用优先级队列存储WAPI证书鉴别请求;
S4、根据制定的优先级队列的策略将WAPI证书鉴别请求放入对应的优先级队列;
当证书鉴别实体接收到WAPI证书鉴别请求后,根据制定的优先级队列的策略放入对应的优先级队列。
S5、根据优先级的级别高低来调度WAPI认证请求的处理。
当证书鉴别实体处理WAPI认证请求时,根据优先级的级别高低规则来调度认证请求的处理。
本申请的WAPI认证服务器防止DOS攻击的方法的另一个实施例,包括:
所述制定形成不同的优先级队列的策略如下:
基于无线接入点进行记录和统计某个时间段的WAPI认证请求频度。
将WAPI认证请求频度进行档次划分;
其中,WAPI认证请求频度的档次具体分为分成低频认证请求、中频认证请求和高频认证请求。
当收到WAPI证书鉴别请求后,查询此鉴别请求中无线终端的认证请求频率。
依据无线终端的认证请求频率将认证请求放入对应的优先级队列中。
实际进行无线终端的认证请求频率将认证请求放入对应的优先级队列中,具体如下:
依据无线终端的认证请求频率将所述低频认证请求放入高优先级认证请求队列中;
依据无线终端的认证请求频率将所述中频认证请求放入中等优先级认证请求队列中;
依据无线终端的认证请求频率将所述高频认证请求放入低优先级认证请求队列中。
需要说明的是,按照优先级的高低来调度认证请求的处理,可以减少认证请求的信息堆积,提高证书鉴别实体响应正常的WAPI认证请求的处理速度。
具体的,所述根据优先级的级别高低来调度WAPI认证请求的处理具体包括:
当证书鉴别实体处理WAPI认证请求时,优先处理高优先级队列里的认证请求,在高优先级得到保证后,再依次按照从高到低的优先级队列进行处理。
本申请的WAPI认证服务器防止DOS攻击的方法的另一个实施例,包括:
所述基于无线接入点进行记录和统计某个时间段的WAPI认证请求频度具体包括:
以无线接入点作为请求频度统计的基础;
将请求消息中无线接入点MAC地址相同的认证请求作为一类请求进行统计。
这样的的统计过程,避免WAPI终端通过不停地变化终端MAC地址来进行认证请求的DOS攻击行为。
以上仅为说明本发明的实施方式,并不用于限制本发明,对于本领域的技术人员来说,凡在本发明的精神和原则之内,不经过创造性劳动所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种WAPI认证服务器防止DOS攻击的方法,其特征在于,包括以下步骤:
在证书鉴别实体上设置两个或两个以上不同的优先级队列;
制定形成不同的优先级队列的策略,具体包括:
基于无线接入点进行记录和统计某个时间段的WAPI认证请求频度;将WAPI认证请求频度进行档次划分;当收到WAPI证书鉴别请求后,查询此鉴别请求中无线终端的认证请求频率;依据无线终端的认证请求频率将认证请求放入对应的优先级队列中;
利用优先级队列存储WAPI证书鉴别请求;
根据制定的优先级队列的策略将WAPI证书鉴别请求放入对应的优先级队列;
根据优先级的级别高低来调度WAPI认证请求的处理,具体包括:
当证书鉴别实体处理WAPI认证请求时,优先处理高优先级队列里的认证请求,在高优先级得到保证后,再依次按照从高到低的优先级队列进行处理。
2.根据权利要求1所述的WAPI认证服务器防止DOS攻击的方法,其特征在于,所述将WAPI认证请求频度进行档次划分具体为将WAPI认证请求频度分成低频认证请求、中频认证请求和高频认证请求。
3.根据权利要求2所述的WAPI认证服务器防止DOS攻击的方法,其特征在于,所述依据无线终端的认证请求频率将认证请求放入对应的优先级队列中具体如下:
依据无线终端的认证请求频率将所述低频认证请求放入高优先级认证请求队列中;
依据无线终端的认证请求频率将所述中频认证请求放入中等优先级认证请求队列中;
依据无线终端的认证请求频率将所述高频认证请求放入低优先级认证请求队列中。
4.根据权利要求1所述的WAPI认证服务器防止DOS攻击的方法,其特征在于,所述基于无线接入点进行记录和统计某个时间段的WAPI认证请求频度具体包括:
以无线接入点作为请求频度统计的基础;
将请求消息中无线接入点MAC地址相同的认证请求作为一类请求进行统计。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111231632.5A CN114040400B (zh) | 2021-10-22 | 2021-10-22 | 一种wapi认证服务器防止dos攻击的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111231632.5A CN114040400B (zh) | 2021-10-22 | 2021-10-22 | 一种wapi认证服务器防止dos攻击的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114040400A CN114040400A (zh) | 2022-02-11 |
CN114040400B true CN114040400B (zh) | 2023-12-29 |
Family
ID=80135185
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111231632.5A Active CN114040400B (zh) | 2021-10-22 | 2021-10-22 | 一种wapi认证服务器防止dos攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114040400B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101013940A (zh) * | 2006-12-22 | 2007-08-08 | 西安电子科技大学 | 一种兼容802.11i及WAPI的身份认证方法 |
WO2009135445A1 (zh) * | 2008-05-09 | 2009-11-12 | 西安西电捷通无线网络通信有限公司 | 一种基于wapi的漫游认证方法 |
CN102111383A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种利用优先级队列防止dos攻击的方法 |
CN102131199A (zh) * | 2011-03-21 | 2011-07-20 | 华为技术有限公司 | 一种wapi认证方法和接入点 |
CN104079501A (zh) * | 2014-06-05 | 2014-10-01 | 深圳市邦彦信息技术有限公司 | 一种基于多优先级的队列调度方法 |
CN105848149A (zh) * | 2016-05-13 | 2016-08-10 | 上海斐讯数据通信技术有限公司 | 一种无线局域网的安全认证方法 |
-
2021
- 2021-10-22 CN CN202111231632.5A patent/CN114040400B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101013940A (zh) * | 2006-12-22 | 2007-08-08 | 西安电子科技大学 | 一种兼容802.11i及WAPI的身份认证方法 |
WO2009135445A1 (zh) * | 2008-05-09 | 2009-11-12 | 西安西电捷通无线网络通信有限公司 | 一种基于wapi的漫游认证方法 |
CN102111383A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种利用优先级队列防止dos攻击的方法 |
CN102131199A (zh) * | 2011-03-21 | 2011-07-20 | 华为技术有限公司 | 一种wapi认证方法和接入点 |
CN104079501A (zh) * | 2014-06-05 | 2014-10-01 | 深圳市邦彦信息技术有限公司 | 一种基于多优先级的队列调度方法 |
CN105848149A (zh) * | 2016-05-13 | 2016-08-10 | 上海斐讯数据通信技术有限公司 | 一种无线局域网的安全认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114040400A (zh) | 2022-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115189927B (zh) | 一种基于零信任的电力网络安全防护方法 | |
Shawahna et al. | EDoS-ADS: An enhanced mitigation technique against economic denial of sustainability (EDoS) attacks | |
CN108173812B (zh) | 防止网络攻击的方法、装置、存储介质和设备 | |
US20130174239A1 (en) | Reinforced authentication system and method using context information at the time of access to mobile cloud service | |
JP2014527762A (ja) | 疑わしい無線アクセスポイントの検出 | |
CN110266728B (zh) | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 | |
WO2017050108A1 (zh) | 一种wifi热点接入的认证方法、装置及系统 | |
WO2021151335A1 (zh) | 一种网络事件处理方法、装置及可读存储介质 | |
CN112333159B (zh) | 基于区块链的移动物联网终端访问控制方法、装置及系统 | |
CN113992354A (zh) | 一种身份验证方法、装置、设备及机器可读存储介质 | |
CN101699894A (zh) | 在认证服务器集群中处理认证请求的方法和装置 | |
Rajput et al. | Cacppa: A cloud-assisted conditional privacy preserving authentication protocol for vanet | |
CN110839036B (zh) | 一种sdn网络的攻击检测方法及系统 | |
Mohseni-Ejiyeh et al. | SeVR+: Secure and privacy-aware cloud-assisted video reporting service for 5G vehicular networks | |
Yin et al. | FASUS: A fast association mechanism for 802.11 ah networks | |
CN101860861B (zh) | 基于分层结构的认知无线电网络的实体认证系统及其方法 | |
CN114040400B (zh) | 一种wapi认证服务器防止dos攻击的方法 | |
Pradweap et al. | A novel RSU-aided hybrid architecture for anonymous authentication (RAHAA) in VANET | |
Iyengar et al. | Trilateral trust based defense mechanism against DDoS attacks in cloud computing environment | |
Li et al. | A Group-based End-to-end Identity Authentication Method for Massive Power Wireless Private Network | |
Chen et al. | Game-theory-based batch identification of invalid signatures in wireless mobile networks | |
Biswas et al. | Location-based anonymous authentication for vehicular communications | |
Roy et al. | Distributed incentive-based secured traffic monitoring in vanets | |
CN116321162A (zh) | 一种基于wifi6的区块链认证方法、系统、终端及介质 | |
CN112134884B (zh) | 一种报文序列号的更新方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |