WO2009067934A1

WO2009067934A1 - A wapi unicast secret key negotiation method

Info

Publication number: WO2009067934A1
Application number: PCT/CN2008/073053
Authority: WO
Inventors: Manxia Tie; Jun Cao; Liaojun Pang; Xiaolong Lai; Zhenhai Huang
Original assignee: China Iwncomm Co., Ltd.
Priority date: 2007-11-16
Filing date: 2008-11-14
Publication date: 2009-06-04
Also published as: US20100250941A1; CN100566240C; KR20100072105A; RU2448427C2; EP2214368A1; JP2011504332A; CN101159543A; RU2010123944A

Description

一种 WAPI单播密钥协商方法

本申请要求于 2007 年 11 月 16 日提交中国专利局、申请号为 200710019092.8、发明名称为 "一种 WAPI单播密钥协商方法"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及信息安全技术领域，尤其是一种 WAPI单播密钥协商方法。背景技术

为了解决无线局域网 WLAN ( Wireless Local Area Network ) 国际标准 ISO/IEC 8802-11中定义的有线等效保密 WEP ( Wired Equivalent Privacy )安全机制存在的安全漏洞，我国颁布了无线局域网国家标准及其第 1号修改单，釆用无线局域网认证与保密基础结构 WAPI ( WLAN Authentication and Privacy Infrastructure )替代 WEP , 解决无线局域网的安全问题。

WAPI利用证书或预共享密钥认证及密钥管理协议实现认证与密钥分发功能。该安全机制较好地解决了 WLAN的安全问题，但由于其在设计时更多考虑了安全性，而没有过多考虑协议的可用性，因此其单播密钥协商协议存在可能遭受拒绝服务 DoS ( Denial of Service )攻击的问题。这是由于 WAPI单播密钥协商协议中单播密钥协商请求分组未釆取保护措施，棵露的单播密钥协商请求分组可能被攻击者利用。

对于鉴别器实体 AE ( Authenticator Entity ) , 最多与每个鉴别请求者实体 ASUE ( Authentication Supplicant Entity )存在一个握手，并具有超时重发功能，但鉴别请求者实体 ASUE却不能釆用同样的策略。若鉴别请求者实体 ASUE配置成完全状态的，即仅期望某个特定消息的应答,现考虑鉴别请求者实体 ASUE 接收到单播密钥协商请求分组并发出单播密钥协商响应分组这种情况，若单播密钥协商响应分组由于各种原因丟失了，鉴别器实体 AE将得不到期望的单播密钥协商响应分组，因此鉴别器实体 AE超时之后会重传单播密钥协商请求分组，但由于鉴别请求者实体 ASUE仅期望收到单播密钥协商确认分组，则会丟弃该重传的单播密钥协商请求分组，引起协议失败，则攻击者利用这一点可以抢先在合法单播密钥协商请求分组之前发送伪造的单播密钥协商请求分组，造成鉴别请求者实体 ASUE阻塞协议。因此在握手过程中，鉴别请求者实体 ASUE 必须允许接受多个单播密钥协商请求分组以保证协议能够继续，即鉴别请求者实体 ASUE必须允许多个握手实例同时运行。

协议阻塞攻击是由于单播密钥协商请求分组的薄弱性造成的，为避免此问题，在协议实施时，鉴别请求者实体 ASUE 可存储多个单播会话密钥 USK ( Unicast Session Key ) , 一个为合法的单播会话密钥，其余为临时的单播会话密钥。收到单播密钥协商请求分组时仅更新临时的单播会话密钥，只有收到带有有效消息完整性码 MIC ( Message Integrity Code )的单播密钥协商确认分组时，才更新合法的单播会话密钥。若攻击者发送多个携带不同 Nonce (—次性随机数）的单播密钥协商请求分组，为了确保不阻塞合法鉴别器实体 AE的协议执行，鉴别请求者实体 ASUE必须釆用相当大的存储空间来存储所有收到的单播密钥协商请求分组中的 Nonce、本地新产生的 Nonce及对应的临时的单播会话密钥，直到它完成握手并得到一个合法的单播会话密钥。单播会话密钥的计算虽然花费不大，不会造成 CPU耗尽攻击，但攻击者若有意提高伪造单播密钥协商请求分组的发送频率，则存在存储耗尽的危险。这种伪造攻击易于实施，造成的危害也比较严重，一次成功的攻击将使得先期的对认证过程的种种努力化为泡影。

发明内容

本发明为解决背景技术中存在的上述技术问题，而提供一种 WAPI单播密钥协商方法，以防止通过伪造单播密钥协商请求分组而进行的 Dos攻击。技术方案如下：

一种 WAPI单播密钥协商方法，包括：

1 )鉴别器实体 AE向鉴别请求者实体 ASUE发送新单播密钥协商请求分组，所述新单播密钥协商请求分组为：在单播密钥协商请求分组原有定义的内容上，添加消息完整性码 MIC所构成的请求分组；

2 ) 当鉴别请求者实体 ASUE收到新单播密钥协商请求分组后，验证其中的 MIC是否正确；

如果否，则丟弃该分组；

如果是，则对所述新单播密钥协商请求分组进行验证，若验证成功，则向鉴别器实体 AE发送单播密钥协商响应分组； 3 ) 当鉴别器实体 AE收到单播密钥协商响应分组后，进行单播密钥协商响应分组验证，若验证成功，则向鉴别请求者实体 ASUE回应单播密钥协商确认分组；

4 ) 当鉴别请求者实体 ASUE收到单播密钥协商确认分组后，进行单播密钥协商确认分组验证，若验证成功，则鉴别器实体 AE和鉴别请求者实体 ASUE 之间成功完成单播密钥协商过程，协商出一致的单播会话密钥；

其中，所述单播密钥协商请求分组原有定义的内容、单播密钥协商响应分组和单播密钥协商确认分组的内容分别与 GB 15629.11-2003/XG1-2006标准文本中的定义相同，所述对新单播密钥协商请求分组、单播密钥协商响应分组和单播密钥协商确认分组的验证过程分别与 GB 15629.11-2003/XG1-2006标准文本中的定义相同。

所述步骤 1 )中消息完整性码 MIC为鉴别器实体 AE利用已协商的基密钥 BK对 MIC字段之前的所有字段计算的杂凑值。

本发明通过在原有的 WAPI单播密钥协商协议的单播密钥协商请求分组的基础上添加消息完整性码 MIC, 防止攻击者对单播密钥协商请求分组的伪造，以增强协议的安全性和健壮性，解决了目前 WAPI安全机制中单播密钥协商协议存在的 DoS攻击问题。

具体实施方式

本发明适用于 WAPI 框架方法（基于三元对等鉴别的访问控制方法 TePA-AC ( Access Control method based on Tri-element Peer Authentication ) )在无线局域网、无线城域网等具体网络中应用时的安全协议。

本发明的具体方法如下：

1 )鉴别器实体 AE在单播密钥协商请求分组原有定义的内容上，添加消息完整性码 MIC, 构成新的单播密钥协商请求分组后，发送给鉴别请求者实体 ASUE;其中消息完整性码 MIC为鉴别器实体 AE利用认证阶段已协商的基密钥 BK ( Base Key )对 MIC字段之前的所有字段计算的杂凑值；

2 ) 当鉴别请求者实体 ASUE收到新的单播密钥协商请求分组后，进行验证，验证其中的 MIC是否正确，若不正确，则直接丟弃该分组；正确则进行原有验证，若验证成功，则向鉴别器实体 AE回应单播密钥协商响应分组；单播密钥协商响应分组的内容与原有定义相同；

需要说明的是，在本说明书中，所述原有定义和原有验证指的是 GB 15629.11-2003/XG1-2006标准文本中的定义和验证。

3 ) 当鉴别器实体 AE收到单播密钥协商响应分组后，进行原有验证，若验证成功，则向鉴别请求者实体 ASUE回应单播密钥协商确认分组；单播密钥协商确认分组的内容与原有定义相同；

4 )当鉴别请求者实体 AE收到单播密钥协商确认分组后，进行原有验证，若验证成功，则鉴别器实体 AE和鉴别请求者实体 ASUE之间成功完成单播密钥协商过程，协商出一致的单播会话密钥。

Claims

权利要求

1、一种 WAPI单播密钥协商方法，其特征在于，该方法包括以下步骤：

如果否，则丟弃该分组；

如果是，则对所述新单播密钥协商请求分组进行验证，若验证成功，则向鉴别器实体 AE发送单播密钥协商响应分组；

3 ) 当鉴别器实体 AE收到单播密钥协商响应分组后，进行单播密钥协商响应分组验证，若验证成功，则向鉴别请求者实体 ASUE回应单播密钥协商确认分组；

2、根据权利要求 1所述的 WAPI单播密钥协商方法，其特征在于，所述步骤 1 ) 中消息完整性码 MIC为鉴别器实体 AE利用已协商的基密钥 BK对 MIC字段之前的所有字段计算的杂凑值。