技術領域

本發明涉及一種適用于IBSS網絡的接入認證方法。

背景技術

為了解決無線局域網WLAN(Wireless?Local?Area?Network)國際標準ISO/IEC?8802-11中定義的WEP(Wired?Equivalent?Privacy)安全機制存在的安全漏洞，我國頒布了無線局域網國家標準及其第1號修改單，采用無線局域網認證與保密基礎結構WAPI(WLAN?Authentication?and?PrivacyInfrastructure)替代WEP，解決無線局域網的安全問題。之后，IEEE組織也頒布了IEEE802.11i標準，在后向兼容的基礎上，提出了魯棒安全網絡關聯RSNA(Robust?Security?Network?Association)技術彌補WEP存在的安全漏洞。

WAPI利用證書或共享密鑰的認證及密鑰管理協議，RSNA通過基于擴展認證協議EAP(Extended?Authentication?Protocol)的IEEE802.1x與4步握手協議(4-way?Handshake)，分別實現認證與密鑰分發功能。WAPI可保障無線局域網的安全性，RSNA也緩解了原無線局域網安全機制存在的安全問題，但均在以下方面存在不足：

1、運行在IBSS網絡模式下，協議執行過于復雜，而此種模式的網絡中，節點資源(電源、CPU與存儲能力等)通常受限；

2、WAPI單播密鑰協商協議和RSNA四步握手協議的第一個消息均未采取保護措施，攻擊者可通過偽造消息1實施協議阻塞與存儲耗盡等DoS(Denial?of?Service)攻擊。下面以對這兩個缺點進行較詳細的分析和說明。

為敘述方便，首先將WAPI和RSNA中的功能相似或相同的術語統一定義如下：

1、請求實體S(Supplicant)。WAPI的認證請求者實體ASUE(Authentication?Supplicant?Entity)和RSNA的請求者Supplicant的統一稱謂。

2、認證實體A(Authenticator)。WAPI的認證器實體AE(AuthenticatorEntity)和RSNA的認證器Authenticator的統一稱謂。

3、認證服務器AS(Authentication?Server)。WAPI的認證服務實體ASE(Authentication?Service?Entity)和RSNA的認證服務器AS(AuthenticationServer)的統一稱謂。

4、主密鑰MK(Master?Key)。WAPI協議的基密鑰BK(Base?Key)和RSNA協議的成對主密鑰PMK(Pairwise?Master?Key)的統一稱謂。

5、單播密鑰UK(Unicast?Key)。WAPI協議的單播會話密鑰USK(UnicastSession?Key)和RSNA協議的單播臨時密鑰PTK(Unicast?Temporal?Key)的統一稱謂。

6、組播密鑰GK(Group?Key)。WAPI協議的組播主密鑰MMK(MulticastMaster?Key)和RSNA協議的組播主密鑰GMK(Group?Master?Key)的統一稱謂。

通常WLAN具有基本服務集BSS(Basic?Service?Set)和獨立基本服務集IBSS(Independent?BSS)兩種組網模式。在BSS模式下，無線接入點AP(Access?Point)駐留有認證實體A，用戶終端駐留有請求實體S，通過認證服務器AS完成認證功能后，進行認證實體A和請求實體S之間的單播密鑰協商與認證實體A的組播(包括多播Multicast與廣播Broadcast)密鑰通告過程。在IBSS模式下，所有加入網絡中的每個終端用戶地位對等，除兩兩之間存在單播數據需要傳輸外，每個工作站還需要發送各自的組播數據，即每個站均須擔當認證實體A，與作為請求實體S的其他站點分別完成組播密鑰通告過程。

同一網元既作為認證實體A又作為請求實體S，會引起密鑰管理協議的反射攻擊(Reflection?Attack)，為此，可采用同一實體擔當兩種認證角色時所基于的預共享密鑰不相同的方法來防止此類攻擊，即同一實體作為認證實體A和作為請求實體S所執行的密鑰管理協議應依賴于不同的主密鑰MK和單播密鑰UK，因此，在IBSS模式下，每個站點均須作為認證實體A與其他所有站點之間執行完整的認證與密鑰管理協議。