[发明专利]WLAN网络中一种基于认证方法的嗅探防御方法

说明书

技术领域

本发明涉及无线局域网WLAN中安全技术研究领域，具体的讲是一种WLAN通过选择优良认证方法来防御无线嗅探攻击的网络安全方法。

背景技术

众所周知，无线局域网（WLAN）因为安装便捷、组网灵活而被迅速推广普及，应用广泛。然而WLAN在给用户带来便捷的同时，也带来了较大的安全隐患，这是由WLAN无线信号的广播本质和它应用的网络协议自身的设计缺陷导致的。WLAN安全技术的研究，对信息安全相关领域和未来信息化战略目标都很有价值，也是近年来安全领域研究中的热点。

但是，在现有的众多WLAN安全技术研究中，针对无线嗅探相关技术的研究还很少，无线嗅探在WLAN中的威胁还没有充分引起人们的关注。被动攻击作为网络攻击的主要模式之一，以嗅探为代表的被动攻击在WLAN网络环境更显优势，嗅探攻击以其隐蔽性、非交互性以及非干扰性，往往能使WLAN用户的信息泄漏于无形之中。

目前WLAN标准提出的各种安防措施、安全协议和技术并没有很好的抵挡嗅探攻击技术。比如，基于非密钥体制防护手段，如SSID(Service Set Identifier，服务集标识码)广播隐藏、MAC地址过滤和密钥周期缩短设置等，前两者在嗅探攻击的被动侦听和数据分析下不堪一击，而密钥周期缩短的设置带来频繁更新密码的问题亦不被用户所采用。在众多认证协议和加密技术提出的过程中，WLAN的IFS(Intrusion Detection Systems，入侵检测系统)也层出不穷，但都未能有效检测并防御无线嗅探攻击。现行的WLAN安全技术并没有根本解决安全问题，其中相当重要的原因是没有针对嗅探防御的措施，使得WLAN终端频受攻击。

传统的网络安全防御方法分为两种模式：主动防御和被动防御，相对于“亡羊补牢式”的被动防御，主动防御更高级些，主动防御通常在攻击发生前根据系统运行状态预估可能存在的威胁以及攻击形式、手段，进而设计主动修复漏洞、防御攻击的系统，通常包括IPS（Intrusion prevention system，入侵防御系统）和IDS（Intrusion detection system，入侵检测系统）两种。目前WLAN有不少主动防御系统，这些防御系统对于主动攻击具有很好的防御效果，但是无线嗅探却能成功躲避各类无线网络防御系统的监视，以其隐蔽性和无干扰性悄悄地攻击网络。因此我们针对无线嗅探防御安全技术进行深入研究，设计周全的嗅探防御技术，在现有的防御技术基础上进行改进和优化，全面加强WLAN信息安全。

无线局域网WLAN应用广泛，但同时由于自身特性，WLAN也带有极大的安全隐患，嗅探攻击以其隐蔽性、非交互性以及非干扰性，往往能使WLAN用户的信息泄漏于无形之中。目前WLAN有不少防御系统，但是无线嗅探攻击却能成功地躲避各类无线网络防御系统的监视，以其隐蔽性和无干扰性悄悄地攻击网络。这就迫使我们不得不针对无线嗅探防御安全技术进行深入研究，全面保证网络信息安全。

802.11i定义的健壮安全网络中采用802.1X认证模式，提供比WPA-PSK更为安全的保密等级，通常使用于中型或者大型可交换无线网络中。相对于在简单家庭WLAN或者小型WLAN中使用预共享密钥维护网络安全的模式，802.1X采用专门的数据库系统维护每个合法用户的独立的账户信息，除非攻陷整个账户数据库，盗取所有用户的登入口令，否则不足以威胁整个WLAN的安全性，这一点与在PSK模式中盗取了共享密钥之后就能嗅探全网络信息形成鲜明的对比。802.1X认证框架提供了针对链路层的扩展认证，对其上层的具体认证方式完全透明。

802.1X所采纳的可扩展认证协议EAP是基于端口的网络接入控制协议，并且是RADIUS主要支持的一个安全框架。实际上EAP是一个通用认证框架，定义了一系列用于双方认证开始和结束后处理的中间消息，这些消息与各种上层认证算法一同使用。目前使用最为广泛的认证算法主要有EAP-MD5、EAP-TSL、EAP-TTSL、EAP-LEAP和EAP-PEAP。

发明内容

本发明综合认证安全性（认证双向性、客户信息保密性）、部署难度和网络处理速度等因素，结合各种EAP认证方式的特点，提出一种折中的认证方式，弥补现有EAP认证的不足，又能提高一定的网络性能。本发明的步骤如下：

步骤一：AP新检测到网络中新加入的STA即发送一个EAP-Request Identity质询。

步骤二：STA在接收到AP的identity身份质询之后回复以一个一次性的Identity，即ID_current即作为回应。