[发明专利]一种基于质数分解验证的防范WLAN断关联攻击的方法

说明书

本发明请求保护一种基于大合数质数分解验证的防范WLAN断关联攻击的方法，属于通信技术领域。包括：STA发送附带生成大合数的关联请求帧、AP接收关联请求帧、AP发送附带生成大合数的关联响应帧、STA接收关联响应帧、STA发送附带大质数的断开认证关联帧、AP接收断开认证关联帧并验证其中的大质数、AP发送附带大质数的断开认证关联帧、STA接收断开认证关联帧并验证其中的大质数。STA与AP在关联阶段互相为对方生成用于断关联时所需的大质数与大合数，大合数与大质数的传递通过帧扩展字段实现。通过在断开阶段对帧接收的认证，防止恶意第三方发送的断关联认证帧造成STA和AP的非正常断开。本发明提高安全度、提高协议兼容性、认证成功率大大提高。

技术领域

本发明属于通信技术领域，涉及一种基于质数分解验证的防范WLAN断关联攻击的方法。

背景技术

随着无线网络技术的不断发展，无线局域网(WLAN，Wireless Local AreaNetworks)已经广泛应用在各种场合，无论是在机场、车站、城市广场、商业中心，还是在公司企业、大学校园，甚至是个人家庭中，都部署了大量的无线接入点(AP，Wireless AccessPoint)供各种无线终端(STA，Station)进行无线接入和使用网络服务。不同于有线网络，WLAN的AP与STA间的数据传输不依靠任何有线介质，其依靠无线电波作为传输媒介，数据帧在空中以广播的形式存在，速率可以达到54Mbps、300Mbps，甚至450Mbps以上，极大提高了用户的网络体验，丰富了用户获取信息的方式。但正是由于无线传输的这一特点，以及密集的部署和使用，WLAN网络的安全问题层出不穷。对此，IEEE 802.11无线局域网标准专门针对其安全问题建立了802.11i无线安全标准，对用户接入、数据加密、身份认证等关键环节制定了安全标准框架，并且被整个802.11通信协议族所共用。

虽然802.11i无线安全协议制定了很多安全框架和协议，但仍有很多安全威胁和攻击方式是这些安全协议所不能有效解决的，其中之一就是deauth/disassoc攻击，即断开认证关联攻击。断开认证关联帧本是STA与AP间正常断关联时所发送的管理帧，但由于其帧格式固定且帧本身未被加密，攻击者或黑客可以通过MDK3等无线攻击工具伪造断开认证关联帧发送给STA或AP，造成STA和AP非正常断开掉线。无线中间人攻击、无线网络钓鱼，以及无线会话劫持都是以断开认证关联攻击作为第一步，进而诱使STA在重关联时连接到攻击者建立的伪AP上，然后实施监听和劫持攻击，如图2所示，这一过程中STA完全是无感知的，攻击者达成了隐藏自己成为中间人的目的。更严重的，攻击者通过发送广播的断开认证关联攻击，可以使范围内的所有STA与AP断开连接，造成网络瘫痪。因此，防范断开认证关联攻击是至关重要一个安全措施。

现有的针对防范断开认证关联攻击的方案主要是从监测角度防御，主要方式有：1、利用逆地址解析协议RARP侦测伪造的管理帧。存在的问题是，大多数的伪造帧从MAC地址到IP地址都可以伪造，这样就无法使用RARP侦测到伪造帧。2、基于帧中序号检测伪造的管理帧。802.11的帧头部有一个序号字段，用来标记STA与AP间帧传递的顺序，通过检验该字段可以来判断帧是否被伪造。但是攻击者可以通过连续监听空中帧信息，能够预测出将要发送的帧中序号，然后构建伪造帧来发送，进而实施攻击。综上，易于发送断开认证关联攻击的原因就在于断开认证关联帧极易被攻击者伪造。

发明内容

本发明旨在解决以上现有技术的问题。提出了一种提高安全度、提高协议兼容性、认证成功率大大提高的基于质数分解验证的防范WLAN断关联攻击的方法。本发明的技术方案如下：

一种基于质数分解验证的防范WLAN断关联攻击的方法，其包括以下步骤：

101、STA用户终端本地建立包含有大合数的全局数据结构assoc_ap_info，AP无线接入点本地建立全局链表结构assoc_sta_list；

102、关联阶段开始，STA向预关联AP发送包含有大合数的关联请求帧；