本发明涉及无线通信,更具体地,涉及一种用于处理认证泛洪攻击、关联泛洪攻击和/或重新关联泛洪攻击的防止攻击方法以及使用该防止攻击方法的接入点。
背景技术:
1、802.11帧的三种类型包括管理帧、控制帧和数据帧。无线客户端使用管理帧(例如认证(authentication)帧、取消认证帧、关联请求帧、重新关联请求帧来查找并连接到正确的wi-fi网络,并在成功关联后管理客户端连接。如果没有受保护管理帧(protectedmanagement frame,pmf)功能,所有管理帧都会在开放区域中被不受保护的发送。发送不受保护的帧会使连接容易受到攻击。pmf是提供完整性(integrity)保护的功能,用于单播和广播管理帧,并且还以与数据相同的方式对单播管理帧进行加密以提供机密性(confidentiality)。但是,pmf标准对于如何防止认证请求泛洪攻击没有明确的定义。因此,接入点(access point,ap)可能会频繁地向非ap站点(station,sta)发送安全关联(security association,sa)查询请求以检查非ap sta是否处于活动状态。此外,ap和连接的非ap sta之间可能存在互操作性测试(interoperability test,iot)问题,以使得无法有效的防止认证泛洪攻击。
2、此外,在ap与非ap sta之间的连接被建立成功后,非ap sta可以进入省电模式。处于省电模式的非ap sta不会向ap发送认证请求帧、关联请求帧和/或重新关联请求帧。然而,pmf标准并没有明确定义在非ap sta操作在省电模式下时ap如何处理认证请求帧、关联请求帧和/或重新关联请求帧。
技术实现思路
1、本发明的目的之一在于提供一种防止攻击方法,用于处理认证泛洪攻击、关联泛洪攻击和/或重新关联泛洪攻击的防止攻击方法,以及使用该防止攻击方法的接入点。
2、根据本发明的第一方面,公开了一种示例性防止攻击方法。示例性的防止攻击方法包括:接收认证请求帧;以及响应接收到认证请求帧,回复认证响应帧,该认证响应帧被发送给非接入点(non-ap)站点(sta),其中认证请求帧包括携带认证返回(comeback)时间的超时间隔(timeout interval)元素。
3、根据本发明的第二方面,公开了一种示例性防止攻击方法。该示例性防止攻击方法包括:忽略在连接的非接入点(non-ap)站点(sta)操作在省电模式下的时段内接收到的每个特定请求帧,其中每个特定请求帧包括认证请求帧、关联请求帧和重新关联请求帧中的一个。
4、根据本发明的第三方面,公开了一种能够防止攻击的示例性接入点(ap)。能够防止攻击的示例性ap包括网络接口电路和控制电路。网络接口电路用于接收认证请求帧。控制电路用于响应认证请求帧生成认证响应帧,并指示网络接口电路向非接入点(non-ap)站点(sta)发送认证响应帧,其中认证请求帧包括超时间隔元素,该超时间隔元素携带认证恢复时间。
5、根据本发明的第四方面,公开了一种能够防止攻击的示例性接入点(ap)。能够防止攻击的示例性ap包括网络接口电路和控制电路。控制电路被配置为忽略在连接的非接入点(non-ap)站点(sta)操作在省电模式下的时段内网络接口电路接收到的每个特定请求帧,其中每个特定请求帧包括认证请求帧、关联请求帧和重新关联请求帧中的一个。
6、在阅读了在各种附图和附图中示出的优选实施例的以下详细描述之后,本发明的这些和其他目的对于本领域普通技术人员无疑将变得显而易见。
1.一种防止攻击方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,还包括:
3.如权利要求2所述的方法,其特征在于,忽略在所述认证恢复时间指定的超时时段内接收的每个认证请求帧包括:
4.如权利要求2所述的方法,其特征在于,忽略在所述认证恢复时间指定的超时时段内接收的每个认证请求帧包括:
5.如权利要求1所述的方法,其特征在于,还包括:
6.如权利要求5所述的方法,其特征在于,所述sa查询请求帧包括事务标识符,还包括:
7.如权利要求5所述的方法,其特征在于,所述sa查询请求帧包括事务标识符,还包括:
8.一种防止攻击方法,其特征在于,包括:
9.如权利要求8所述的攻击预防方法,其特征在于,忽略在连接的非ap sta操作在省电模式下的时段内接收到的每个特定请求帧包括:
10.根据权利要求8所述的攻击预防方法,其特征在于,忽略在连接的非ap sta操作在省电模式下的时段内接收到的每个特定请求帧包括:
11.一种能够防止攻击的接入点(ap),其特征在于,包括:
12.根据权利要求11所述能够防止攻击的ap,其特征在于,所述控制电路进一步用于忽略在由所述认证恢复时间指定的超时时段内接收到的每个认证请求帧。
13.根据权利要求12所述能够防止攻击的ap,其中,所述控制电路丢弃所述每个认证请求帧而不处理所述每个认证请求帧的有效载荷。
14.如权利要求12所述能够防止攻击的ap,其特征在于,所述控制电路不产生认证响应帧来响应所述每个认证请求帧。
15.如权利要求11所述能够防止攻击的ap,其特征在于,所述控制电路还用于在所述认证恢复时间指定的超时时段内生成安全关联(sa)查询请求帧并指示所述网络接口电路向所述非ap sta发送所述sa查询请求帧。
16.根据权利要求15所述能够防止攻击的ap,其特征在于,所述sa查询请求帧包括事务标识符,所述控制电路还用于当所述网络接口电路在所述认证恢复时间指定的超时时段内接收到来自所述非ap sta的具有所述事务标识符的sa查询响应帧时,保持与所述非ap sta的连接。
17.根据权利要求15所述能够防止攻击的ap,其特征在于,所述sa查询请求帧包括事务标识符,所述控制电路还用于当所述网络接口电路在所述认证恢复时间指定的超时时段内没有接收到来自所述非ap sta的具有所述事务标识符的sa查询响应帧时,产生解除认证帧并指示所述网络接口电路向所述非ap sta发送所述解除认证帧。
18.一种能够防止攻击的接入点(ap),其特征在于,包括:
19.根据权利要求18所述能够防止攻击的ap,其特征在于,所述控制电路丢弃所述每个特定请求帧而不处理所述每个特定请求帧的有效载荷。
20.根据权利要求18所述能够防止攻击的ap,其特征在于,所述控制电路不生成特定帧来响应所述每个特定请求帧,其中所述特定帧包括认证响应帧、关联响应帧、重新关联响应帧和安全关联(sa)查询请求帧中的一个。