密码协议的安全分析与设计:基于可信新鲜度的方法
协议安全分析
在 IEEE 802.11 WLAN 中,存在针对客户端的拒绝服务(DoS)攻击。消息 1 不携带 MIC,客户端难以区分其与重放消息,为应对丢包和重传,客户端必须接收所有消息 1,这使得消息 1 攻击难以避免。即便在消息 3 失败时可检测到消息 1 的伪造,但伪造的消息 1 仍会因消息 1 和消息 3 中 Anonce 的不一致导致客户端阻塞。
为改进这一情况,客户端可存储每个接收到的 ANonce、响应的 SNonce 和派生的 PTK,但这可能导致能量供应有限的 WLAN 设备内存耗尽。客户端也可对相同的 PTKSA 重用 SNonce 的值,以在收到消息 3 时重新计算最终 PTK 为代价消除内存 DoS 攻击,这样客户端只需为该 PTKSA 存储一个 SNonce。在某些情况下,可存储派生的 PTK 和接收到的 ANonce 的一个条目,通过直接验证消息 3 中的 MIC 来减少 CPU 消耗。
在 4 向握手协议中,密钥重放计数器看似冗余,因为 PTK 包含的 ANonce 和 SNonce 已隐式提供了重放保护。然而,密钥重放计数器并非多余,它在处理过时消息实例时可作为次要性能优化手段,对计算能力有限的设备尤为有用。Ack 位有助于阻止反射攻击,消息 4 虽无加密目的,但能确保可靠性,它用于通知认证器客户端已知晓认证器已安装 PTK,因此 4 向握手协议具有一致性,这在开放 WLAN 中是一项重要优点。
以下是不同形式化方法的比较:
| 形式化方法 | 正确性证明 | 发现漏洞 | 即时构造攻击 | 独立于攻击者能力形式化 | 独立于协议并发运行 | 自动化 |
|
超级会员免费看
订阅专栏 解锁全文
46

被折叠的 条评论
为什么被折叠?



