作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在开发一个移动应用程序,它将一些加密数据发送到蓝牙设备,然后该蓝牙设备将数据发送到服务器。我的问题是,在这种情况下如何防止重放攻击。有人可能会使用假冒的蓝牙设备来获取信号并将其发送到服务器。
移动应用程序在离线模式下工作,没有与服务器的连接。因此,使用同步随机数或计数器没有帮助。
我无法同时使用时间戳来缩小攻击窗口,因为手机时间可能不正确(与时间服务器同步)。
我的移动应用程序与蓝牙设备之间的通信是单向的,我的移动应用程序只能向设备发送数据。
最佳答案
实现此目的的一种方法是使用计数器,但允许它跳过大量步骤。例如,如果您从电话 A 看到的最后一个计数器值为 123,并且您得到的计数器值为 156,那么您接受它,但超出 [124, 1000123] 范围的任何内容您都会丢弃(1000000 是完全任意的,并且取决于您的用例)。
这可以防止重放攻击,但您必须注意传输不是 malleable否则伪造柜台号码将是微不足道的。这可以通过为每个设备设置一个 secret MAC key 来实现(这只有在服务器和电话事先通信时才可能实现)。
值得一提的是,对交易进行身份验证是有好处的(只有电话 A 能够生成一条消息,表明该消息来自电话 A),否则攻击者可以快速移动柜台并进行拒绝服务但是,从您提出问题的方式来看,这听起来像是您已经处理过的问题。
关于security - 如何在不使用时间戳的情况下避免重放攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22930761/
我是一名优秀的程序员,十分优秀!