gpt4 book ai didi

security - 如何在不使用时间戳的情况下避免重放攻击

转载 作者:行者123 更新时间:2023-12-02 22:12:05 28 4
gpt4 key购买 nike

我正在开发一个移动应用程序,它将一些加密数据发送到蓝牙设备,然后该蓝牙设备将数据发送到服务器。我的问题是,在这种情况下如何防止重放攻击。有人可能会使用假冒的蓝牙设备来获取信号并将其发送到服务器。

  • 移动应用程序在离线模式下工作,没有与服务器的连接。因此,使用同步随机数或计数器没有帮助。

  • 我无法同时使用时间戳来缩小攻击窗口,因为手机时间可能不正确(与时间服务器同步)。

  • 我的移动应用程序与蓝牙设备之间的通信是单向的,我的移动应用程序只能向设备发送数据。

最佳答案

实现此目的的一种方法是使用计数器,但允许它跳过大量步骤。例如,如果您从电话 A 看到的最后一个计数器值为 123,并且您得到的计数器值为 156,那么您接受它,但超出 [124, 1000123] 范围的任何内容您都会丢弃(1000000 是完全任意的,并且取决于您的用例)。

这可以防止重放攻击,但您必须注意传输不是 malleable否则伪造柜台号码将是微不足道的。这可以通过为每个设备设置一个 secret MAC key 来实现(这只有在服务器和电话事先通信时才可能实现)。

值得一提的是,对交易进行身份验证是有好处的(只有电话 A 能够生成一条消息,表明该消息来自电话 A),否则攻击者可以快速移动柜台并进行拒绝服务但是,从您提出问题的方式来看,这听起来像是您已经处理过的问题。

关于security - 如何在不使用时间戳的情况下避免重放攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22930761/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com