没有合适的资源?快使用搜索试试~ 我知道了~
--理论计算机科学电子笔记121(2005)65-85www.elsevier.com/locate/entcs两种攻击的定量研究1Chiara Bodei,Michele Curti,Pierpaolo Degano2Dipartim mediInformatica,UiversitadiPisaVialeF.Buonarroti,2,I-56127比萨,意大利Corrado Priami3DipartimmtodiInformaticaeTelecomuicazioni,Universita`diTrentoViaSommarive,14摘要我们使用一个特殊的操作语义,这有助于我们在预测系统描述加密协议的定量措施:我们还考虑了可能的攻击者。 的过渡 的系统进行增强标签。我们只通过查看这些标签来为转换分配速率。然后,我们将过渡系统映射到马尔可夫链,并使用标准工具评估系统的性能。保留字:形式化方法、效能评估、进程代数、安全协定。1介绍在分布式系统中用于身份验证和密钥交换的密码协议旨在保证安全性。所使用的机制总是在其成本和收益之间进行明智平衡的结果必须仔细评估性能和实施成本:1部分得到欧洲委员会信息社会技术方案、未来和新兴技术、IST-2001-32072项目DE-GAS、丹麦SNF项目LOST的支助2Email:chiara,curtim,de gano@di. uni pi. 它3 电子邮件地址:priami@science.unitn.it1571-0661 © 2005 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi:10.1016/j.entcs.2004.10.00866C. Bodei等人理论计算机科学电子笔记121(2005)65攻击威胁越大,安全投资越大。 安全不是一种完美的状态,而是一个风险管理的过程在[4]中,我们提出了开发一个单一的正式设计方法的第一步,该方法支持设计人员分析协议的性能,包括时间开销和资源消耗。我们想扩展[4],以便将攻击者纳入图片中,从而评估特定序列的成功攻击的成本。事实上,估计攻击者端口可以提供有用的信息,用于确定特定协议的可接受性及其在弹性方面的安全性。这个想法是为用户提供一种正式的方法来评估管理攻击风险的需要和保持低成本的需要之间的权衡。实际上,攻击者是一个不公平的校长。根据传统的Dolev-Yao [12]模型,攻击者应该控制通信网络。因此,它能够监控流量并拦截消息,使用旧消息的一部分创建新消息,注入新消息并将其消息替换为合法消息。这些行动可以很容易地在一个过程代数框架建模。我们的方法的出发点是描述一个特定的协议和对它的攻击。我们在进程代数LY SA[3]中详细描述了这种描述,这使得可以根据并行运行的进程来指定合法参与者和攻击者的行为。应用于此规范的定量分析为我们提供了攻击者在此特定情况下所做Dolev-Yao模型排除了那些被归类为计算困难的操作,攻击者可以尝试利用这些操作,例如猜测密钥和破坏密码系统。攻击者确实可以利用加密算法的弱点,通过适当地逐位操作密文来获得明文。 也要考虑到这种对于动作,我们需要扩展我们的标准语义(参见Cervasato [7]和Meadows [17]):消息不是原子对象,而是由比特组成的数据包序列通信和加密/解密也不是原子操作。在[4]之后,我们使用具有增强语义的进程代数LySa [3](沿着[11]的路线)描述协议及其攻击,并且我们将成本与每个转换相关联,如[19]中所提出的更确切地说,增强的操作语义提供了具有增强标签的转换,从该转换可以机械地导出速率。一旦分配了速率,就很容易推导出与过渡系统相关的连续时间马尔可夫链。从它的静止C. Bodei等人理论计算机科学电子笔记121(2005)6567--⊕⟨⟩分布,如果有的话,我们评估手头的过程的性能。2为例安全性和成本之间的平衡对于无线LAN(WLAN)尤其重要,其中由于无线设备的便携性而增加了w.r.t.普通有线网络的风险。保护WLAN中的通信的常见方式是通过使用有线等效保密(WEP)(IEEE 802.11标准的密码算法)加密和解密消息。WEP应该在保密性、数据完整性和对无线网络的访问方面提供一些安全保证。该算法依赖于在移动站(MS)(例如具有无线卡的膝上型计算机)和接入点(AP)(即基站)之间共享的秘密密钥K。该密钥被分开交换,用于保护发送的消息M的主体。在网络上,它将传递相应的密文MK,以及Vectorv,如下所述。为了加密消息M,发送方如下进行:• 对M进行校验和(使用CRC-32算法)以获得c(M);c(M)级联得到明文P=m,c(M)m;• 选取一个24位的向量v; RC 4算法(流密码)生成一个密钥流RC4(v,K);密文C是通过对明文和密钥流进行异或运算(XOR,用表示)得到的,即C=P<$RC 4(v,K)。因此,在网络上传输的整个数据帧是v,C。为了解密C,接收方反转加密过程:• 给定v,他计算RC4(v,K)并将接收到的消息C与RC4(v,K)进行异或以恢复P,即C<$RC4(v,K)=(P<$RC4(v,K))<$RC4(v,K)=P=<$M,c(M)<$;• 然后接收机检查校验和是否相等。如果是,则消息被接受。不幸的是,WEP算法有很多缺点,这是由于其不适当的实现以及RC4和CRC-32的组合(参见例如[5,2])。因此,它很容易受到几种攻击,主要是基于密码分析。其主要原因包括:密钥流重用:给定两个密文,由于的代数性质,很容易获得两个相应明文的XOR。此外,文本分析可以导致发现明文。 使用一个RCVector似乎有帮助,因为它为每个数据包产生一个不同的RC4。相反地,68C. Bodei等人理论计算机科学电子笔记121(2005)65⟨ ⟩ ⊕--初始化向量的小空间要求高度可能的重用。密钥重用和管理:通常在所有移动站和接入点之间共享唯一密钥。较差的数据包完整性:WEP使用的完整性校验和字段被实现为CRC-32校验和。CRC被设计为检测消息中的随机因此,消息完整性不能完全保证:可以修改加密的消息,而不会破坏其校验和。接下来会有几次攻击利用上述漏洞。碰巧这两个都不涉及泄露密钥。第一种是对WLAN认证协议的攻击,WLAN认证协议是一种挑战-响应协议,移动台使用该协议与接入点关联以进行自身认证。1. MS→AP:要求,MS(保护1)2. AP→MS:无3. MS→AP:v, {N}K4. AP→MS:确认当MS请求接入(通过消息req,MS)无线网络时,AP发送质询N; MS接收并加密它,然后将其发送回。AP解密接收到的数据包,并根据挑战检查有效载荷:如果两者匹配,则认证成功结束。合法认证序列的观察足以发起认证欺骗攻击,因为它直接提供初始化向量并隐式地揭示相应的密钥流。事实上{N}K实际上是C = P<$RC4(v,K)的形式,其中P=<$N,C(N)<$。知道C和P的攻击者利用了P<$C= P <$P <$RC4(v,K)= RC 4(v,K)的事实,从而获得了除了v之外的RC 4(v,K)的知识。这足以使攻击者在不知道K的情况下产生NJJK作为NJ,C(NJ)RC4(v,K),并且因此被认证。攻击顺序是2. AP→E(MS):N3. MS→E(AP):v, {N}K(附件1)2 J。AP→ E:N J3 J。E→ AP:v,{N J}JK第二种攻击称为IP重定向攻击,用于访问C. Bodei等人理论计算机科学电子笔记121(2005)6569--点充当移动站的IP路由器。AP对移动站发送的所有数据包进行解密,并将其(明文)发送到Internet上。攻击者欺骗接入点,即合法的解密器:接入点将友好地为攻击者解密详细地,MS在AP的消息中向AP发送消息形式H,M,K,其中密文的报头表示预期的目的地IP地址H。AP解密数据包并将M发送给H。攻击者首先拦截为H加密的数据包,然后对其进行修改,以便将其发送到EH,即攻击者控制的IP地址。接入点解密伪造的数据包并将其内容发送到新的目的地在明确的。同样,没有必要打破关键。修改数据包的地址部分非常容易。 攻击者只需要猜测头部H,它的位置是从数据包开始的固定长度。计算出H并不困难。只要知道H,就足以对密文进行选择性修改。攻击顺序是1 .一、 MS→E(AP):{H,M}K(附件2)1 J. E(MS)→AP:{EH,M}K2 J。AP→ EH:M下面我们将介绍我们的技术,然后我们继续将我们的框架应用于上述两种攻击3LY SA及其增强语义本文简要介绍了过程演算LY SA,并对其语义作了直观的介绍。3.1微积分LY SA演算[3]是基于π-演算[18]和Spi-演算[1]的,但它与π-演算[ 18 ]和Spi-演算[ 1]的区别主要体现在两个方面:(i)没有通道:只有一个全局通信媒介,所有进程都可以访问;(ii)使用模式匹配自然地表示与输入和解密相关联的测试。下面,我们假设读者熟悉进程演算的基础知识。70C. Bodei等人理论计算机科学电子笔记121(2005)65|- 你好语法.该语法由项E∈ E和过程P∈ P组成,其中N和X分别表示名称和变量的集合E::=术语aname(a∈ N)x变量(x∈ X){E1,···,Ek}E0对称加密(k≥0)P::=进程零输出P输出in.P输入(带匹配)P1|P2并行合成(ν a)P限制decinP对称解密(带匹配)A(y1,.,yn)常数定义其中我们使用了以下缩写,我们将在下文中使用:out=ΔE1,· · ·,Ekin=Δ(E1J,· · ·,EjJ;xj+1,· · ·,xk),dec=Δdecry ptEas {E1,· · ·,Ej;xj+1,· · ·,xk}E0.直观地说,0表示空的非活动进程。操作符描述进程的并行组成。操作符(νa)作为一个静态声明(即绑定器),用于限制前缀的进程P中的名称a。因此,限制用于创建新名称,如随机数或键。 进程E1,···,Ek在 网 络 上 发 送 E1 , ··· , Ek , 然 后 像 P 一 样 继 续 .进 程 ( E1 , ··· ,Ej;xj+1,···,xk).P尝试接收,Ek,J,并且将集合A设为P[E,j+1/x,j+1, . . ,Ek/xk],提供了对于所有i∈ [1,j],E i = E i j。直觉是,当第一个j个值EiJ成对地对应于 值Ei 时 , 匹 配 成 功, 结 果 是 绑 定 剩 余 的k个 值j 值 到 变 量xj+1,,xk. 请注意,在语法上,分号将执行匹配的组件与仅发生绑定的组件分开。 同样的简单形式C. Bodei等人理论计算机科学电子笔记121(2005)65711 Sys1=(νK)(νv)(AP|MS)2 AP =(AP,req; zMS)。AP′3AP′=(νN)(νAP,zMS, Nν.AP′′)4AP ′′=(zMS,AP,v; zenc).AP“”K共享密钥和V初始化向量AP接收并检查消息(1)AP发送消息(2)AP接收并检查消息(3)6 AP′= αAP,zMS,ackα. AP7 MS= AP,req, MS。 MS ′8 MS ′=(AP,MS; xN). MS′′9MS ′′=MS,AP,v,{xN}K. MS′′10MS ""=(AP,MS,ack;)。 MS5AP“"=decryptzencas{N;}KinAP”“AP解密msg中的enc(3)AP发送消息(4)MS发送消息(1)MS接收并检查msg(2)MS发送消息(3)MS接收并检查msg(4)模式也用于解密(参见[6]以获得更灵活的选择)。实际上,该过程将E解密为{E1,···,Ej; xj+1,···,xk}E0 P中 试图decryptE={E1J,· · ·,EkJ}E0J 带着密钥E0。当verEi=EiJ时,i∈[0,j],则过程s为P[Ej+1/xj+1, . . ,Ek/xk]。最后,一个年龄,是一个参数化过程的静态定义。每个代理标识符A都有一个唯一的定义方程mA(y_n) =P,其中y_n表示元组y_1,., yn的不同的 名称(唯一的)发生自由在P。表1WEP认证协议例如WEP认证协议的详细说明见表1,为清楚起见,每个消息都被赋予了发送方和接收方的名称右侧部分根据协议叙述Prot1中的消息(称为msg,而enc代表加密术语)的编号对左侧的操作进行了简要解释在第2节。整个系统由并行组合给出(|)的两个过程AP和MS。它们中的每一个都执行一定数量的操作,然后重新开始。它们共享密钥K和初始化向量v。我们描述了一部分的计算所产生的系统1显示的基本形式的LY S的动态,即通信和解密。72C. Bodei等人理论计算机科学电子笔记121(2005)65⟨⟩联系我们ǁǁ⟨⟩1(νK)(νv)(AP,req; zMS). AP′|AP,req, MS. MS ′−→(νK)(νv)(AP′[MS/zMS]|MS ′)2(νK)(νv)((νN)(AP,MS,N. AP′′)[MS/zMS]|MS ′)−→(νK)(νv)(νN)(AP′′[MS/zMS]|MS ′′[N/xN])3 (νK)(νv)(νN)((zMS,AP,v; zenc). AP′[MS/zMS]|MS,AP,v,{N}KMS"")−→(νK)(νv)(νN)(AP′[MS/zMS,{N}K/zenc]|M S "")3′(νK)(νv)(νN)(在AP′[MS/zMS]中将{ N } K分解为{ N ; } K)|M S "")−→(νK)(νv)(νN)(AP"[MS/zMS]|MS "")4 (νK)(νv)(νN)(αAP,MS,ackα)。 AP|(AP,MS,ack;). MS-→ Sys1在第一次转换(1)中,主AP接收(见表2中的第2行)。1)由MS发送的消息AP,req,MS。前两个项是AP,req,根据形式(AP,req;MS)中输入前缀的要求。.因此,变量zMS在延续APJ内绑定到MS,即绑定到接收到的消息MS的最后一项。第二、第三和第五次跃迁(2, 3,4)也是如此。在第四转换(3J)中,在替换之后将NK解密为N的进程APJJJ;在APJJJ中的K尝试用密钥K解密NK(表10中的第5行)。1),并检查解密项是否是随机数N。3.2增强语义一旦在LY SA中指定了协议,我们的语义就将标签与每个转换相关联,特别是与每个通信和每个解密相关联。为了实现这个目标,我们使用了一个非常具体的语义版本,称为增强,风格[10,11]。我们对LY SA的增强语义是一种归约语义,建立在标准归约语义[3]之上,其中过程和转换都用标签注释。 标签编码了关于动作和动作发生的语法上下文的信息。给定进程的每个前缀的上下文编码,是通过用一串标记来标记每个前缀来获得的,称为上下文标签。这个字符串本质上记录了前缀的语法位置,对 于 并行组合嵌套:标签0(分别为1)用于并行组合的左分支(分别为右分支)。 为了做到这一点,我们利用的抽象语法树的进程,建立使用二进制并行组合作为操作符。丰富跃迁的标签θ称为增强标签。通信的增强标签的形式是θ=θOout,θIin,并记录导致转换的输入和输出参数。类似地,解密的转换具有以下形式的标签:你好C. Bodei等人理论计算机科学电子笔记121(2005)6573Example(connt回到我们的例子,考虑Sys 1的第一个跃迁的标签:θ0=0(AP,req;zMS),1AP,req, MS。AP的prefixe s的contexlabel简单地是100,而MS的prefixes之一是101。 这对应于AP和MS出现在平行合成(AP)的左(分别为右)分支中的事实|MS)。由于篇幅有限,我们省略了相应的过渡制度。Sys1的所有转换的增强标签如下。一般来说,相同的标签可以注释不同的转换,但在我们的示例中,每个转换只有一个标签。因此,我们在下文中可以自由地使用标号θi来表示第i次跃迁.• θ0=θ0(AP,req;zMS),θ1<$AP,req, MS<$0;• θ1=θ0(AP,MS;xN),θ1 = θ0(AP,MS;x N),θ 1 = θ 0(AP,M S,N);• θ_2=θ_0(MS,AP,v;zenc),θ_1<$MS,AP,v,{N}K_n;• θ3=θ0decrypt{N}Kas{N;}K• θ4=θ0(AP,MS,ack;),θ1= θ 0(AP,MS,ack)4随机分析我们现在准备给出如何通过检查增强标签来推导转换成本的直觉,遵循[19]。这些信息足以提取必要的定量信息,以获得连续时间马尔可夫链(CTMC)。一般来说,我们所说的“成本”是指任何影响跃迁的数量属性的度量:这里,我们指的是系统可能保持在给定跃迁内的时间。因此,我们根据其原语的时间开销来指定协议的成本(与[20]相同)。过渡的成本(组成部分)取决于当前的行动及其背景。”[19]这句话的意思是:由于语言的语义指定了它的抽象机器,因此操作发生的上下文代表了目标机器执行的运行时支持例程,以激发该操作。首先,我们直观地介绍了影响行动成本的主要因素以及由于其背景而产生的成本。• 通信的成本取决于输入和输出组件的成本特别是,输出取决于消息的大小和所发送的消息的每个项的成本,特别是取决于其优先级。输入取决于消息的大小和接受消息所需的检查成本。实际上,这两个合作伙伴独立执行一些低级操作··74C. Bodei等人理论计算机科学电子笔记121(2005)65−每一个都导致了延迟。由于通信是同步和握手的,所以总成本对应于较慢的伙伴所支付的成本。• 加密和解密的成本分别取决于明文和密文的大小;实现它的算法的复杂性;所采用的密码模式;密钥的种类(短/长,短期/长期)。密钥的长度很重要:通常,密钥越长,计算时间越长。此外,解密的成本取决于接受解密所需的检查的成本• 并行合成的成本根据可用处理器的数量和系统时钟的速度来评估。为了简单起见,这里我们简单地忽略其他原语的成本,例如限制或常量调用;完整的处理见[19]可用的处理器。为了定义成本函数,我们首先考虑在专用架构上执行每个动作,该架构只需要执行该动作,并且我们用固定速率r估计相应的持续时间。然后,我们模型的性能下降,由于运行时的支持。为了做到这一点,我们为r引入了一个比例因子,对应于每个例程,该例程由转换θ的实现调用。 实际上,我们只是为这些函数提出了一种格式,带有参数根据需要进行实例化。请注意,这些参数取决于目标计算机。例如,在密码操作是如果以非常高的速度(例如,在密码加速器上)执行,但是具有慢链路(低带宽),则时间对于执行来说将是低的,而对于通信来说将是高的;反之亦然,在具有高带宽但具有差的密码资源的系统中。从技术上讲,我们将成本解释为指数分布的参数(一般分布也是可能的(见[21]),因为它们只依赖于与过渡相关联的速率是标识过渡持续时间的指数分布的参数,就像随机过程代数中常见的那样(例如[14,13])。速率为r的指数分布是函数F(t)= 1−e−rt,其中t是时间参数。F(t)的形状是一条从0开始逐渐逼近1表示其参数t的正值。参数r决定曲线的斜率。r越大,F(t)越快接近其渐近值。在时间x内执行参数为r的动作的概率为F(x)= 1e−1,所以r决定了概率接近1所需的时间ΔtC. Bodei等人理论计算机科学电子笔记121(2005)6575|·|+作为4.1成本函数我们在几个步骤中定义了将速率与通信和解密转换相关联的函数我们首先给出一个辅助函数fE:E →IR+,它估计了操纵项E∈E所需的fE(a)=size(a)fE({E1,.,Ek}E0)= fenc(fE(E1),...,fE(E1),种类(E0))一个名字的大小(大小(a))很重要。对于加密项,我们使用函数fenc,它又取决于要加密的项的估计和密钥的种类(由kind(E0)表示),即其长度和 对应的密码系统。然后我们将成本分配给{in,out,dec}中的操作。相应的行动,费用的前缀。形式上,函数$α:{in,out,dec} →IR被定义为$α(α1,. ,Ekk k)= fout(fE(E1),., fE(E1),体重)$α((E1,. ,Ej; xj+1,. ,xk))= fin(fE(E1),., fE(Ej),match(j),bw)$α(将E解密为{E1,···,Ej;xj+1,···,xk}E0)=fdec(fE(E),kind(E0),match(j))函数fout和fin定义了实现发送和接收原语的例程的开销。除了由于它们自己的算法而导致的实现成本之外,上述函数还取决于通信信道的带宽(由bw表示)和交换项的成本,而交换项的成本又由辅助函数fE计算。此外,输入的成本取决于所需的测试或匹配的数量(由match(j)表示)。最后,函数fdec表示解密的成本。它取决于被操纵的项(fE(E)),取决于密钥的种类(kind(E0))以及匹配的数量(match(j))。我们现在考虑行动发生的背景。为了确定由于并行合成而导致的减慢因子,我们将成本与每个成本表达式相关联,通过函数 $1表 示 :{100,101}成本→(0,1]。帕拉尔湖根据可用处理器的数目Np以及在其上运行的进程的数量,由上下文标签中的标记数()表示。另一个因素是由时钟的速度,系统时钟。$l(f)= f||(np,|ϑ|,时钟),i = 0,1最后,我们给出了将速率与en-联系起来的函数$:Θ→IR+。76C. Bodei等人理论计算机科学电子笔记121(2005)65KKE1K e0级S我我α1Ks·Ehanced标签$(输出)= min{$l(输出)·$α(输出),$l(输入)·$α(输入)}$dec= $l()·$α(dec)如上所述,这两个合作伙伴独立地在其环境本地执行一些低级别操作,由两个上下文标签CNOO和CNOI表示。这些标签中的每一个都导致相应动作($α(out)和$α(in),re-time)的速率延迟(分别为$l(out)和$l(因此,由较慢的合作伙伴支付的成本对应于由参与者独立执行的操作的最小值裤子,在隔离。成本越低,即速率越大,完成动作所需的时间越长,因此发生转变的速度越慢4。请注意,我们没有固定实际的成本函数:我们只是建议它一组可能的参数,其反映某种理想化的体系结构和特定密码系统的某些特征。虽然这很抽象,但它似乎能说明我们的观点。一旦实际参数可用,精确的实例化就伴随着从规范到实现的细化步骤Example(connt我们现在将速率与转换系统Sys1中的每个转换相关联。为了简单起见,我们假设每个主体都有足够的处理能力,然后我们可以将每个节点映射到1。我们可以改变这个值,例如两个过程的时钟速度的差异。给出的成本函数的实例化使用以下参数来表示对单个项执行相应操作时所花费的时间• e和 d用于加密和解密,• S和R用于发送和接收,• m用于模式匹配。这些职能是:fE(a)= 1eF({E,...,E})=·fi=1(E)+A/50/50fi=1(E)1$(E,.,E)=[4]r越小,F(t)= 1−e−rt接近其渐近值的速度越慢EE我i=1 F (Ei)C. Bodei等人理论计算机科学电子笔记121(2005)65773sΣ3s3r+mθk$((E ,...,E; x1,...,X))=α1j j+1r·k+m·j$α(将E解密为{E1,···,Ej;xj+1,···,xk}E0)=1d·k+m·j由于传输通常比相应的接收更耗时,因此通信的速率总是输出的速率。在Sys1中的第一次跃迁的速率为c0=$(θ0)=1,并且对应于min{($l(x0)·$α(xAP,req; zMS)x0),$l(x1)·$α(xAP,req,MSx0)}= min{1,1}.其他速率为ci=$(θi),Sys1中具有标签θi的跃迁为:1 1 1c0=c1=c4=3s,c2=4s +e,c3=d+m4.2马尔可夫链和性能度量我 们 的 第 一 步 是 从 一 个 过 渡 系 统 获 得 一 个 连 续 时 间 马 尔 可 夫 链(CTMC)。然后,我们将计算实际的性能指标,例如某个资源的吞吐量或利用率。我们使用子节4.1中计算的转移率,将转移系统T转换为相应的CTMC(T):状态与转移系统的每个节点相关联,而状态之间的转移由弧定义。过渡独立于实际上,一个系统从行为类似于过程Ti到行为类似于Tj的速率q(Ti,Tj)是从Ti到Tj的所有可能转变的单个速率之和。注意,q(Ti,Tj)与CTMC的生成矩阵的0对角元素qij(即Q)一致。回想一下,CTMC可以被视为有向图,并且其矩阵Q(除了其对角线)表示其邻接矩阵。因此,在下文中,我们将不可否认地使用CTMC及其相应的Q来表示马尔可夫链。更正式地说,生成矩阵Q的元素定义为:q(Ti,Tj)= Σ$(θk)ifi j(一)qij=−nj=0j/i=i−→Tjqijifi=jExample(connt再考虑一个过渡系统Sys1,它是有限的,有一个循环的初始状态。这些特征保证了其平稳分布的存在。 CTMC的稳态概率分布为λ =(X0,. ,Xn−1)这样不K78C. Bodei等人理论计算机科学电子笔记121(2005)65i=0时一2个d一一一一0cc 001000 cc该方程解出了矩阵方程<$TQ=0和<$nXi= 1。我们推导出根据CTMC的生成矩阵Q(Sys1)。−c0c00 0 0-十一Q=0 0−c2 c20-3 3c40 0 0 −c4Sys1的马尔可夫链的平稳分布是=性能评定为了定义过程T的性能度量,我们定义了与T相关的奖励结构,如下[15,14,8]。通常,奖励结构只是一个函数,它将奖励与传递的任何状态相关联在T的计算中,例如,当计算资源的利用率时,我们将值1分配给任何启用资源使用的状态(通常是使用资源的转换的源)。所有其他州的值为0。相反,我们使用一个稍微不同的概念,其中奖励是根据转换率计算的[19]。为了测量系统的吞吐量,即单位时间内完成的有用功量,一个合理的选择是使用一个等于相应转换速率的值作为非零奖励。Example(connt给定活动的吞吐量首先通过将等于活动速率的转换奖励与每个转换相关联来确定。在我们的系统中,每个转换只触发一次。此外,相应的CTMC的图是循环的,所有的标签代表不同的这相当于说,所有活动的吞吐量都是相同的,我们可以自由选择其中一个来计算Sys1的吞吐量。我曾与他们交往。转换奖励等于其与最后一次通信的比率,转换奖励与所有其他通信。由此,我们计算出Sys1的奖励结构为ρ=(0,0,0,0,c4).总奖励R系统的总长度为3s。1=1。使用这个每-13s+e+d+3m13s+e+d+3m为了更好地测量,有必要在各种情况已知的是,加密和解密的成本可以被认为是相等的(即e=d),并且它比匹配m的成本和发送m的成本大得多。S. 粗略地说,这意味着总奖励可以近似为1,因此C. Bodei等人理论计算机科学电子笔记121(2005)6579证实了加密机制可能削弱网络性能的想法。5攻击的代价我们在这里感兴趣的是对第2节中介绍的两种攻击的成本进行建模,因此我们需要在我们的语法中考虑额外的动作,其中攻击者可以利用其计算能力和猜测能力。(中间人攻击)。第一次袭击为了模拟对WEP认证协议的攻击,我们使用了一种特殊的构造,这里称为模拟加密。如第2节所述,如果攻击者知道一个随机数及其加密,即使它忽略了密钥,它也可以获得任何其他已知随机数的加密。更准确地说,它能够产生相同的位串,可以通过使用适当的密钥加密获得,只需通过XOR收集的信息。实际上,我们处理这个动作的抽象,即我们既没有为XOR运算引入显式构造,也没有显式处理RC4(v,K)。为了说明这个抽象层次,我们模仿了通常的归纳规则,用来显示Dolev-Yao攻击者的能力,根据其知识K。K|= N,{N}K,N JK|={{N J}}K所以术语变成:E::=extendedtermsE标准项{{E}}K模拟加密规范在Tab。2,我们给出了攻击WEP认证协议Att1的规格SysJ1,其中AP和MS的规格如表1所示。1,攻击序列由过程E表示。如第2节所述,攻击包括两个阶段:(i)攻击者E观察整个认证会话;(ii)攻击者利用在(i)中获得的信息来认证自己,作为继续E。为了简单起见,我们选择将E对(i)中合法参与者AS和MS之间的每次消息交换所做的观察表示为由两个动作组成:(a)首先E通过从网络截取消息来读取消息,80C. Bodei等人理论计算机科学电子笔记121(2005)654s+x11aa′bb′cc′dd′Sys′1=(νK)(νv)(AP|MS)|EE=(AP,req, MS;)。E ′EI=(AP,MS;yN)。 EIIIEIII=YAAP,MS,yN. EIVEIV=(MS,AP; yv,yenc)。EVEV= ERMS,AP,yv,E拦截消息(1)(1)E拦截消息(2)E注入味精(2)E拦截消息(3)E注入味精(3)E拦截消息(4)E注入味精(4)a′′EI=AP,req, E. EIIb′′II IIIE=(AP,E;yN')。Ec E=′′IIIE,AP,y,{{yvN'{\fnMicrosoftYaHei\fs20\2cHFFFFFF\b0}}IVK. Ed′′EIV=(AP,E,ack;).EE发送消息(1)E接收并检查msg(2)E发送消息(3)E接收并检查消息(4)表2对WEP认证协议的攻击然后(aJ)E通过在网络上注入未更改的消息将其发送到接收器。请注意,在第二阶段中,在第三条消息中使用了仿真加密(Tab.2)的情况。由于篇幅的限制,我们没有给出对应于Sysj1的22态跃迁系统.进程的上下文标签是不同的,因为进程的结构现在也包括E:AP的是E0E0,MS的是E0E1,E的是E1。增强的标签类似于Sys 1中看到的标签,并且唯一的测试是θ2=00(E,AP,v;zen c),1E,AP,v,{{NJ}}K。它对应于Tab中第cJJ其中,E使用仿真加密来获得消息E,AP,v,{{NJ}}K,v。它的成本是c2=$(θ2)=其中参数rx对应于产生仿真加密的时间间隔。为了简单起见,我们假设每个主体都有足够的处理能力,那么我们可以将每个节点映射到1。我们省去了与跃迁系统对应的CTMC计算的细节,该技术与第3节中提出的相同。生成器矩阵为Q1=C. Bodei等人理论计算机科学电子笔记121(2005)6581666666771BBBBBBBBBBBBBBBBBBBBB60 0CC 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 00B60 0 0 0 0 0 0cc10 0 0 0 0 0 0 0 0 0 0 00660 0 0 0 0 0 0 0 0 0 0 0 0c 0 00672−2c0了 c0000了 c00 0 0 0 0 0 0 0 0 0 0 0 0 0 0 030 −c1C10 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0-2 2000 −c3C30 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0c40 0 0−c40 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 00 0 0 00 −c0了c00 0 0 0 0 0 0 0 0 0 0 0 0 0 0000000 −c1C10 0 0 0 0 0 0 0 0 0 0 0 0 0-10 0 0 0 0 0 0 0 −c2C20 0 0 0 0 0 0 0 0 0 0 000000000 0 0 −c2C20 0 0 0 0 0 0 0 0 0 00 0 0 0 0 0 0 0 006c−3C30 0 0 0 0 0 0 0 0 00000 0 0 0 0 0 0 0000-c4c4000000000000 0 0 0 0 0 0 0 0 0 00 00-c4c40000000-0 0 00 0 0 0 0 00 0 00 00 0 0c10 0 0 0 0000 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 00 −c 2 p c2p0 00 0 0000 0 0 0 0 0 0 0 0 0 0 0 000 0 0 0−c40 0 0 0 0 0 0 0 0 0 0 0 00 0 06 70 0 0 0 0 0 0 00 0 0 0 00 0 0 0 0C10 000 0 0 0 0 0 0 0 0 0 0 00 0 0 0 00C2 00 0 0 0 0 0 0 0 00 0 0 0 00 0 0 0 0 0 C30 0 0 0 0 00 0 000 001 1 1 1其中c0= c1= c4=3s,c2=4s+e, c3=d+m,c2p=4 s+ x相应的平稳分布是=3s,3s,3s,3s,4s+x,d+m,3s,3s,4s+e,d+m,3s其中B= 59s+ 4e+x+ 4d+4m实际上,我们的转移系统呈现两个循环路径,其中只有一个对应于攻击序列。因此,我们将等于其速率的转换奖励与该路径的最后一次通信相关联,并将空转换奖励与所有其他通信相关联。系统的总奖励R1这是3S。1=1。B3s59s+4e+x+4d+4m一旦实例化了参数,我们就可以做出更精确的性能注意事项。然而,我们可以立即观察到Sys1的吞吐量R(协议规范,没有攻击者)大约是Sys j 1的吞吐量R1(存在攻击的协议规范)的四倍。因此,攻击和认证通过欺诈获得的似乎并不那么昂贵。这一结果与文献[5,2]中的结果一致,并定量地证实了这种形式认证是完全不能令人满意的。事实上,新的77767777777467582C. Bodei等人理论计算机科学电子笔记121(2005)65ǁ ǁ ǁ ǁWLAN的版本或更复杂(也更昂贵)的认证形式。第二次袭击同样,我们可以评估IP重定向攻击的性能。同样在这里,术语被扩展为一个新的构造,称为部分仿真加密:E::=extendedtermsE标准项{[E,EJ]}K部分仿真加密同样,我们抽象地对待这种加密,正如攻击者知识K的新归纳规则所证明的那样:K|={E,EJ}K,E,EJJK| ={[EJJ,E]}K攻击者能够从{H,M}K获得加密{EH,M}K,而不知道密钥K,而仅知道H并将其替换为EH。相反,过程扩展了一个新的构造,用于猜测加密的选定部分,假设总是位于相同的位置。P::=extendedprocessesP标准过程假设E为{;x,?}Kin P选择猜测在Tab。3中,我们介绍了IP重定向协议和攻击Att2的规范,在第2节中介绍了,其中进程H和EH表示管理相应IP地址的进程。为了执行攻击,首先E拦截MS发送的加密数据包(Tab中的a行)。3),然后试图找出哪一个是原始的目的地址H(行aJ)。最后(aJJ行)E注入修改后的加密数据包,其中新的目的地址EH是攻击者控制的地址。这里我们也省略了对应于Sys2的跃迁系统。主要过程的上下文标签为:AP为1000000,MS为1000001,H为100001,E为10,EH为11。增强标签的唯一有趣的情况对应于• 在Tab中的aJ3,其中E试图猜测,其成本由下式给出:C. Bodei等人理论计算机科学电子笔记121(2005)6583j=0j/i=1Sys3=((νK)(AP |MS)|H)的|(E)|EH)1MS=CH2MS,AP,{H,M}K=CH2MS。MS发送消息(1)H接收并检查msg(2)345AP=(MS,AP; Xenc)。AP ′AP接收并检查消息(1)AP′=decryptxencas{;xd,xM}KinAP′AP解密其在msg(1)一AP′′ = AP,xd,xM。APE=((MS,AP;yenc))。E′AP发送(2)a′EI=gu essyenca s{H;,?}KinEIIa′′EII=<$MS,AP,{[EH,M]}K<$. EE拦截消息(1)E猜对msg(1)E注入msg(b′ EH =(AP,EH;zM)。EHEH接收并检查消息(表3对IP重定向协议的1c3=$(H,M)猜测{H,M}K为{; }K=g,其中参数g对应于在该尝试中花费的时间• 行aJJ中指
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 5
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 磁性吸附笔筒设计创新,行业文档精选
- Java Swing实现的俄罗斯方块游戏代码分享
- 骨折生长的二维与三维模型比较分析
- 水彩花卉与羽毛无缝背景矢量素材
- 设计一种高效的袋料分离装置
- 探索4.20图包.zip的奥秘
- RabbitMQ 3.7.x延时消息交换插件安装与操作指南
- 解决NLTK下载停用词失败的问题
- 多系统平台的并行处理技术研究
- Jekyll项目实战:网页设计作业的入门练习
- discord.js v13按钮分页包实现教程与应用
- SpringBoot与Uniapp结合开发短视频APP实战教程
- Tensorflow学习笔记深度解析:人工智能实践指南
- 无服务器部署管理器:防止错误部署AWS帐户
- 医疗图标矢量素材合集:扁平风格16图标(PNG/EPS/PSD)
- 人工智能基础课程汇报PPT模板下载
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功