問題分析

由於 Ad Hoc 應用於無線網路環境上的設備，其電力或運算能力常被假設有 一定的限制，綜觀之前學者所提的方法，利用 XOR 運算取代模指數的的確可以 增加運算上的效率[11]，因此本論文希望所提出的方法也是以 XOR 運算為基礎 的；此外，無線網路的封包較一般實體網路更容易被擷取、收集，因此不管是主 動式攻擊或被動式攻擊對於無線網路安全的威脅都相當大，以是否能承受網路上 非法的惡意攻撃來檢視於第二章中所探討過的金鑰協定，在仔細檢視於第二章所 述的 Huang 與 Chang 方法後，發現此方法很有可能遭受到某些非法的惡意攻擊，

而違害到整個金鑰建置的安全，以下便是其可能遭受攻擊的探討與驗證：

首先說明在一個 Ad Hoc 無線網路的環境下，配合 Huang 與 Chang 方法做 Key Agreement 時，假設一個非法的惡意攻擊者有能力擷取到此協定過程的所有 封包，則其可以擷取到的封包資料列於表 3-1 中：

表 3-1. 運用 Huang & Chang 方法時，攻擊者可以擷取到的封包

如圖 3-1 所示，可以觀察出，假若有一個非法的惡意的攻擊者 A 擷 取到成員 4 送給成員 2 的封包資料 f(P||K₄′ 、) K ′ ，此攻擊者可以謊稱₄ 自己是成員 4 或 5，而將此封包資料重送給成員 2；甚至謊稱自己是合 法的成員 2，而將 f(P||K₄′ 、) K ′ 送給成員 1，雖然攻擊者並不知道驗₄ 證身分的密碼

P

為何，但成員 1 利用雜湊函式做合法性驗證後，仍會誤 信攻擊者是合法的成員 2，使得金鑰建立的過程產生錯誤。

1

2 3

4 5 6 7

8 A

Attacker

9

正常傳輸 竊取封包資料 惡意重送攻擊

圖 3-1. 重送攻擊示意圖

9 密碼猜測攻擊 (Password Guessing Attack)

One-Way Hash Function 的定理指出，若 F( ) 是一個 One-Way Hash Function 且 F( X ) = Y，則給一個 X，可以很快求出一個對應的 Y，

但給一個 Y，並無法求出相對應的 X；在此協定中，攻擊者可以收 集到多組執行完 One-Way Hash Function 後的值，如： f(P || K_i′) 、

)

||

( P

π

f

、 f(P||C_i) ，但其中的K ′、_i

π

、 ，由於是以明文傳 送，所以惡意的攻擊者可輕易得到，又假設該惡意攻擊者也知道此 演算法所運用的 One-Way Hash Function，此時問題便出現了，由 於人類一次的記憶長度有限，所以供人們記憶的密碼通常不會太 長，頂多 8 到 10 個文數字，此時，攻擊者便可利用某個配對，如：

Ci

)

||

(P K_i

f ′ 與 ，加上字典猜測或暴利法猜測來執行密碼猜測攻 擊，一旦此協定的密碼被猜出來，則攻擊者便可利用其收集到的資

料： 、 、

K ′i

)

(

_{i n}

C

p

C S

E

_⊕ i

⊕

C_i

π

，計算出此次的會議金鑰。

9 執行效率上的問題

除了上述二個安全上的問題之外，還有執行效率上的問題，觀察其 演算法之第二階段中發現，若總共有 n 個成員參與這個協定，則成 員M_n必須要將其自己產生的秘密值S_n，利用P⊕C_i當加密金鑰做 (n-1)次加密，產生

E

_{p C}

( C

_i

S

_n

)

i

⊕

⊕ ; for i = 1,2,…,n-1；並且將這(n-1) 個 加 密 後 的 資 料 利 用 廣 播 (broadcastt) 一 併 傳 送 給 各 個 成 員 ( , ,…, )，很明顯的，當參與會議的成員一多，則金鑰建 立的時間便會卡在 做加密的時間，而影響到整體的效能，且 所廣播的資料量大小，也會隨著成員數而增加。

M1 M₂ M_n−1

Mn M_n

在文檔中 一個用於Ad Hoc無線網路上的改良式金鑰協同協定 (頁 31-34)