3. 重放攻擊及防御措施

重放攻擊( Replay Attacks)又稱重播攻擊、回放攻擊，是指攻擊者發送一個目的主機已接收過的包，特別是在認證的過程中，用于認證用戶身份所接收的包，來達到欺騙系統的目的，主要用于身份認證過程，破壞認證的安全性。對于傳輸的會話憑證（口令或sesslon 等），如果僅僅采取簡單加密措施進行，避免攻擊者獲得信息，但缺乏有效的驗證機制，攻擊者可以記錄下來，并且在稍后的驗證過程中進行重放，系統無法區分這次發送的登錄信息是攻擊者或是合法用戶，會允許攻擊者的訪問。重放攻擊的防御措施包括：

1)在會話中引入時間戳，由于時間戳的存在，攻擊者的重放攻擊會被系統拒絕；
　　2)使用一次性口令一次性口令即一個口令只使用一次，以確保在每次鑒別中所使用的口令不同，對付重放攻擊。挑戰一應答系統在某些場合使用一次性口令，此時，應答即口令，如果挑戰不同，應答也不相同，每次應答都在使用后失效。使用一次性口令鑒別機制，發送方和驗證方需要共同擁有一串隨機口令，并在該串的某一位置保持同步，兩方還要共同使用一個隨機序列生成器，在該序列生成器的初態保持同步，同時，應維持兩方時鐘的同步。

3)在會話中引入隨機數

挑戰一應答是一種有效的應對口令嗅探和重放攻擊的鑒別方式，在挑戰一應答過程中， 用戶和系統將協商一個秘密函數，鑒別時，系統首先發送一個挑戰（隨機數）M給用戶，用戶使用秘密函數生成應答N返回給系統。此時，系統獨立計算出一個P，通過比較N和P是否一致判斷用戶的合法性。由于挑戰過程帶每浚繕出的M是隨機生成的，因此可以有效的避免重放攻擊和嗅探。