802.11
Các cuộc tấn công trong quá trình hủy bỏ xác thực được thực hiện gần như hoàn hảo do có thừa hưởng điểm yếu nhận dạng. Trong mạng 802.11, khi một nút mới muốn gia nhập mạng, nó cần thực hiện quá trình xác thực và quá trình liên kết sau đó sẽ được cho phép truy nhập mạng.
Có hai loại xác thực trong 802.11: Open, trong cơ chế này bất kỳ một nút
nào cũng có thể gia nhập mạng và Shared Key, ở cơ chế này nút nào muốn gia
nhập mạng phải biết được mật khẩu của mạng. Sau quá trình xác thực, các nút sẽ chuyển sang quá trình liên kết và sau đó nó có thể trao đổi dữ liệu và quảng bá trên toàn mạng. Trong quá trình xác thực và liên kết chỉ có rất ít các khung dữ liệu, quản lý và điều khiển được phép phát đi. Một trong những thông điệp đó là thông điệp cho phép các nút có thể hủy bỏ sự xác thực từ một nút khác. Thông điệp này được sử dụng khi một nút muốn chuyển sang một mạng không dây khác. Ví dụ như trong cùng một vùng tồn tại nhiều mạng không dây khác nhau thì thông điệp này sẽ được sử dụng. Khi một nút nhận được thông điệp này, nó sẽ loại bỏ bản thân nó ra khỏi mạng và trở về trạng thái cơ bản.
Trong cuộc tấn công vào quá trình hủy bỏ xác thực này, kẻ tấn công sử dụng một nút để tìm ra địa chỉ của điểm truy nhập (AP) đang điều khiển mạng. Điều này có nghĩa rằng AP là một phần của mạng để kết nối mạng hữu tuyến với mạng LAN vô tuyến. Không khó khăn gì trong quá trình tìm ra địa chỉ của AP vì AP không sử dụng một phương pháp bảo mật nào. Một vài AP không quảng bá địa chỉ của nó trong mạng, nhưng địa chỉ của nó có thể tìm thấy nếu lắng nghe tất cả các lưu lượng giữa AP đó với các nút khác. Thông thường địa chỉ của AP chỉ dùng để cho phép thuê bao tìm ra từ một mạng nào đó mà nó muốn hủy bỏ sự xác thực khỏi mạng và địa chỉ của AP này không cần sử dụng trong quá trình xác thực do vậy AP không phải lo lắng về sự xuất hiện ẩn của nó.
Khi kẻ tấn công nhận được địa chỉ của AP, hắn sẽ sử dụng địa chỉ quảng bá mặc định và gửi thông điệp hủy bỏ xác thực tới tất cả các nút nó có thể. Những nút này nhận được thông điệp ngay lập tức sẽ ngừng giao tiếp với mạng. Bước tiếp theo là tất cả các nút bị hủy bỏ xác thực sẽ cố gắng kết nối lại, trao quyền lại và liên kết lại với AP. Việc phát lại thông điệp hủy bỏ xác thực này sẽ khiến mạng ngừng hoạt động hoàn toàn.
Theo cách như vậy, các thông điệp khác được sử dụng trong 802.11 có thể bị lợi dụng gây ra các vấn đề tương tự. Ví dụ như thông điệp hủy bỏ liên kết. Tuy nhiên kiểu tấn công này không hiệu quả đối với kẻ tấn công vì hắn phải giả mạo nhiều thông điệp. Một thực tế là có nhiều thông điệp khác có thể sử dụng để thực hiện các cuộc tấn công kiểu này và những cuộc tấn công đó đều được gọi chung là cuộc tấn công hủy bỏ xác thực.
Có 3 điểm khiến cho các cuộc tấn công kiểu này có thể thực hiện được là: thứ nhất các thông điệp hủy bỏ xác thực không được chứng thực, ngoại trừ kiểm tra về mặt logic địa chỉ nguồn của thông điệp. Thứ hai là không có sự bảo mật nào để bảo vệ các thông tin được dùng trong thông điệp, vì vậy kẻ tấn công có thể dễ dàng tìm thấy các thông tin. Thứ ba các nút nhận được các thông điệp giả này sẽ chấp nhận nó mà không chú ý đến thời gian nó được gửi đi.
802.16
Giống như 802.11 trong 802.16 các thông điệp lớp MAC được sử dụng theo cách tương tự. Trước tiên một thông điệp Reset Command (RES-CMD) được
trạm phát sóng BS gửi đi tới một thuê bao SS cụ thể để sau đó xác lập lại bản thân nó. Khi SS nhận được thông điệp này nó sẽ khởi tạo lại địa chỉ MAC của nó và cố gắng lặp lại quá trình truy nhập hệ thống ban đầu. BS cũng có thể gửi De/Re- register Command (DREGCMD) tới SS để SS thay đổi trạng thái truy nhập.
Thông điệp này được gửi đi khiến SS dời bỏ kênh truyền dẫn. Trái ngược với IEEE 802.11, IEEE 802.16 có sự bảo vệ bên trong chống lại sự lạm dụng những lệnh này. Cơ chế bảo vệ đầu tiên được sử dụng là Hashed Message Authentication Code (HMAC) mã xác thực đa năng được tính toán sử dụng thông điệp gốc và khóa bí mật dùng chung. Trong 802.16 giá trị 160 bit Hash được thêm vào thông điệp gốc.
Hình 3.4: Tấn công bằng thông điệp RES-CMD
Khi bên thu nhận được thông điệp sẽ tính toán lại Hash sử dụng thông điệp nhận được và khóa bảo mật chúng đã biết. Sau đó bên thu sẽ so sánh Hash nhận
được với Hash tính được, nếu chúng giống nhau thì có nghĩa là hai bên đều có chung một khóa bí mật.
Từ trước đến nay 802.16 được xem như không thể xảy ra các cuộc tấn công hủy bỏ xác thực vì khóa dùng chung giữa BS và SS được xem là bí mật. Khi