|
|
* 密碼學 Chapter 6 使用者鑑別機制
User Authentication Mechanisms
|
|
|
|
|
前言 鑑別是密碼學與網路安全中一個極重要的觀念,藉由辨識特定使用者或系統來建立可信度
鑑別能驗證使用者的真實身分
傳統上使用了使用者身份識別碼與通行密碼
鑑別符記在通行密碼基礎之機制中增加了隨機性,使它更為安全
由於 PKI 技術的出現,憑證基礎鑑別已成為近代常使用的一種鑑別機制 *
|
|
|
|
鑑別基礎
任何密碼學方法中第一步就是鑑別
除非知道與誰聯繫,否則通訊內容加密沒有意義
鑑別可被定義為判定使用者身分是否符合要求
工作識別證
金融卡使用個人識別碼(PIN)
鑑別主要的概念是以秘密為基礎
|
|
|
|
通行密碼
鑑別方法中最常見的形式就是通行密碼
通行密碼是一連串的英文字母、數字和特別字元,並假設只有被鑑別者這個實體(通常是人)才知道
|
|
|
|
明文通行密碼(運作流程)
步驟1 : 提示輸入使用者身份識別碼和通行密碼 步驟2 : 輸入使用者身份識別碼和通行密碼
|
|
|
|
明文通行密碼(運作流程)
步驟3 : 驗證使用者身份識別碼和通行密碼 步驟4 : 鑑別結果
|
|
|
|
明文通行密碼(運作流程)
步驟5 : 告知使用者符合鑑別結果
|
|
|
|
明文通行密碼(此機制的問題)
通行密碼是以明文的方式儲存於資料庫中
通行密碼是以明文的方式從使用者電腦傳送到伺服器
|
|
|
|
原始通行密碼的變化
這種基本通行密碼鑑別的變化不使用原始通行密碼,而是使用從原始通行密碼導出的新通行密碼
方法運作需滿足
對於相同的通行密碼,此演算法必須每次都能產生相同的結果
演算法的輸出(即由通行密碼所導出的資料)不能提供任何有關原始通行密碼的線索
攻擊者應該無法使用錯誤的通行密碼而得到正確的演算法結果
|
|
|
|
通行密碼摘要
一種避免以明文通行密碼儲存和傳送的簡單方法就是使用訊息摘要
MD5、SHA-1
運作方法
將訊息摘要當成導出通行密碼儲存於使用者資料庫中
使用者鑑別
伺服器端的驗證
|
|
|
|
增加隨機性
為了改善安全性,需要增加一個不可預測性或隨機性的位元到早先的機制中
保證通行密碼訊息摘要一直是相同的,但使用者電腦和伺服器之間的訊息交換不會相同,可避免重送攻擊
|
|
|
|
增加隨機性
運作方式
將訊息摘要當成導出通行密碼儲存於使用者資料庫中
使用者送出登入要求
伺服器建立 一個隨機挑戰
使用者簽署包含通行密碼訊息摘要的隨機挑戰
伺服器驗證來自使用者的加密隨機挑戰
伺服器傳回一個適當的訊息給使用者
|
|
|
|
|
|
|
|
|
|
Copy the following code to your webpage or blog to embed this presentation:
<a href="http://www.slidefinder.net/生/生物特徵辨識鑑別/33005917" class="slidefinder">CryptographicCh07</a>
<script type="text/javascript" src="http://www.slidefinder.net/scripts/embedded.js"></script>
<a href="http://www.slidefinder.net/生/生物特徵辨識鑑別/33005917" class="slidefinder">CryptographicCh07</a>
Det3
<script type="text/javascript" src="http://www.slidefinder.net/scripts/embedded.js"></script>
Share this presentation:
Comments