Download
1 / 18
180 likes | 311 Views
一種防制網路釣魚攻擊之使用者驗證方法. 指導老師:葉禾田 報告人:吳佾聰. 論文簡介. 靜宜大學資訊管理學系 逢甲大學資訊工程學系 出處: TANET2010 臺灣網際網路研討會 年分: 2010 作者: 李維斌 、 林家禎、 張舜賢、陳星百、江柏宣. 報告大綱. 研究動機 研究目的 文獻探討 -視覺秘密分享學 (Visual Cryptography) - CAPTCHA (Completely Automated Public Test to tell Computers and Humans Apart, CAPTCHA)
E N D
一種防制網路釣魚攻擊之使用者驗證方法 指導老師:葉禾田 報告人:吳佾聰
論文簡介 • 靜宜大學資訊管理學系 • 逢甲大學資訊工程學系 • 出處: TANET2010 臺灣網際網路研討會 • 年分:2010 • 作者: 李維斌、林家禎、張舜賢、陳星百、江柏宣
報告大綱 • 研究動機 • 研究目的 • 文獻探討 -視覺秘密分享學(Visual Cryptography) -CAPTCHA (Completely Automated Public Test to tell Computers and Humans Apart, CAPTCHA) -一次性密碼(One Time Passwords, OTP) • 符號定義 • 研究方法 -註冊階段 -登入階段 -系統運作流程 • 安全性分析 • 系統測試 • 結論
研究動機 • 網路釣魚攻擊日漸升高。 • 根據中國國家計算機網絡應變中心估算,截至目前為止,網路釣魚行為已讓中國人民損失高達76億人民幣。 • 一般帳號與通行碼無法有效避免攻擊。
研究目的 • 有效辨識該網站的真偽。 • 遏止網路釣魚攻擊行為與通行碼猜測攻擊的發生。 • 降低網站於網路釣魚攻擊所造成的損失。
文獻探討 • 視覺秘密分享學(Visual Cryptography) • CAPTCHA (Completely Automated Public Test to tell Computers and Humans Apart, CAPTCHA) • 一次性密碼(One Time Passwords, OTP)
文獻探討-CAPTCHA (Completely Automated Public Test to tell Computers and Humans Apart, CAPTCHA) 圖、二
文獻探討-一次性密碼(One Time Passwords, OTP) • 稱動態密碼,是指只能使用一次的密碼。 • 計次使用與計時使用。 • 解決使用者在密碼的記憶與保存上的困難性。 • 有效防止重送攻擊(Reply Attack)登入伺服器。
符號定義 • IDi:使用者帳號,是一不重複的ID。 • D:伺服器的私密金鑰。 • KUi:使用者的私密金鑰。 • OTP:一次性密碼。 • TS:時間戳記,用以確認驗證時間。 • FC(.):輸入OTP,使用CAPTCHA技術產生ImgOP的函數。 • F1(.):輸入KUi及TS,用以產生ImgOPS1的函數。
符號定義 • F2(.): 輸入ImgOPS1及ImgOP,用以產生ImgOPS2的函 數。 • FR(.): 輸入ImgOPS1及ImgOPS2,使用“and”運算將 兩圖疊合。 • H(.): 單向雜湊函數。 • ImgOP: 含有OTP的一次性驗證圖片。 • ImgOPS1: 遮罩圖片,可與ImgOPS2疊合產生ImgOP'。 • ImgOPS2: 遮罩圖片,可與ImgOPS1疊合產生ImgOP'。 • ΔT: 可允許的延遲時間。 • U:使用者。 • S:伺服器。 • A→B:m:單位A送訊息m給單位B。
研究方法-註冊階段 圖、三
研究方法-登入階段 圖、四
研究方法-系統運作流程 圖、五
安全性分析 • 可防範程式化機器人的猜測攻擊 • 不需設定或記憶通行碼 • 可抵擋重送攻擊 • 使用者與伺服器雙向驗證 • 登入過程中隱私資訊不需在網路傳送
系統測試 (A),(B) (C) (D) (E) 圖、六
結論 • 利用一次性密碼、視覺密碼學與CAPTCHA特性。 • 避免網路釣魚攻擊,降低金錢損失,提高安全性。 • 使用者無須記憶多組通行碼,也不會造成通行碼的遺忘。
