《指导老师叶禾田报告人吴佾聪》.ppt

指導老師：葉禾田 報告人：吳佾聰 一種防制網路釣魚攻擊之使用者驗證方法 論文簡介 靜宜大學資訊管理學系 逢甲大學資訊工程學系 出處： TANET2010 臺灣網際網路研討會 年分：2010 作者： 李維斌、林家禎、 張舜賢、陳星百、江柏宣 報告大綱 研究動機 研究目的 文獻探討 －視覺秘密分享學(Visual Cryptography) －CAPTCHA (Completely Automated Public Test to tell Computers and Humans Apart, CAPTCHA) －一次性密碼(One Time Passwords, OTP) 符號定義 研究方法 －註冊階段 －登入階段 －系統運作流程 安全性分析 系統測試 結論 研究動機 網路釣魚攻擊日漸升高。 根據中國國家計算機網絡應變中心估算，截至目前為止，網路釣魚行為已讓中國人民損失高達76億人民幣。 一般帳號與通行碼無法有效避免攻擊。 研究目的 有效辨識該網站的真偽。 遏止網路釣魚攻擊行為與通行碼猜測攻擊的發生。 降低網站於網路釣魚攻擊所造成的損失。 文獻探討 視覺秘密分享學(Visual Cryptography) CAPTCHA (Completely Automated Public Test to tell Computers and Humans Apart, CAPTCHA) 一次性密碼(One Time Passwords, OTP) 文獻探討－視覺秘密分享學(Visual Cryptography) 圖、一 文獻探討－CAPTCHA (Completely Automated Public Test to tell Computers and Humans Apart, CAPTCHA) 圖、二 文獻探討－一次性密碼(One Time Passwords, OTP) 稱動態密碼，是指只能使用一次的密碼。 計次使用與計時使用。 解決使用者在密碼的記憶與保存上的困難性。 有效防止重送攻擊(Reply Attack)登入伺服器。 符號定義 IDi：使用者帳號，是一不重複的ID。 D：伺服器的私密金鑰。 KUi：使用者的私密金鑰。 OTP：一次性密碼。 TS：時間戳記，用以確認驗證時間。 FC(.)：輸入OTP，使用CAPTCHA技術產生ImgOP的函數。 F1(.)：輸入KUi及TS，用以產生ImgOPS1的函數。 符號定義 F2(.)： 輸入ImgOPS1及ImgOP，用以產生ImgOPS2的函 數。 FR(.)： 輸入ImgOPS1及ImgOPS2，使用“and”運算將 兩圖疊合。 H(.)： 單向雜湊函數。 ImgOP： 含有OTP的一次性驗證圖片。 ImgOPS1： 遮罩圖片，可與ImgOPS2疊合產生ImgOP。 ImgOPS2： 遮罩圖片，可與ImgOPS1疊合產生ImgOP。 ΔT： 可允許的延遲時間。 U：使用者。 S：伺服器。 A→B：m：單位A送訊息m給單位B。 研究方法-註冊階段 圖、三 研究方法-登入階段  圖、四 研究方法-系統運作流程 圖、五 安全性分析  可防範程式化機器人的猜測攻擊 不需設定或記憶通行碼 可抵擋重送攻擊 使用者與伺服器雙向驗證 登入過程中隱私資訊不需在網路傳送 系統測試 (A),(B) (C) (D) (E) 圖、六 結論 利用一次性密碼、視覺密碼學與CAPTCHA特性。 避免網路釣魚攻擊，降低金錢損失，提高安全性。 使用者無須記憶多組通行碼，也不會造成通行碼的遺忘。 感謝聆聽